Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Kilka niezwykłych testów CAPTCHA

26 marca 2013, 13:18 | Teksty | komentarzy 18

CAPTCHA (ang. Completely Automated Public Turing test to tell Computers and Humans Apart) to dobrze znane wszystkim internautom zabezpieczenia, których głównym zadaniem jest powstrzymanie automatów od wprowadzania jakichkolwiek danych do internetowego serwisu. Dziś przyjrzymy się kilku przykładom egzotycznych odmian CAPTCHA i zastanowimy się, czy ich stosowanie pozwala na osiągnięcie zadowalających rezultatów.

System Captcha odróżnia człowieka od automatu poprzez zaprezentowanie pewnego zadania do rozwiązania, które powinno być stosunkowo łatwe dla internautów i jednocześnie trudne do automatycznego wykonania. Najczęściej stosowanym zabezpieczeniem jest prośba o odczytanie treści z grafiki zawierającej pewien zniekształcony tekst. Spotykane są również zagadki graficzne, dźwiękowe, a nawet krótkie animacje.

Obraźliwe CAPTCHA?

Obraźliwe CAPTCHA?

Niestety, w praktyce zabezpieczenia te są jednak bardzo często skutecznie atakowane. Od wykorzystania oprogramowania OCR, poprzez ataki socjotechniczne wykorzystujące użytkowników innego serwisu do rozwiązywania zagadek z docelowej witryny, aż do „fabryk” zatrudniających mieszkańców biednych rejonów Azji w celu masowego ręcznego rozwiązywania poszczególnych testów (stawki wahają się w okolicach 1 USD za 1000 rozwiązanych CAPTCHA).

Biorąc pod uwagę powyższe słabości tego rozwiązania, co jakiś czas powstają pomysły na CAPTCHA niezwykłe. Spójrzmy na kilka przykładów i zastanówmy się, czy tego typu testy rzeczywiście mogą okazać się przełomowe.

Na pewnej stronie związanej z grą królewską możemy więc spotkać CAPCHA… szachowe. W celu dokonania weryfikacji wystarczy tylko wskazać jeden prawidłowy ruch. Sprytne? Biorąc pod uwagę to, że komputery już od dawna potrafią pokonać najlepszych szachowych mistrzów oraz to, że przed dostępem do takiego serwisu powstrzymamy internautów nie znających zasad gry, nie jest to chyba najlepszy pomysł.

CAPTCHA szachowe

CAPTCHA szachowe

W takim razie może lepiej sprawdzi się zaawansowana zagadka matematyczna z chorwackiego serwisu Quantum Random Bit Generator Service? Cóż, efekt jest podobny do zagadki szachowej. Niewielu internautów jest w stanie pokonać wyzwanie, natomiast komputery powinny z nią sobie poradzić dość łatwo.

CAPTCHA matematyczne

CAPTCHA matematyczne

Skoro skomplikowane matematyczne formuły nie są dobrym pomysłem, może powinniśmy badać cechy typowo ludzkie, czyli takie, których automaty są pozbawione? Na taki pomysł wpadli właśnie Szwedzi walczący o prawa człowieka, którzy w swoich zagadkach sprawdzają poziom… empatii. Spójrzmy na interesujący przykład.

CAPTCHA sprawdzi naszą empatię

CAPTCHA sprawdzi naszą empatię

Trzeba przyznać, że pomysł z testowaniem typowo ludzkich cech zamiast inteligencji czy umiejętności jest dość interesujący. Na nic zda się to jednak, jeśli intruz wykupi usługi wspomnianych już profesjonalnych łamaczy CAPTCHA. Dlatego też, naszym faworytem pozostaje Facebook, który tworzy naprawdę wymagające wyzwania…

Nasz faworyt -- Facebook CAPTCHA

Nasz faworyt — Facebook CAPTCHA

Jeśli wam również zdarzyło się kiedyś spotkać jakieś niezwykle interesujące lub zadziwiające internetowe testy człowieczeństwa, jak zwykle zachęcamy do podzielenia się z nami waszymi spostrzeżeniami.

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tuf

    Właściwie to http://zaraz.herokuapp.com/ tez jest rodzaj captscha. Wystarczy tylko rozwiązać kilka by przekonać się, że jest calkiem ciekawe ;)

    P.S. Nie wierzcie , że tak szybko się kończą.

    Odpowiedz
  2. http://sweetcaptcha.com/ sweetcaptcha, popularna w wordpressach. Zabezpiecza dobrze przed spamem, ale w praktyce można zgadnąć odpowiedź z prawdopodobieństwem… 25% =.=

    Odpowiedz
  3. Morris

    Captcha tylko denerwuje.
    Niech robią zabezpieczenia JavaScript i niech przeglądarka sama rozwiązuje te testy.
    Jeśli twórcy stron nie potrafią zapanować nad botami to niech robią logowanie użytkowników i po sprawie.
    W rapidshare były kotki, pieski, literki a automaty i tak robiły swoje. Wkurzało to tylko noramlnych, uczciwych użytkowników.

