http://blogs.zdnet.com/security/?p=1232
Parece ser que un grupo de investigadores de una universidad de Newcastle ha conseguido romper la seguridad del CAPTCHA que MS utiliza para Windows Live y Hotmail, con un porcentaje de acierto del 92%. Este es el trabajo que han publicado: http://homepages.cs.ncl.ac.uk/jeff.yan/msn_draft.pdf
Lo preocupante es que al parecer hay bastantes rupturas de los CAPTHAs, tanto por parte de investigadores en seguridad informática como por parte de los "chicos malos". De hecho este mismo equipo va a publicar un trabajo similar sobre el CAPTCHA de Yahoo: http://homepages.cs.ncl.ac.uk/jeff.yan/yahoo.htm
En la entrada del bolog que estoy comentando se referencian muchos casos de ataques contra CAPTCHAs. Pero también se referencian varios proyectos interesantes (fundamentalmente basados en imágenes y su contenido):
MS Asirra, se basa en la identificación del contenido de las imágnes (por ejemplo, cuantas de estas imágnes son de gatos?)
Esp-pix de la Carnegie Mellon University dentro de su CAPTCHA Project, también basado en asociar imágenes a conceptos (por ejemplo una enfermera, el letrero de un hospital, una foto de un hospital... y hay que elegir de una lista de posibles conceptos relacionados) A mí al menos una vez me ha considerado no humano.
IMAGINATION, test en dos pasos. El primero se basa en localizar centros de imágenes superpuestas y el segundo en relacionar una imagen con un texto (yo he fallado el primer paso varias veces y el segundo también).
Kitten Auth, basado en identificar gatitos en una matriz de 3x3. En realidad los gatos son un ejemplo pero la idea es clara.
Animated-Gif-Captcha ,que me ha parecido el más curioso. Es un gif animado que plantea una cuestión (una operación matemática) sencilla pero que dificulta el procesado a los bots (cada parte del gif es una parte de la pregunta y el orden sí importa y nada impide que el gif contenga 3, 5 ó 7 imágenes necesarias para obtener la respuesta)
Una curiosidad, CAPTCHA es un acrónimo de "Completely Automated Public Turing test to tell Computers and Humans Apart", y es marca registrada de la Carnegie Mellon University.
