Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kilka niezwykłych testów CAPTCHA
CAPTCHA (ang. Completely Automated Public Turing test to tell Computers and Humans Apart) to dobrze znane wszystkim internautom zabezpieczenia, których głównym zadaniem jest powstrzymanie automatów od wprowadzania jakichkolwiek danych do internetowego serwisu. Dziś przyjrzymy się kilku przykładom egzotycznych odmian CAPTCHA i zastanowimy się, czy ich stosowanie pozwala na osiągnięcie zadowalających rezultatów.
System Captcha odróżnia człowieka od automatu poprzez zaprezentowanie pewnego zadania do rozwiązania, które powinno być stosunkowo łatwe dla internautów i jednocześnie trudne do automatycznego wykonania. Najczęściej stosowanym zabezpieczeniem jest prośba o odczytanie treści z grafiki zawierającej pewien zniekształcony tekst. Spotykane są również zagadki graficzne, dźwiękowe, a nawet krótkie animacje.
Niestety, w praktyce zabezpieczenia te są jednak bardzo często skutecznie atakowane. Od wykorzystania oprogramowania OCR, poprzez ataki socjotechniczne wykorzystujące użytkowników innego serwisu do rozwiązywania zagadek z docelowej witryny, aż do „fabryk” zatrudniających mieszkańców biednych rejonów Azji w celu masowego ręcznego rozwiązywania poszczególnych testów (stawki wahają się w okolicach 1 USD za 1000 rozwiązanych CAPTCHA).
Biorąc pod uwagę powyższe słabości tego rozwiązania, co jakiś czas powstają pomysły na CAPTCHA niezwykłe. Spójrzmy na kilka przykładów i zastanówmy się, czy tego typu testy rzeczywiście mogą okazać się przełomowe.
Na pewnej stronie związanej z grą królewską możemy więc spotkać CAPCHA… szachowe. W celu dokonania weryfikacji wystarczy tylko wskazać jeden prawidłowy ruch. Sprytne? Biorąc pod uwagę to, że komputery już od dawna potrafią pokonać najlepszych szachowych mistrzów oraz to, że przed dostępem do takiego serwisu powstrzymamy internautów nie znających zasad gry, nie jest to chyba najlepszy pomysł.
W takim razie może lepiej sprawdzi się zaawansowana zagadka matematyczna z chorwackiego serwisu Quantum Random Bit Generator Service? Cóż, efekt jest podobny do zagadki szachowej. Niewielu internautów jest w stanie pokonać wyzwanie, natomiast komputery powinny z nią sobie poradzić dość łatwo.
Skoro skomplikowane matematyczne formuły nie są dobrym pomysłem, może powinniśmy badać cechy typowo ludzkie, czyli takie, których automaty są pozbawione? Na taki pomysł wpadli właśnie Szwedzi walczący o prawa człowieka, którzy w swoich zagadkach sprawdzają poziom… empatii. Spójrzmy na interesujący przykład.
Trzeba przyznać, że pomysł z testowaniem typowo ludzkich cech zamiast inteligencji czy umiejętności jest dość interesujący. Na nic zda się to jednak, jeśli intruz wykupi usługi wspomnianych już profesjonalnych łamaczy CAPTCHA. Dlatego też, naszym faworytem pozostaje Facebook, który tworzy naprawdę wymagające wyzwania…
Jeśli wam również zdarzyło się kiedyś spotkać jakieś niezwykle interesujące lub zadziwiające internetowe testy człowieczeństwa, jak zwykle zachęcamy do podzielenia się z nami waszymi spostrzeżeniami.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
Właściwie to http://zaraz.herokuapp.com/ tez jest rodzaj captscha. Wystarczy tylko rozwiązać kilka by przekonać się, że jest calkiem ciekawe ;)
P.S. Nie wierzcie , że tak szybko się kończą.
http://sweetcaptcha.com/ sweetcaptcha, popularna w wordpressach. Zabezpiecza dobrze przed spamem, ale w praktyce można zgadnąć odpowiedź z prawdopodobieństwem… 25% =.=
Captcha tylko denerwuje.
Niech robią zabezpieczenia JavaScript i niech przeglądarka sama rozwiązuje te testy.
Jeśli twórcy stron nie potrafią zapanować nad botami to niech robią logowanie użytkowników i po sprawie.
