Sistemas de Prova de Interação Humana (do inglês: Human Interaction Proof - HIP), mais conhecidos como CAPTCHAs (também do inglês: Completely Automated Public Turing test to tell Computers and Humans Apart), são sistemas que se baseiam na apresentação de desafios que devem ser facilmente realizados por humanos e difíceis (de preferência, impossíveis) de serem realizados por máquinas. Seus usos costumam ser associados à restrições de acesso a conteúdo sensível ou ao controle e regulamento de certas atividades em um ambiente computacional; por esse aspecto restritivo, não é difícil a associação de tais tecnologias com a teoria de segurança da informação.
Por outro lado, observa-se que muitos dos HIPs propostos aparentam pautar-se em técnicas de segurança por obscuridade, as quais são, historicamente, no contexto da segurança da informação, questionadas e criticadas.
No meu trabalho, pretendo fazer avaliações empíricas em alguns HIPs propostos, me pautando nos preceitos da segurança da informação em que se pressupõe o conhecimento do adversário sobre o seu sistema.
Realizar uma avaliação empírica de uma seleção de implementações de Sistemas de Prova de Interação Humana atentando-se para as prováveis falhas de segurança que os mesmos apresentam contra atacantes que possuam conhecimento do sistema e que, por meio de ataques baseados em técnicas de reconhecimento de padrões, pretendam automatizar o acesso aos conteúdos de acesso restrito que os HIPs potencialmente estariam defendendo.
Para tal será realizada uma pesquisa exaustiva da literatura em busca de uma taxonomia adequada dos HIPs, podendo assim, desenvolver implementações que abarquem as classes mais comuns desses sistemas. Com tais implementações pretende-se utilizar ferramentas de aprendizado de máquina bem estabelecidas no mercado (como Caffe e Tensorflow) e verificar a eficácia das mesmas na resolução dos desafios apresentados pelos HIPs previamente implementados.
Anos anteriores: Busca e desenvolvimento de scripts para a geração automática e identificação agnóstica de HIPs textuais (CAPTCHAs), assim como avaliação empírica da efetividade desses métodos.
Janeiro a Maio: Pesquisa bibliográfica focando em possíveis agrupamentos das técnicas de Prova de Interação Humana assim como comprovadas estratégias de ataque às mesmas;
Abril a Agosto: Estudo, implementação e avaliação de técnicas de detecção de características , especificamente, em técnicas invariantes à transformações e ruído, para avaliar a efetividade das mesmas em HIPs baseados em imagens;
Maio a Outubro: Desenvolvimento da monografia levando-se em conta o estudo e trabalho já desenvolvido;
Setembro a Novembro: Avaliação dos dados obtidos e conclusões, sintetizadas em uma apresentação
Os seguintes pontos foram fundamentais para a escolha do tema assim como as definições da metodologia:
Insipiência bibliográfica e comercial de soluções que se proponham a tratar desse problema no contexto de Open Security (cujo modelo de ameaça pressupõe o conhecimento do atacante sobre o sistema);
Avanço dos métodos de aprendizado de máquina para reconhecimento de padrões, apresentando um risco em potencial aos modelos estabelecidos que têm suas seguranças pautadas na dificuldade de realizá-lo;
Pessoalmente, dada a uma discordância técnica e política quanto modelos comercias que monopolizam o mercado, cujas estratégias solucionam o 2o ponto, mas são especificamente sensíveis ao 1o.