Berta Sándor

Hat másodperc alatt feltörték a Hotmail Captcha-tesztjét

A Websense számítástechnikai biztonsági cég egyik munkatársa fedezte fel, hogy a spammerek az eddiginél jóval gyorsabban képesek megkerülni a levelezőrendszerek Captcha-tesztjeit.

Sumeet Prasad a Websense blogjában számolt be észrevételeiről. A szakember az új eljárást agresszívnek és közvetlennek nevezte. Prasad szerint a módszerrel legfeljebb hat másodperc alatt kijátszhatók a Captcha-teszteken alapuló védelmek. Maga a kifejezés a "Completely Automated Public Turing-test to tell Computers and Humans Apart" mozaikszava, ami körülbelül annyit tesz, hogy "teljesen automatizált publikus Turing-teszt a számítógépek és emberek megkülönböztetésére". Ennek a tesztnek a manapság is legelterjedtebb formája a kissé eltorzított vagy színes vonalakkal tarkított kép, melyen betűk és számok szerepelnek.

Az ember asszociációs képessége könnyen felismeri, hogy mi a zaj és mi a tartalom, de a legtöbb számítógépes karakterfelismerőt ez már megfekteti. A módszer gyakorlati lényege, hogy az olyan szájtokon, amit emberi léptékekre terveztek, ne szaporodjanak el a scriptek, programok, melyek milliós nagyságrendben képesek percenként ugyanazt megcsinálni, amit egy ember esetleg percenként egyszer, vagy általában csak egyszer csinálna. A módszer feltörhetősége ellenére a szakértők úgy vélik, hogy a megoldást továbbra is használni fogják világszerte, azonban szükség lesz más védelmi rendszerekre is.


A lapunkon is alkalmazott Captcha célja az automatikus regisztrációk kiszűrése

Jelenleg a leggyakrabban a Hotmailt támadják a spammerek és minden támadásnál egyre kevesebb idő kell a siker eléréséhez. Az eredményességi arány 10-15 százalék, ami jóval rosszabb a Gmail elleni akciók eredményeinél. "Jelenleg a Captcha-megoldások egészen használhatók. Azonban szükség van a javításukra és nem szabad ezeket a rendszereket önmagukban használni. Rövid vagy hosszabb távon mindenképpen szükség lesz további védelmi mechanizmusokra" - reagált a hírre Gerhard Göschl biztonsági szakember.

Gunter Ollmann, az IBM Internet Security Systems munkatársa viszont sokkal keményebben fogalmazott: "A Captcha eredetileg jó ötlet volt, azonban a mai profitorientált támadási környezetben - védelmi megoldásként - már gyakorlatilag használhatatlan. Legfeljebb a scriptkiddiek, vagyis az amatőr próbálkozók távoltartására elegendőek." A mostani támadások elsősorban a Windows Live Hotmail szolgáltatását érintették. A Websense szakemberei szerint problémát jelent, hogy egyrészt a Microsoft doménjét nehéz lenne feketelistára tenni, másrészt a regisztráció ingyenes, harmadrészt a Hotmail részét képezi a Windows Live szolgáltatásrendszernek és a levelezőrendszert több millióan használják világszerte.

Idén február végén a spammerek feltörték a Google Mail Captcha-tesztjét. Az akciókra szintén a Websense munkatársai hívták fel a figyelmet blogjukban. Azt ugyanakkor egyelőre még nem tudják, hogy a Hotmail ellen hatásos módszer megegyezik-e a korábban a Google Mailnél használt eljárással. A szoftvercégek korábban nagyon erőltették a képalapú Captcha-teszteket, tavaly például pont a Microsoft Asirra (Animal Species Image Recognition for Restricting Access) néven projektet is indított egy ilyen biztonsági megoldás kifejlesztésére.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Ghoosty #32
    Az a cég, aki ilyet bevezetne azonnal veszítene jópár ügyfelet. Ugyanincs elég sokan nem szeretnék megadni a telefonszámukat holmi idegeneknek, ráadásul után nézel, hogy miért hívogatnak mindenféle reklámmal, meg kapod a reklám SMS-t.
  • ffxi #31
    Amit az egyik ember létrehoz, majd idővel másik ember le is rombolja.
  • bm823 #30
    Email regisztrációnál bevezthetnék a smses ellenőrzést is.
    Megadod a telószámod, küldenek sms-t, smsben lévő számot bepötyögöd.
    Mint a banki webes rendszereknél.
    Természetesen korlátozni kell az 1 mobilszámról regelhető emailok számát vagy gyakoriságát.

    Persze ez nem megoldás pl fórum hozzászólásoknál, kicsit idegesítő volna mindig beírni a számokat minden egyes hozzászólásnál.

    Arra azért kiváncsi lennék 1 MS, YAHOO, GOOGLE méretű cégnek mennyibe kerül 1 sms küldés.

  • willard #29
    Csak éppen a spameket botnetekről küldik szét, azoknak az irányítóit pedig nem tudják elkapni. Nem valami magányos Don Quijote ül a kis PC-je előtt a pincében, és küldi a Buy cheap Viagra through us!-t. :)
  • Adamul #28
    szerintem logikával kéne variálni a képeket, nem kell vmi érettségi szintű, csak a képem a "2 + 3" lehetne olvasható, amire 5-öt kéne beírni, ez csak egy példa, lehetne magasabb karakterszámú is a válasz, de ezt nem lehet egyszerű gépierővel feltörni...
  • Ghoosty #27
    A bérgyilkosokkal sincs gond, meg az orgazdákkal sincs, az autótolvajokkal meg főleg nincs. Ők is csak a pénzért csinálják.
  • sathinel #26
    Nincs velük gond ők pénzért csinálják. A gond azokkal a cégekkel van akik ezért fizetnek nekik. Minden országban tiltani kéne minden olyan eszközt amit spam-el terjesztenek. Ha tiltott, akkor még póstán sem adhatnák fel neked, max ha kiutazol hozzájuk. Na ez lenne szopás nekik. A kis kínai arcok meg addig csinálják nekik ezt amíg kapnak rá pénzt. Ha nem programmal, akkor farmerekkel jó olcsón.
  • Turdus #25
    rigidus: márpedig de, nem figyeltek rá, olvasd el az eredeti cikket. Ha meg tényleg több ipről jön a kérés, akkor az időlimit megoldás.

    HuBa: ez tényleg jó, de szerintem a 0.1 volt a legolvashatóbb... Esetleg a 0.4 fekete-fehér veziója, a többi számomra is olvashatatlan.

    ricsimaster: hogy akarsz egy 2d-s objektumra 3d-s domborulatfelismerést írni?
  • raingun #24
    Végezzék ki nyilvánosan a spammereket, ez az egyetlen megoldás...
    Fasz*mba az emberi jogokkal, egy ilyen spammer egy levéláradattal több ezer ember életnyi munkájának megfelelő kárt okoz.
    Minden egyes rohadt spamrohammal milliónyi emberóra munka vész kárba.
  • bakagaijin #23
    Különösen hogy a flash-t gyárilag tiltják bizonyos helyeken, mobil eszközök is imádják :). Mostanában az emberi nyelven kérdezős kiegészítések terjednek, amire ugyanazon a nyelven kell válaszolni. De szerencsére ezek is eléggé korlátos készlettel dolgoznak.

    Előbb-utóbb az lesz mint a Szárnyas fejvadászban (Blade Runner), becsenget egy ügynök, leül veled szemben, előkaparja a gépét és a feltett kérdésekre a pupillareflexeid alapján eldönti, hogy elolvashatod-e a leveleid :).