Давайте почнемо з того, що це взагалі за слово таке - «капча». Це вільна транскрипція англійської абревіатури captcha - Completely Automated Public Turing test to tell Computers and Humans Apart ( «повністю автоматизований публічний тест Тьюринга для розрізнення комп'ютерів і людей »).
В основі капчи, як і в основі оригінального тесту Тьюринга, лежить проста ідея: капча є тест, який може пройти людина і не може - комп'ютер. Найчастіше капча показує користувачеві спотворений текст, який потрібно ввести повторно, щоб отримати доступ до чого-небудь.
Капча - це важливий інструмент, який дозволяє легко і швидко захистити сайти від реєструються ботів, блог-пости - від незліченних спамерських комментов і так далі. Без капчі умільці змогли б, наприклад, накручувати кількість голосів в голосуваннях або писати купу рекламних коментарів за допомогою програмних роботів.
Перші версії капчи були досить простими, і комп'ютери швидко навчилися їх обходити. Це спричинило за собою змагання хакерів і розробників тестів captcha. Варто було злочинцям здолати одну капчу, як випускалася нова, більш досконала версія.
У якийсь момент в поєдинок втрутилася компанія Google і представила свою reCAPTCHA . Зараз розробка Google вважається неофіційним стандартом в світі капчи. Вона використовується самої Google, Facebook і на багатьох інших сайтах для захисту від спаму та інших капостей. В общем-то, reCAPTCHA - це найпопулярніший вид капчі на світлі.
На жаль, виявилося, що розробка Google не так добре захищена, як багато хто думав.
Фахівці з безпеки з Колумбійського університету недавно виявили кілька вразливостей в технології reCAPTCHA, які дозволяють хакерам обійти обмеження і ініціювати великомасштабні атаки на сайти.
Дослідники стверджують, що їм вдалося створити систему, яка успішно вирішує завдання капчи в 70% випадків, причому в середньому у неї на це йде близько 19 секунд. Для Facebook цей показник навіть вище - успішними були 83,5% спроб, - мабуть, тому, що Facebook використовує для тесту картинки з більш високою роздільною здатністю.
Для створення цієї системи використовувалися методи машинного навчання. Обхід reCAPTCHA відбувався наступним чином: спочатку програма отримувала файли cookie і імітувала поведінка живої людини. Вона подорожувала по різних відкритим сайтам з довільними інтервалами, дотримувалася добовий режим відвідування Інтернету і всіляко вдавала звичайним користувачем. Робилося це неспроста: в логіці Google прописано, що, якщо користувач схожий на робота, йому потрібно запропонувати вирішити задачку поскладніше.
Продемонструвавши «зразкову поведінку», програма запитувала доступ, наприклад, для коментування, дивилася на капчу і відправлялася шукати картинки з неї за допомогою зворотного пошуку Google Images. Того, який на вхід отримує картинки, а на виході видає слова.
Забавно, що система для пошуку зображень від Google допомогла зламати стандарт reCAPTCHA, зроблений тієї ж Google. Текстові описи до картинок дуже сильно полегшили програмі завдання. Крім того, часто зустрічаються картинки фахівці Колумбійського університету внесли в програму вручну.
Проте ця програма може працювати і без Інтернету. «Наша повністю офлайнова система обходу капчі працює швидко і точно. Вона порівнянна з професійними рішеннями ». - Дослідники особливо пишаються простотою і ефективністю своєї розробки.
Перш ніж опублікувати результати роботи, фахівці Колумбійського університету зв'язалися з Google і Facebook і повідомили обом компаніям про знайдені вразливості. За їх словами, Google швидко відреагувала, спробувавши вдосконалити reCAPTCHA, в той час як Facebook поки не прийняла ніяких заходів.
Дослідники вважають, що хакери готові платити по $ 2 за 1000 вирішених задачок капчи, так що програма легко могла б заробляти їм $ 100 в день. А якби вони запустили відразу багато атак одночасно або застосували інші, додаткові технології, то щоденний прибуток була б ще більше. Оскільки зловмисники за повітря не платять, ви цілком можете уявити масштаби потенційного лиха.
Очевидно, що в світі кібербезпеки є ще багато невирішених проблем, але такі дослідження допомагають багатьом компаніям, включаючи Google, зайняти більш активну позицію і переглянути заходи безпеки. Google вже зацікавилася можливістю зробити свій захист надійніше, і хочеться вірити, що і інші сайти не проігнорують це дослідження.