Berta Sándor

Használhatatlanok a Captcha-megoldások

Megjelent az XRumer spammerprogram legújabb verziója, amely elvileg képes kijátszani bármely Captcha képrejtvényt. A virtuális világban 500 dollárba kerülő szoftver igazán olcsónak számít, hiszen más alkalmazások esetében nem ritka a több ezer dolláros vételár sem.


A captcha halott?
Az új programverzióról Francois Paget számolt be a McAfee Avert Labs kutatási blogjában. Az elmúlt hónapokban minden eddiginél sikeresebben törik fel a bűnözők a Captcha védelmi megoldásokat. "Körülbelül másfél éve léteznek a piacon olyan alkalmazások, amelyek képesek a képrejtvényeket automatikusan elemezni" - emelte ki Toralv Dirro, a McAfee biztonsági szakértője. Ezeket a szoftvereket a spammerek elsősorban arra használják, hogy a fórumokat elárasszák a kéretlen reklámüzeneteikkel vagy hogy így szerezzék meg webmail-fiókok hozzáféréseit.

Paget az írásában az XMCO partners francia biztonsági konzultációs vállalat adataira hivatkozott, amelyek szerint a Google-Captchák 80 százalékát a bűnözők képesek egy percen belül feltörni. A phpBB nevű alkalmazás esetében ez az arány még magasabb, 97 százalékos és a feltöréshez szükséges idő csupán 3 másodperc. Egy kínai például 500 és 6000 dollár közötti összeget követelt a szakembertől az egyszerűbb és a közepes védelmi szintű Captchák feltörésére alkalmas algoritmusért cserébe. A Google és a Hotmail rendszerét kijátszó megoldások ennél is többe kerülnek. Az orosz XRumer 5 ára csupán 520 dollár, így szinte kihagyhatatlan ajánlatnak tűnhet a rosszfiúk szemében.


Dirro elképzelhetőnek tartotta, hogy hamarosan valóságos technológiai versenyfutás fog kezdődni a Captcha-fejlesztők és a bűnözők között. Ebből viszont szinte csak a fejlődő országokban alkalmazott és a csábításnak engedő szakemberek profitálhatnak. A vietnami vagy a bangladesi árak meglehetősen vonzóak a spammerek számára, 1000 Captcha feltöréséért ugyanis a segítők csupán néhány dollárt kérnek. A Google Mail Captcha-tesztjét februárban törték fel, míg a Hotmail hasonló védelmi rendszerének kijátszásához áprilisban már csak 6 másodpercre volt szükségük az ismeretlen elkövetőknek.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Dj Faustus #58
    Ha elolvasod az egész hozzászólást, olvashatod, hogy a hangfelismerésről értekezett. Tehát a 2. szövegfelismerés hangfelismerés.
  • Tsol #57
    ez a tizenötös hozzászólásra volt a "válasz"
  • Tsol #56
    Míg a szövegfelismerés viszonylag fejlett tecnológia, addig a szövegfelismerés nagyon gyerekcipőben jár.

    Mivan?
  • Max7 #55
    nem értetted meg amit írok! két képet kell párosítani az egyik a felismerendő a másik meg a párosított tehát felismerem hogy az a kép kutyás kép vagy cicás kép ebből van 1000 a másik oldalon lévő képeket is lementem és mivel méretük egyezik mindig nem nehéz azonosítani minden képet hiába más a neve vagy a kiterjesztése!
  • Turdus #54
    "valaki bölcsen azt írta hogy onnantól lesz biztonságos ez a rendszer hogyha többe kerül a feltörése mint amit belőle ki lehet nyerni!"
    Én voltam az... :-)

    "letölteném a képet amit fel kell ismernem"
    Na itt van a gond, ugyanis egyszer lekéri a teszt, és ha te mégegyszer le akarod kérni, már másik képet fogsz kapni. Próbáld csak ki.

    "Adatbázis felépítése: 1000+1000 kép letöltése"
    Nemnem, tévedésben vagy. Az nem 1000+1000, hanem 1000*1000. Nem mindegy...

    "viszont a cél az hogy segítsem a munkádat és egy rést befoltozz ezzel, ezért keresztbe tehetnél pl ott ha a képeket megjelenítés előtt egy php fügvénnyel szerkesztenéd és véletlen szerűen 10-15 pixelt módosítanál rajta!"
    Köszönöm, de az a helyzet, hogy nincs mit befoltozni, mivel erre már számítottam. Elárulom egyébként, hogy a képet eleve script állítja elő (nem akarok feleslegesen erőforrást pazarolni, ezért nem módosítja a képet on-the-fly lekérdezéskor, inkább berakok még 100 variációt).
  • Max7 #53
    Turdus: Mint azt te is beláttad, nincs olyan rendszer ami törhetetlen, elolvasva az összes hozzászólást, valaki bölcsen azt írta hogy onnantól lesz biztonságos ez a rendszer hogyha többe kerül a feltörése mint amit belőle ki lehet nyerni!

    Alapvetően egy adatbázist kell felállítanom, hogy melyik képhez melyiket kell párosítani! Ismerve a háttéradatokat, 1000 képről beszéltünk! de legyen 1000 kép amit fel kell ismerni és 1000 kép amivel párosítani kell...

