Rappresentazione della lettera A (fonte: Vicarious AI)
Inganna i test di sicurezza anti-spam e intrusioni.
Nuova falla nei sistemi di protezione informatica contro spam, intrusioni digitali e furti di password: è stato infatti sviluppato un computer che sa fingersi un essere umano riuscendo a ingannare alcuni dei test di sicurezza più diffusi nei siti Internet, ovvero i captcha, quei codici alfanumerici un po' contorti che servono a distinguere gli utenti in carne ed ossa dai programmi automatici chiamati 'bot'. Il risultato è pubblicato sulla rivista Science dai ricercatori della company californiana Vicarious AI, specializzata nel settore dell'intelligenza artificiale.
"Lo studio rivela con metodo scientifico una vulnerabilità che interessa anche colossi come Google, PayPal e Yahoo", spiega Giovanni Ziccardi, docente di informatica giuridica all'Università di Milano. "Il pericolo è che i captcha attuali non riescano più a proteggere efficacemente i form di iscrizione ai servizi online, come la posta elettronica, e che non blocchino più i programmi automatici che fanno spam inondando blog e forum di messaggi pubblicitari inopportuni".
Nati vent'anni fa per difendere i primi motori di ricerca sul web, i captcha si sono evoluti continuamente. "All'inizio - ricorda Ziccardi - chiedevano all'utente di decifrare solo lettere e numeri scritti in maniera poco leggibile in un box: poi sono diventati sempre più complessi, arrivando a usare immagini del mondo reale dove bisogna individuare oggetti o scritte. Facili da risolvere per le persone, sembravano dei rompicapo impossibili per gli algoritmi automatici. Almeno fino ad oggi". Il nuovo computer 'hacker', ispirato ai meccanismi di funzionamento del cervello umano, è infatti riuscito a violare i captcha più comuni con una percentuale di successo che arriva fino al 70%.
"Lo studio rivela con metodo scientifico una vulnerabilità che interessa anche colossi come Google, PayPal e Yahoo", spiega Giovanni Ziccardi, docente di informatica giuridica all'Università di Milano. "Il pericolo è che i captcha attuali non riescano più a proteggere efficacemente i form di iscrizione ai servizi online, come la posta elettronica, e che non blocchino più i programmi automatici che fanno spam inondando blog e forum di messaggi pubblicitari inopportuni".
Nati vent'anni fa per difendere i primi motori di ricerca sul web, i captcha si sono evoluti continuamente. "All'inizio - ricorda Ziccardi - chiedevano all'utente di decifrare solo lettere e numeri scritti in maniera poco leggibile in un box: poi sono diventati sempre più complessi, arrivando a usare immagini del mondo reale dove bisogna individuare oggetti o scritte. Facili da risolvere per le persone, sembravano dei rompicapo impossibili per gli algoritmi automatici. Almeno fino ad oggi". Il nuovo computer 'hacker', ispirato ai meccanismi di funzionamento del cervello umano, è infatti riuscito a violare i captcha più comuni con una percentuale di successo che arriva fino al 70%.
Lo ha fatto con un addestramento minimo, partendo da un numero di esempi molto più ridotto rispetto agli algoritmi di apprendimento profondo (deep learning) usati nell'intelligenza artificiale, che richiedevano milioni di immagini esemplificative o regole codificate su come craccare ogni tipo di immagine. "Questi sistemi cambiano continuamente, come in un gioco a guardie e ladri", commenta Ziccardi. "Dopo la pubblicazione di questo studio le aziende correranno sicuramente ai ripari, ma già adesso stanno lavorando a nuovi captcha sempre più sofisticati, capaci per esempio di riconoscere l'utente umano senza porgli domande, ma valutando il suo comportamento online, come i movimenti del mouse o i tempi di permanenza sulla pagina".