Captcha van Live Hotmail opnieuw gebroken

Net als veel andere sites gebruikt Microsofts Live Hotmail het Captcha-mechanisme (voor Completely Automated Public Turing test to tell Computers and Humans Apart) om het automatisch aanmaken van mail accounts (of automatisch vullen van reactieformulieren met bijvoorbeeld reclame) te voorkomen. De aanvrager moet daarbij vervormde letters herkennen en intoetsen.Het idee dat computers daar niet toe in staat zijn, blijkt inmiddels al meermalen weerlegd. Vorig jaar zijn al enkele geslaagde hacks van de Live Hotmail Captcha gemeld. Die werden steeds weer de pas afgesneden door de Captcha ingewikkelder te maken. De laatste aanpassing van Microsoft is nu toch weer door spammers gekraakt, meldt beveiligings- en webfilteringspecialist Websense. Voor het kraken gebruiken de spammers een legertje zombie-pc's die het aanvraagformulier invullen. Zodra Live Hotmail reageert met de vraag een Captcha te ontcijferen, wordt dat beeld geüpload naar een server. Die komt binnen 20 tot 25 seconden met een suggestie, die in 12 tot 20 procent van de gevallen correct blijkt. Die score is voor spammers ruim voldoende om hun inspanning de moeite waard te maken, stelt Websense. De spammers maken overigens bij hun aanval gebruik van versleutelde kanalen, wat het ontdekken en blokkeren van dit soort aanvallen lastig maakt.Microsoft zal ongetwijfeld het Captcha-algoritme aanpassen om de jongste kraak onmogelijk te maken. Beveiligingsspecialisten denken echter dat de wapenwedloop op deze manier niet te winnen is. Ze bepleiten fundamentele aanpassingen, waarbij minimaal overgestapt zou moeten worden op driedimensionale afbeeldingen in de Captcha. Die zouden voor huidige beelddecoderingstechnieken nog veel te hoog gegrepen zijn.