Статьи и обзоры

Смартфоны, GPS, гаджеты Кулеры Мультимедиа Периферия Сети, Wi-Fi, VoIP b2b оборудование Носители информации, NAS Софт, игры, Windows Игровые манипуляторы Корпуса и блоки питания Системы безопасности Аналитика Технологии Материнские платы Своими руками Мониторы ТВ-тюнеры Компьютеры Видеокарты

Соц. сети

           

Сервисы

Рассылка новостей

Опрос

Защита от спама: есть ли у CAPTCHA второй шанс? стр.1

Пред. ... 1 2 ... След. Конец
всего страниц: 2 | Все

Введение

Как предоставить возможность посетителям вашего сайта создавать аккаунты или оставлять комментарии, не рискуя при этом стать объектом массового рекламного постинга? Да очень просто: пусть человек докажет, что он человек, а не бот. Многие веб-сайты используют для этих целей технологию CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart).

Принцип действия CAPTCHA предельно прост: пользователю предлагается картинка, содержащая последовательность букв и цифр, часто сопровождаемая ехидным вопросом: "А вы не робот?". И чтобы завершить создание аккаунта или добавить комментарий к статье, вам необходимо ввести в нужном порядке предлагаемые символы. 

Современные формы CAPTCHA

Но неужели человек, вооруженный компьютером, не сможет обмануть другой компьютер? Сегодня спамеры регулярно взламывают систему CAPTCHA самых различных сайтов - даже почтовые сервисы таких мировых гигантов как Yahoo Mail или Gmail используются затем в качестве источников автоматизированных атак.  

Так что же делать веб-мастерам? Способна ли CAPTCHA защитить нас от спама?

Взлет и падение CAPTCHA

Технология CAPTCHA была создана в 2000 году учеными из университета Карнеги-Меллона  (Carnegie Mellon University), и в 2007 году она применялась для защиты Web практически везде. Но уже в начале 2008 года технология была взломана: спамеры научились обходить защиту CAPTCHA. В результате даже такие крупные почтовые системы, как Yahoo Mail, Gmail и Hotmail наводнило множество ложных аккаунтов, единственной целью которых были массовые рассылки.

Еще больше вреда причинило самодельное программное обеспечение, воспользоваться которым мог каждый желающий. Например, программа CL Auto Posting Tool позволяет в автоматическом режиме публиковать рекламные посты на сайте объявлений Craigslist и при этом также автоматически обходить все антиспамовые "ловушки" этого сервиса.  

Программа взлома защиты

CL Auto Posting Tool использует технологию оптического распознавания текста (OCR): если код не "угадан" с первого раза, следуют дальнейшие попытки. Этот метод особенно эффективен в тех случаях, когда для каждой последующей попытки CAPTCHA не обновляет изображение, а предлагает разгадывать одну и ту же картинку до победного конца.  

Возьмите одну из таких программ, "нацельте" ее на сайт, где вы хотите создать многочисленные аккаунты и можете спокойно начинать флеймить тех, кто вам по какой-то причине не угодил, или отправлять тысячам людей рекламные рассылки.

Но OCR-программы – не лучший инструмент для настоящего спамера.  Эксперт по системе CAPTCHA Сумит Прасад из фирмы по обеспечению web-безопасности Websense объяснил в одном из блогов, что только 10 - 15% попыток "взломать" Hotmail являются успешными. Обычно, программе-взломщику требуется лишь 6 секунд для завершения атаки. Если сайт предоставляет бесконечное количество попыток на "угадывание" изображения, то, в среднем, на его взлом уходит меньше минуты.  

Но из-за явной небезопасности, системы CAPTCHA, предоставляющие бесконечное или просто большое число попыток распознавания изображения, постепенно исчезают. Тем более, что современные боты способны взломать даже те системы, которые сменяют "капчу" после одной или нескольких безуспешных попыток. Тем не менее, сегодня простые системы CAPTCHA, использующие случайные недеформированные наборы букв на простом фоне используются еще довольно часто и взломать их довольно легко.  

Другой способ взлома плохо проработанной защиты CAPTCHA – повторное использование идентификаторов сессии. В данном случае человек или программа-взломщик сначала вводит правильное значение CAPTCHA. Затем идентификатор сессии и ответ на CAPTCHA передается боту, который создает большое количество запросов с этим идентификатором, но с разными именами пользователя. Этот процесс можно продолжать до тех пор, пока не закончится срок действия идентификатора сессии.

А кое-где бизнес по взлому системы защиты CAPTCHA даже поставлен на поток. Например, индийская компания DeCaptcher.com распознает вам целую тысячу "капчей" всего за $2 и со 100-процентной гарантией: вместо замысловатого софта там работают обычные индусы.

"Реклама в блогах, социальных сетях и т.п. существенно увеличивает эффективность бизнеса. Многие сервисы используют картинки, называемые CAPTCHA, для предотвращения автоматического использования этих сервисов. С помощью нашего портала вы сможете распознать CAPTCHA и увеличить эффективность вашего бизнеса прямо сейчас!" – таков рекламный слоган DeCaptcher.com.

Так можно ли чувствовать себя защищенными, используя систему защиты CAPTCHA?

Второй шанс для CAPTCHA?

Может ли что-то реанимировать CAPTCHA, или сегодня эта система достигла логического финала? По мнению ученых-компьютерщиков из Карнеги-Меллона, выход есть. Им может стать обновленный вариант технологии CAPTCHA, получивший название reCAPTCHA.

По словам профессора компьютерных наук Льюиса вон Ана, система работает в тесной взаимосвязи с проектами Google Books Project и Internet Archive, в рамках которых бумажные книги конвертируют в цифровой формат, используя программное обеспечение на базе OCR. Как уже говорилось, технология OCR не всегда корректно распознает слова. Когда  OCR-программы, используемые в проектах, отмечают слово как нечитаемое, его сохраняют в виде изображения и используют затем в качестве тестов CAPTCHA.

CAPTCHA поможет распознать нераспознаваемое

Этот вид сотрудничества приносит взаимную выгоду обеим сторонам. Создатели reCAPTCHA получают в свое распоряжение изображения, уже проверенные на устойчивость к OCR-атакам, а участники проектов Google Books Project и Internet Archive приобретают "бесплатную рабочую силу": живые пользователи web-сервисов декодируют слова, которые не распознали OCR-программы, что в свою очередь помогает максимально точно конвертировать старые книги в цифровые форматы.  

Но как же reCAPTCHA узнает, что человек ввел слово правильно? Для этого наряду с неизвестным словом используется контрольное слово, правильное написание которого известно системе.  

"Если пользователь вводит контрольное слово правильно, его вариант предыдущего (неизвестного) слова также предполагается верным. Если первые три варианта, введенных разными пользователями, совпадают между собой, но отличаются от варианта, предложенного OCR, слово отмечается как верное и становится потенциальным контрольным словом", - объясняет вон Ан.


Пред. ... 1 2 ... След. Конец
всего страниц: 2 | Все

новые статьи


 

Печать
Подписаться на рассылку
RSS-ленты