jueves, mayo 23, 2024

Cómo saltarse el Captcha Cognitivo de HBO max con OpenAI GPT4-Vision

Una de las disciplinas en las que se pueden utilizar los Modelos Multimodales de GenAI en ciberseguridad es para resolver los Captchas Cognitivos que evitan los ataques automatizados de diccionario, fuerza bruta o simplemente de WebScraping tan utilizados en Seguridad Ofensiva y Red Team. Pero teniendo estos LLM multimodales se pueden saltar con más o menos facilidad.

Figura 1: Cómo saltarse el Captcha Cognitivo de HBO max
con OpenAI GPT4-Vision

De estos temas he escrito ya varios artículos que os he ido dejando por aquí. Algunos para saltar Captchas Cognitivos de audio, de texto o imagen, pero sobre todo para la resolución de problemas de comprensión semántica, ya sea de texto o visuales.
Hoy os quería hablar de otro Captcha Cognitivo con el que me topé, en este caso en la web de HBOMax que pide resolver el misterio de poner una plancha mirando en la dirección y el ángulo que una mano mecánica. Un problema curioso.

Figura 2: Captcha Cognitivo de HBO max para proteger tu cuenta

El objetivo es sencillo, se trata de ir moviendo la plancha hasta que está esté situada en la dirección de la mano. En ese momento, habrás demostrado que no eres un robot automátizado al resolver este Captcha Cognitivo.

Figura 3: El Captcha Cognitivo ¡resuelto! ¡Soy humano!

Probando esto con mi amigo Julián Isla, con el objetivo de ver si esto podría parar scripts automáticos creados por un equipo de Seguridad Ofensiva o de Red Team, la primera aproximación que tuvimos fue explicarle el juego y ver si lo resolvía diciéndonos cuántas veces había que mover y hacia qué lado, y así no hubo manera.

Eso sí, me dio que pensar, porque al final estábamos haciendo una asunción muy curiosa, al dividir los 360º del círculo en el número de puntos, o pasos, por los que puede pasar la plancha. Eso debería hacer que si tenemos un dibujo con una inclinación de 45º hubiera 8 posiciones para dar la vuelta por 0º, 45º, 90º, 135º, 180º, 225º, 270º y 315º.

Figura 5: Explicación sesuda con ChatGPT GPT4-Vision

Pero la realidad es que solo hay 6 posiciones en la imagen. Esto hizo que me fijara un poco más y viera que al final tampoco están ordenadas. Es cierto que una de ellas siempre está apuntando en la misma dirección y el mismo ángulo, pero no están las 8 posibles posiciones ni en el mismo orden.

Figura 6: Todas las posiciones de un puzzle en concreto

Como podéis ver en la imagen anterior, todas las posibles respuestas son 6, así que para elegir la correcta hay que resolver el problema de una manera más “humana”. ¿Qué haríamos cualquiera de nosotros? Pues mirar si la primera imagen tiene la mano y la plancha alineada. Esto es una respuesta de sí o no. Si es que sí, damos OK a la respuesta, si no, pasamos dando clic a la derecha para ir a la siguiente imagen.

Figura 7: Preguntando a GPT4-Vision en Azure AI Studio si la mano
y la plancha apuntan en la misma dirección y con el mismo ángulo.
Respuesta -> NO

Esto reduce el problema probar con GPT4-Vision a ver si es capaz de decirnos si la mano y la plancha están en la misma dirección y en el mismo ángulo. Y como vemos, en este caso concreto, nos confirma que están alineados en dirección y ángulo, así que podemos responder con tranquilidad que ésta es la imagen correcta.

Figura 8: Preguntando a GPT4-Vision en Azure AI Studio si la mano
y la plancha apuntan en la misma dirección y con el mismo ángulo.
Respuesta -> SÍ

De esta forma tan sencilla hemo reducido el problema a una simple comparación que GPT4-Vision resuelve perfectamente. Así que Captcha Cognitivo inútil en el mundo de la GenAI Multimodal, pero que seguro que con Cognitives Sevices cae también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


No hay comentarios:

Entrada destacada

Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2024 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox

Pues este año tenemos el  BlackFriday  durante  7 días , y poco más que decir en el artículo que lo que he puesto en el título del artículo....

Entradas populares