Para que servem os CAPTCHAs?

Esta pergunta parece muito óbvia: apenas humanos acessam sites! Não há evidências de animais domésticos tentando acessar algum sistema na Internet.

Até o momento da escrita deste artigo, também não há consenso sobre a existência de atividade extraterrestre em nosso planeta, muito menos se eles utilizam sistemas e mantêm cadastros ativos neles. Mas, por que eu tenho que provar que sou um ser humano? A resposta mais curta pode surgir: “Porque existem robôs”! Mas, quem são eles?

Robô, em nosso contexto, é o componente de um determinado sistema que acessa outro para realizar atividades que não necessitam da intervenção humana. Voltando para a pergunta principal: sistemas interagem com outros sistemas e sites por diversas razões. Vamos citar as mais conhecidas:

- Rastreamento de sites: imagine se pessoas precisassem visitar diversos sites espalhados pelo mundo diariamente para categorizá-los e disponibilizar seu conteúdo para pesquisa. Para isso, os robôs de busca (também chamados de web crawlers) realizam essas visitas.

- Automação: nem sempre sistemas são projetados para interagir com outros sistemas, apenas com humanos. Sistemas legados onde o custo de modificação é alto para se adaptarem às novas necessidades. Diante dessa realidade, são criados robôs de automação, simulando um humano.

- Scraping: com a vasta quantidade de informações disponíveis na Internet, há a necessidade de acessar diversos sites para analisar seu conteúdo para diversos fins, sendo alguns deles:

- Análise de mercado: sistemas automatizados acessam sites de e-commerce para realizar análises de mercado para diversos fins, desde uma simples análise de preços até a captura de informações estratégicas.

- Análise de currículos: sistemas de recursos humanos das empresas procuram os melhores candidatos para preencher vagas.

- Informações de inteligência: corporações e governos utilizam robôs para coletar informações cruciais presentes em sites espalhados pelo mundo para interesses estratégicos.

Nem tudo são flores. Com essas possibilidades, também podem ocorrer ações mal-intencionadas, como:

- Busca de vulnerabilidades e dados sensíveis: pessoas mal-intencionadas criam robôs com o objetivo de procurar vulnerabilidades e dados sensíveis em sites.

- Ataques de força bruta (brute-force): em sites onde são requisitados acessos com desafios de usuário e senha, enquanto um ser humano consegue testar aproximadamente 5 a 10 senhas por minuto, um robô pode testar cerca de 2 trilhões delas por segundo, cerca de 24 trilhões de vezes a mais.

- Defacement e spam em postagens: formulários de sites podem ser preenchidos por robôs que usam contas para enviar spam ou vandalizar sites de fóruns e redes sociais (processo conhecido como defacement).

Para mitigar esses problemas e proteger as informações disponíveis, alguns sites utilizam uma medida de segurança para distinguir pessoas de robôs, o CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart, Teste de Turing público completamente automatizado para distinguir entre computadores e pessoas). Este tipo de desafio só pode ser solucionado por humanos. Os mais comuns são:

- Teste de imagem: é solicitado ao desafiado que informe objetivamente o conteúdo da imagem. Para dificultar o reconhecimento do conteúdo das imagens pelos robôs, são realizadas distorções na aparência das mesmas. Os desafios mais comuns apresentados com imagens são:

- Repetição de letras e/ou frases: é solicitado ao desafiado transcrever as letras e/ou frases contidas na imagem;

- Descrição das cores: é solicitado ao desafiado informar as cores apresentadas na imagem;

- Identificação de objetos e/ou paisagens: o desafiado precisa identificar objetos e/ou paisagens contidas na imagem.

- Teste de audição: visando atender eventuais dificuldades na interpretação de imagens, também se disponibiliza o teste de audição, onde é narrada uma palavra ou frase para ser transcrita.

O CAPTCHA é apenas uma das várias medidas de segurança que podem ser adotadas para proteção de informações. Fique informado sobre outras soluções de segurança, visibilidade, automação e inteligência oferecidas pelo StyxGuard para lidar com a alta escala e complexidade dos ataques cibernéticos modernos.

Autor: Bruce Campos (B2)