CAPTCHA kontra spam – czy OCR będzie kolejnym dynamitem?

captcha codes

Spam jest prawie tak stary jak Internet. Oprócz wirusów, trojanów, malware’u itp. jest największą plagą cyberprzestrzeni. Któż z nas nie dostał e-maila z reklamą cudownych tabletek na powiększenie męskiego… hardware’u :)? Od dekady jednym z najskuteczniejszych mechanizmów zabezpieczenia stron internetowych i forów dyskusyjnych jest wykorzystywanie (re)CAPTCHY. Jednak i ten mur udaje się rozbić, m.in. dzięki mechanizmom OCR – Optycznego Rozpoznawania Znaków.

Obecnie oprócz reklamowania szemranych produktów i usług, spam na stronach internetowych służy również m.in. do: manipulowania wynikami ankiet, masowego linkowania, rozprowadzania złośliwego kodu czy naruszania integralności kodu stron. Szacuje się, że aż 90% wiadomości wysyłanych w Internecie to spam.

Od dekady jednym ze skuteczniejszych mechanizmów służących do obrony przed spamem jest CAPTCHA oraz jej pochodne tj. reCAPTCHA. Pomysłowość osób rozsyłających spam sięga coraz dalej i nawet CAPTCHA niekiedy bywa zawodna. Zobaczmy jakie są 3 najczęstsze sposoby jej łamania:

OCR

Technologia Optical Character Recognition nieustannie się rozwija. Obecnie topowe rozwiązania potrafią rozpoznać 99% znaków w przypadku dokumentów o przyzwoitej jakości. Fakt ten nie umknął spamerom, którzy coraz częściej wykorzystują OCR do łamania kodów serwowanych przez CAPTCHE. W wielu przypadkach nawet szumy, zakłócenia i zniekształcenia to zbyt mało by przeszkodzić w rozpoznaniu znaków.

Obecnie wiele haseł serwowanych przez programy zabezpieczające jest tak trudna, że nawet ludzie mają problemy z jej rozpoznaniem. Wszystko wskazuje na to, że ciągłe udoskonalanie programów OCR doprowadzi do zmierzchu CAPTCHy, która swoim skomplikowaniem zniechęca wielu użytkowników do jej rozwiązywania i podejmowania wielokrotnych prób. Stworzono nawet mechanizm CRAPTCHA stworzony do trollowania sfrustrowanych internautów poprzez przedstawianie znaków niemożliwych do przepisania.

Smutny jest niestety fakt, iż technologia, która powinna służyć pożytecznym i ambitnym projektom, tj. digitalizacja starych księgozbiorów, wykorzystywana jest do ułatwienia spamerom zaśmiecania sieci. Sytuacja ta przypomina nieco losy najsłynniejszego wynalazku Alfreda Nobla. Dynamit z założenia miał pomagać w rozwoju cywilizacyjnym, lecz po pewnym czasie został wykorzystany przeciwko cywilizacji.

CAPTCHA zabija boty

Ludzkie farmy

Innym sposobem radzenia sobie z mechanizmami CAPTCHA jest tania siła robocza. Jak to działa? Spamboty próbując dostać się do danej strony internetowej napotykają na hasło do rozwiązania. Robią zrzut ekranu i wysyłają go do osób, które zdecydowały się za grosze (1-2$ dziennie) rozpoznawać tego typu tekst. Wprowadzenie takiego trybu działania w państwach zachodnich byłoby nieopłacalne ze względu na koszt pracy. Niestety wykorzystanie taniej siły roboczej z krajów tj. Indie, Pakistan czy Filipiny umożliwia zastosowanie tego typu metod. Ile to kosztuje? Za rozwiązanie 5000 CAPTCHY zapłacimy niecałe… 7 dolarów.

Fałszywa CAPTCHA

Szukasz w Internecie informacji. Aby uzyskać do niej dostęp musisz rozwiązać CAPTCHE. Wprowadzasz hasło. Źle. Drugi raz. Trzeci. Za czwartym wiesz już na pewno, że wprowadziłeś poprawne dane, a mimo to nie możesz przejść dalej. Właśnie stałeś się częścią darmowej ludzkiej farmy do rozpoznawania znaków. Mechanizm jest bardzo podobny jak w poprzednio omawianym przypadku, z tą różnicą że wykorzystuje nieświadomość użytkownika i podstawia mu kod, który tak naprawdę posłuży kolejnemu spambotowi.

Pożyteczne spamboty

Zabezpieczenie cyberprzestrzeni staje się coraz trudniejsze dla webmasterów i coraz bardziej uciążliwe dla użytkowników.  Obecnie rozwiązanie CAPTCHY zajmuje około 15-20 sekund. To wystarczająco dużo, aby porzucić stronę. Szczególnie jeśli jedna próba nie wystarczy. Na rynku pojawiają się coraz nowsze rozwiązania. Wśród nich obiecująco zapowiadają się proste i interaktywne animacje, w których np. trzeba sportowcom przydzielić odpowiedni do zajmowanego miejsca medal.

Wszystko wskazuje na to, że wojna spamerów z webmasterami nigdy się nie skończy. Zmienią się jedynie narzędzia prowadzenia walki. Najwięcej ucierpią niestety cywile, czyli my – zwykli Internauci.

Komiksy pochodzą ze strony: xkcd.com

AKTUALIZACJA:

Z ostatniej chwili: w sieci pojawił się filmik, którego autorzy twierdzą, że złamali CATPCHę. Do obejrzenia (i poczytania) tutaj: http://www.wired.com/wiredscience/2013/10/captcha-busted/

2 comments

  1. M@rio pisze:

    Jak nie CAPTCHA to może GOTCHA?

    redorbit.com/news/technology/1112997531/gotcha-inkblots-internet-website-security-software-passwords-110713/

  2. […] pisałem ostatnio o wykorzystaniu OCR w kontekście CAPTCHY. Jednakże nie można zapominać o tym, iż technologia Optycznego Rozpoznawania Znaków jest coraz […]

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Yet Another Social Plugin powered by TutsKid.com.