W rapidshare były kotki, pieski, literki a automaty i tak robiły swoje. Wkurzało to tylko noramlnych, uczciwych użytkowników.
Może polecicie jakiś najlepszy system do implementacji na stronie?
@zigg,
Pytanie tylko, w jaki sposób obiektywnie wybrać ten najlepszy, jak widać jest wiele rozmaitych ciekawych pomysłów :)?
re Morris A zaczną masowo tworzyć użytkowników? Swoją drogą można by zadawać jakieś proste pytania, np jakiego koloru są róże? Przed „wynajętymi” odpowiadaczami i tak nie ma zabezpieczenia. Swoją droga można by wprowadzić dodatkowy czynnik losowy, czyli albo przepisujesz captha albo np wpisujesz 5 liter które się w nim nie znajdują, zależnie od tego co się na ekranie wyświetli. W każdym razie z głową a nie maszynowo (np ocr-em).
Apropos: http://pornel.net/captcha
@sig
Jak zaczną tworzyć masowo użytkowników to sprawdzasz na jakie e-maile weryfikowali się, z jakich ipków zakładali konta. Dodatkowo mając dane o przeglądarce internetowej można wytypować boty i poprosić o ponowną trudniejszą weryfikację.
re Morris Akurat teraz jak spamują sieci zombie z ip nie dowiesz się nic, zaś maile są równie podatne na zakładanie przez boty jak i wszystkie inne konta.
Rozwiązanie powyższego Facebook’owego CAPTCHA:
aticandi nigger
ReCAPTCHA – jedno słowo – to sztucznie zniekształcone zawsze w podobny sposób – jest znane komputerowi, a drugie słowo pochodzi ze skanu tekstu drukowanego i nie udało się go rozpoznać OCR’em. W miejsce drugiego można wpisać cokolwiek, przykładowo:
[google.com/#q=”Operation+ReNigger”] ;)
@Average Joe,
Tak, pamiętam tę akcję i wiem, że drugie słowo to tak naprawdę w tym wypadku korekta OCR, bardziej chodziło tu o zabawne podsumowanie rozmaitych przygód z CAPTCHA, których pewnie każdy internauta miał niezliczoną ilość.
A gdzie słynne kotki z Rapidshare? (stosowane w przeszłości)
Są jeszcze captcha z prostymi grami – http://areyouahuman.com/
Co do kotków i piesków to istnieje:
http://research.microsoft.com/en-us/um/redmond/projects/asirra/installation.aspx
A tak przy okazji to czemu kotki i pieski są złe?, macie jakieś konkretne przykłady złamania tego rodzaju captchy?
re Adi Bo były łatwiejsze do rozróżnienia przez komputer (porównanie obrazków z wzorcem) niż człowieka. Przynajmniej te z rapidshare-a
Czy klikaliście kiedykolwiek wersję dźwiękową ReCaptcha? Polecam — niezapomniane doświadczenie. Stawiam piwo za rozwiązanie choćby 1.
Okej, jest 2018, a co z nowymi chaptchami typu: kliknij na obrazkach zawierających sklep / znak drogowy? Stosuje je Google obecnie. Jaka skuteczność, czy już zbadana? Jeśli tak, skąd je brać?
firma google to samo dno nie szanują klientów wysyłają informację „Nasze systemy wykryły nietypowy ruch pochodzący z Twojej sieci komputerowej. Ta strona ma na celu sprawdzenie, czy to rzeczywiście Ty wysyłasz żądania, a nie robot”. Nawet robot może odczytać obrazek, firmie google nie chodzi o bezpieczeństwo tylko o śledzenie użytkowników na jakie strony wchodzą i co oglądają, jak wam wyskakuje takie okienko to oni nie umią was namierzyć tylko posyłają głupi tekst żeby sprawdzić że nie jesteś robotem inne przeglądarki są lepsze od google np. bing.com ona nie żąda jakiś zasranych obrazków. firma google i ich przeglądarki to sam złom nic na nich nie działa.
Powodzenia google bo mnie nie namierzycie róbcie tak dalej to stracicie klientów, WSZYSCY TUTAJ UŻYWAJCIE WYSZUKIWARKI STRON BING.COM ONA JEST DUŻO LEPSZA MA WIĘCEJ FUNKCJI A CO NAJWAŻNIEJSZE JEST SZYBSZA OD GOOGLE POŻAL SIE NAD TA WYSZUKIWARKA TO SYF