    Az adatbázisom úgy nézne ki hogy a párosítandó kép-et címszóval látnám el pl kutyás kép = kutya macskás kép = macska virágos = virág ésatöbbi ésatöbbi! ugyan ezt eljátszanám a párosítandó 1000 képpel!

    A feladat végrehajtásakor a következőt tenném: letölteném a képet amit fel kell ismernem majd megkeresném melyik az a kép utánna adatbázisból kikeresném a címszót majd szintén lementeném a párosítani kívánt képet megkeresném melyik vonatkozik a címszóra és megvan a megoldás!

    Adatbázis felépítése: 1000+1000 kép letöltése + címszavazása 10 diák alkalmazásával 4 óra munkával megtörténne (80 munkaóra) +2-3 óra scriptírás!

    A futásra (törés) ramdisk-et használnék és már pörögne is a dolog!

    jelenleg a kiadásom kb 10 diák órabére 400ft egyenként az a 10 diákra 4000ft és mindezt 4 óra munkával 16.000ft + az én baszakodásom kb 20e ft maradék 80e tiszta haszon!

    ha meg 10x-eznéd a képeket akkor a kiadásom is meg 10x-eződne 160.000 lenne ekkor már nem érné meg 100.000ft-ért

    alapvetően 10.000 kép közül a script válogatna hát kissebb terhelés és tárhelyfoglaltság senki nem alkalmazná....

    de ha egy otp-ről van szó akkor 160e ft-os kiadást megérne több milliárd számla adatáért cserébe!

    Nincs sajnos sem szabadidőm sem 16.000ft befektetni való tőkém most ezért bebizonyítani nem tudom hogy működik, viszont a cél az hogy segítsem a munkádat és egy rést befoltozz ezzel, ezért keresztbe tehetnél pl ott ha a képeket megjelenítés előtt egy php fügvénnyel szerkesztenéd és véletlen szerűen 10-15 pixelt módosítanál rajta!

    ezzel a módszerrel a kép összehasonlításnál megbukna a rendszer bár még itt is lehet hibaarány, de már nem 100%-os aztán bonyolíthatnád még hogy csíkokat is raksz a képbe pl mindig véletlenül generált hexa színű csíkokat 2 vastagsági érték között ekkor már ismét csökkentenéd az esélyeim!

    De mutatok neked mást ilyen módszerrel (beúszással) mozognának a csíkok a képen... felismerési esély ismét felére csökkenne! (a nulla értéket soha nem tudnád elérni!)
  • Turdus #52
    nagylzs: én sem szeretem a flameket, de itt annyira beképzeltek vagytok, hogy egyáltalán nem veszitek a fáradságot, hogy végigolvassátok amiket írtam.
    A több kép egyébként jó ötlet, én is gondoltam már rá, de pont amiatt vetettem el, amit írtál.

    vajon kiki: "megszerezni Brute Force technikával"
    Hahaha :-)

    Ha elolvastátok volna, amit írtam, tudnátok, hogy ezen módszerek egyike sem célravezető, mivel ezekre direkt számítottam, és beraktam védelmet ellene.
    A brute force kifejezetten nevetséges, mivel minden teszt egyedi. kb annyi az esély, mint lottónál: valszámosok gyakran esnek abba a hibába, hogy kapcsolatot keresnek a húzott számok között, de ez alapvetően hibás: az egyik húzás egyáltalán nem befolyásolja a következőt, és itt is ez a helyzet: minden egyszer megjelent teszt garantáltan egyedi a legelső próbálkozásig, nem lehet mégegyszer reprodukálni.

    Szóval még mindig ott tartunk, hogy ha szerencsések vagytok, akkor elméleti max 10%. (Gyakorlatilag ennél kisebb, mert annak az esélye, hogy az a válasz lesz a jó, amit kinéztetek, még kisebb (teszem azt az elsőt néztétek ki, és 1000 próbálkozásból egyszer sem dobja a program az elsőt jó válasznak)).
  • bm823 #51
    Még mindig az sms alapú megoldást látom a legjobbnak. 1 mobilszám 1 júzer. Belépéskor 1x smsben ellenőrizni kell a felhasználót, aztán már csak letiltani hogy 1 másodperc alatt ne küldhessen ezer hozzászólást. Nyilván ez meg költséges.
  • Adamul #50
    ja és azt nem értem,hogy ha ilyen jó az arány, hogy a zsándékosan eltorzított karaktereket fel tudják ismerni már... akkor egy hagyományos szövegfelismerő program egy egyszerű kézírást nem ismer fel? Hatalmas áttörést jelentene szerintem, ha ezt jóra használnák!
  • Adamul #49
    hát hogy rohadnának meg, azóta kapom gmailen a sok szennyet.... Oké h egyből kiszűri a spam kategóriába, de mégis van, és jön... Ez azért veszélyes mert nem gmailes címre is küldik, ahol nem vszínű h suzintén kiszűrik, hisz a gmail mint megbízható szolgáltató van rangsorolva... közben meg simán küldheti a sok szennyt nem gmailes címről is a szerverükön keresztül.. :(