Как была разгромлена CAPTCHA

By Steven J. Vaughan-Nichols 15/07/2008

Когда-то CAPTCHA был простым и удобным способом проверки пользователей, настоящим спасением для вебмастеров, теперь же она превратилась в открытую настежь дверь, легко пропускающую  недобросовестных авторов и спамеров, пришедших на сайт, чтобы сделать свое черное дело.

Для своего времени CAPTCHA — полностью автоматический тест Тьюринга для различения компьютеров и людей(Completely Automatic Public Turing Test to Tell Computers and Humans Apart)был очень даже неплох. Вы показывается пользователям последовательность слегка искаженных символов и просите их ввести данную последовательность в соответсвующее поле, чтобы получить почтовый аккаунт, учетную запись в социальной сети или доступ к комментированию сообщений на форуме. Не так уж это трудно, (хотя пользователи справедливо жалуются, что в очень многих шрифтах разница между строчной буквой  “l” и цифрой “1″ оказывается малозаметной), да и для вебмастеров ничего сложного в работе с этой системой нет.

CAPTCHA прошел путь от малоизвестной технологии, улучшенной в 2000 г. специалистами университета Карнеги-Мэллон, до универсального защитного средства, использующегося практически всеми почтовыми сервисами и великим множеством других сайтов. Подобный статус CAPTCHA приобрел к 2007 г. Тяжеловесы вроде Yahoo Mail, Google Gmail и Microsoft Hotmail использовали (и продолжают использовать) CAPTCHA, чтобы иметь стопроцентную уверенность: только живые люди, но никак не боты, могут регистрировать аккаунты и рассылать сообщения.

Золотые времена этого теста давно прошли. В Январе 2008 г. были взломаны CAPTCHA Yahoo Mail. Гугловские CAPTCHA были вскрыты в апреле. А том же месяце пали укрепления Microsoft Hotmail.

С этого момента начались серьезные проблемы.

В сети выложены программы (только не спрашивайте, где — все равно не скажем), позволяющие производить автоматические CAPTCHA-атаки. Для их использования хакерские навыки не нужны. Все, что вам потребуется, это желание распространять спам, осуществлять анонимные сетевые нападения на ваших недругов, распространять вредоносный код, — в общем, готовность стать еще одним сетевым ублюдком.

Речь идет не только об бесплатных почтовых сервисах, которые можно превратить в черт знает что.

Джон Нэгл (John Nagle) — основатель ресурса Site Truth, призванного выявлять  поддельные сайты компаний, написал в конце мая в журнале Techdirt о популярном сервисе рекламных объявлений Craigslist: “В течение многих лет спам был для них лишь незначительной помехой, которую удавалось легко держать под контролем, однако в этом году спамеры резко активизировались и начали быстро продвигаться вперед”.

Craigslist попытался “остановить поток спама путем проверки дублированных сессий, — поясняет Нэгл. — Они стали фильтровать подозрительно большие посты, отправленные с одного IP-адреса, заставили пользователей указывать действующий почтовый адрес при регистрации, использовали CAPTCHA, чтобы защититься от публикующих посты ботов. Кроме того, теперь пользователи могут помечать объявления, которые им кажутся спамом.

Как замечает Нэгл, “на рынке представлено сразу несколько коммерческих продуктов, способных легко преодолеть эти незначительные препятствия на пути массовому рекламному постингу. Программа CL Auto Posting Tool — один из таких продуктов. Она не только позволяет публиковать посты на Craigslist в автоматическом режиме — в ней есть встроенные противоядия ко всем нововведениям Craigslist, направленным против спама.” И это далеко не единственная программа. “Существуют и другие программные продукты, такие как  AdBomber и Ad Master. Для спамеров, исповедующих сервис-ориентированный подход, имеется в наличии ItsYourPost.” Каков же результат? “Все защитные бастионы Craigslist были успешно взяты. Доля спама в некоторых его категориях достигает 90%. Сперва он захлестнул рубрику “знакомства”, затем рубрику “сфера услуг” (services), и несколько позже добрался до рубрики “поиск работы”.

Понятное дело, платить ни за что не нужно. Программы-взломщики CAPTCHA доступны в сети для бесплатного скачивания.

Craigslist продолжает бороться. Теперь для публикации некоторых объявлений требуется подтверждающий телефонный звонок. Взломщики, в свою очередь, активно работают над преодолением и этой линии защиты. Подобная борьба стоит все больше и больше денег, поэтому возникает некоторое сомнение в том, что Craigslist, всегда бывший абсолютно бесплатным, сможет и в дальнейшем придерживаться своей альтруистической бизнес-модели.