    Odpowiedz
  4. zigg

    Może polecicie jakiś najlepszy system do implementacji na stronie?

    Odpowiedz
    • @zigg,
      Pytanie tylko, w jaki sposób obiektywnie wybrać ten najlepszy, jak widać jest wiele rozmaitych ciekawych pomysłów :)?

      Odpowiedz
  5. sig

    re Morris A zaczną masowo tworzyć użytkowników? Swoją drogą można by zadawać jakieś proste pytania, np jakiego koloru są róże? Przed „wynajętymi” odpowiadaczami i tak nie ma zabezpieczenia. Swoją droga można by wprowadzić dodatkowy czynnik losowy, czyli albo przepisujesz captha albo np wpisujesz 5 liter które się w nim nie znajdują, zależnie od tego co się na ekranie wyświetli. W każdym razie z głową a nie maszynowo (np ocr-em).

    Odpowiedz
  6. Stefan
    Odpowiedz
  7. Morris

    @sig
    Jak zaczną tworzyć masowo użytkowników to sprawdzasz na jakie e-maile weryfikowali się, z jakich ipków zakładali konta. Dodatkowo mając dane o przeglądarce internetowej można wytypować boty i poprosić o ponowną trudniejszą weryfikację.

    Odpowiedz
  8. sig

    re Morris Akurat teraz jak spamują sieci zombie z ip nie dowiesz się nic, zaś maile są równie podatne na zakładanie przez boty jak i wszystkie inne konta.

    Odpowiedz
  9. Average Joe

    Rozwiązanie powyższego Facebook’owego CAPTCHA:
    aticandi nigger

    ReCAPTCHA – jedno słowo – to sztucznie zniekształcone zawsze w podobny sposób – jest znane komputerowi, a drugie słowo pochodzi ze skanu tekstu drukowanego i nie udało się go rozpoznać OCR’em. W miejsce drugiego można wpisać cokolwiek, przykładowo:
    [google.com/#q=”Operation+ReNigger”] ;)

    Odpowiedz
    • @Average Joe,
      Tak, pamiętam tę akcję i wiem, że drugie słowo to tak naprawdę w tym wypadku korekta OCR, bardziej chodziło tu o zabawne podsumowanie rozmaitych przygód z CAPTCHA, których pewnie każdy internauta miał niezliczoną ilość.

      Odpowiedz
  10. Bbmm

    A gdzie słynne kotki z Rapidshare? (stosowane w przeszłości)

    Odpowiedz
  11. Michał
    Odpowiedz
  12. Adi
    Odpowiedz
  13. sig

    re Adi Bo były łatwiejsze do rozróżnienia przez komputer (porównanie obrazków z wzorcem) niż człowieka. Przynajmniej te z rapidshare-a

    Odpowiedz
  14. Juzek

    Czy klikaliście kiedykolwiek wersję dźwiękową ReCaptcha? Polecam — niezapomniane doświadczenie. Stawiam piwo za rozwiązanie choćby 1.

    Odpowiedz
  15. Okej, jest 2018, a co z nowymi chaptchami typu: kliknij na obrazkach zawierających sklep / znak drogowy? Stosuje je Google obecnie. Jaka skuteczność, czy już zbadana? Jeśli tak, skąd je brać?

    Odpowiedz
  16. adam.w

    firma google to samo dno nie szanują klientów wysyłają informację „Nasze systemy wykryły nietypowy ruch pochodzący z Twojej sieci komputerowej. Ta strona ma na celu sprawdzenie, czy to rzeczywiście Ty wysyłasz żądania, a nie robot”. Nawet robot może odczytać obrazek, firmie google nie chodzi o bezpieczeństwo tylko o śledzenie użytkowników na jakie strony wchodzą i co oglądają, jak wam wyskakuje takie okienko to oni nie umią was namierzyć tylko posyłają głupi tekst żeby sprawdzić że nie jesteś robotem inne przeglądarki są lepsze od google np. bing.com ona nie żąda jakiś zasranych obrazków. firma google i ich przeglądarki to sam złom nic na nich nie działa.
    Powodzenia google bo mnie nie namierzycie róbcie tak dalej to stracicie klientów, WSZYSCY TUTAJ UŻYWAJCIE WYSZUKIWARKI STRON BING.COM ONA JEST DUŻO LEPSZA MA WIĘCEJ FUNKCJI A CO NAJWAŻNIEJSZE JEST SZYBSZA OD GOOGLE POŻAL SIE NAD TA WYSZUKIWARKA TO SYF

    Odpowiedz

Odpowiedz