Как видно на примере Craigslist, рост количества мусорной почты — далеко не единственная проблема, вытекающая из преодоления CAPTCHA-защиты. Говорит Пол Вуд (Paul Wood), ведущий аналитик британской компании MessageLabs, занимающейся попросами защиты электронных сообщений: “MessageLabs уже встречались примеры того, как спамеры, сумевшие взломать CAPTCHA Google  и Hotmail, находят новые способы донести свои сообщения до пользователей — например, используют Google Docs для создания спам-контента и ссылаются на него в рассылаемых по email спам-сообщениях. Таким образом им удается обойти противоспамные фильтры, основанные на выявлении известных спам-доменов в адресах ссылок.”

Пользователи социальных сетей также рискуют сильно пострадать от грядущих CAPTCHA-атак, утверждает Стефан Ченетт (Stephan Chenette), руководитель исследовательского отдела в Websense Security Labs.

“Новое поколение пользователей уже не использует электронную почту для общения, — говорит Ченетт. — Они используют социальную сеть и они без особых опасений публикуют разную личную информацию в социальной сети или на страницах блога, вместо того, чтобы посылать ее по элеткронной почте. Если сетевой агрессор (malicious attacker) создаст собственный публичный блог или зарегистрирует аккаунт в социальной сети, он может легко использовать их для публикации вредоносных ссылок. Эксплуатируя запас доверия, имеющийся у данного сообщества, он может с успехом задействовать его участников в качестве распространителей своих вирусов и тому подобных вещей.

Поскольку социальные сети предлагают злоумышленникам “огромнейший плацдарм для развертывания атак”, и поскольку “пользователи этих сетей не чувствуют себя уязвимыми в плане спам-атаки, аналогичной тому спам-прессингу, которому они подвиргаются через e-mail”, воздействовать на пользователей социалок оказывается чрезвычайно легко, утверждает Ченетт. 

Еще одна опасность, вытекающая из грядущего CAPTCHA-коллапса, заключается в быстром росте количества фейковых вебсайтов (fake Web sites). Как поясняет Ченетт, подобные сайты заимствуют свой контент у вполне легитимных сайтов методом “копировать — вставить”, дабы понравиться поисковикам, заработать как можно более солидную репутацию и, как следствие, обеспечить себе прирост аудитории.

“Для сетевых агрессоров, хорошая репутация — это последний писк моды, — говорит Ченетт. — С точки зрения поисковой системы, главное значение имеет контент. Сетевые агрессоры выуживают из сети качественныей контент, выкладывают его на своем сайте и добиваются высокого ранжирования в поисковиках, что, в свою очередь, ведет к улучшению репутации сайта. Последнее время мы видим подобное сплошь и рядом. Разумеется, замусоривание поисковиков — практика очень старая, однако теперь основной целью спамеров, охотящихся за контентом, становятся именно сайты с хорошей репутацией, защищенные CAPTCHA [такие как Digg, к примеру]“.

Зададимся вопросом: учитывая множество новых способов атаковать пользователей — как через e-mail, так и через социальные сети и блоги, — есть ли у CAPTCHA будущее?

Судя по всему,  нет.

“Я полагаю, что срок жизни CAPTCHA-систем современного типа подходит к концу, — говорит Вуд; — их эффективность существенно снизилась. С одной стороны, CAPTCHA становится все труднее использовать живым пользователям, с другой — они испытывают постоянно растущее давление со стороны спамеров, что оборачивается дальнейшим их усложнением.”  

Ченетт идет еще дальше: “CAPTCHA был успешно взломан еще полтора года назад. Сама технология с тех пор ничуть не улучшилась. CAPTCHA стали немного сложнее, однако хакеры сделали кучу програм, способных проходить их без особого труда. Это верно как для визуальных, так и для звуковых CAPTCHA. Все виды CAPTCHA были взломаны тем или иным способом.” Ченетт продолжает: “Это фундаментальная проблема, не имеющая простого решения. В конечном итоге увеличение надежности CAPTCHA оборачивается все большими проблемами при их использовании простыми людьми”. В то же время эксперт верит в то, что “идея, лежащая в основе CAPTCHA, должна стать важной частью нового технического решения”.

Как бы то ни было, Ченетт не ожидает появления единого и универсального решения: “Каждому сайту придется решать эту проблему в частном порядке. Сайты финансовой направленности, к примеру, будут использовать гораздо более сложные тесты, нежели социальные сети”.

По мнению Вуда, в самом недалеком будущем CAPTCHA будут заменены на нечто новое: “Я полагаю, что в скором времени мы будем наблюдать активное внедрение новых технологий, заменяющих традиционные CAPTCHA. Возможно, это случится уже в начале следующего года. Вероятно, будет задействован феномен трехмерного восприятия, как в том тесте, представленном на SpamFizzle.”

Если и это решение в конце-концов окажется несостоятельным, остаются еще CAPTCHA из разряда тех, что используются на сайте Quantum Random Bit Generator Service. Ведь вы еще помните математику на уровне простейших арифметических операций, не так ли?

http://www.computerworld.com.au/index.php/id;489635775;pp;1;fp;;fpid;]Quoted%20from%20here

Метки:

Добавить комментарий