Статьи

Google reCAPTCHA можна обійти. Як?

Давайте почнемо з того, що це взагалі за слово таке - «капча». Це вільна транскрипція англійської абревіатури captcha - Completely Automated Public Turing test to tell Computers and Humans Apart ( «повністю автоматизований публічний тест Тьюринга для розрізнення комп'ютерів і людей »).

В основі капчи, як і в основі оригінального тесту Тьюринга, лежить проста ідея: капча є тест, який може пройти людина і не може - комп'ютер. Найчастіше капча показує користувачеві спотворений текст, який потрібно ввести повторно, щоб отримати доступ до чого-небудь.

Найчастіше капча показує користувачеві спотворений текст, який потрібно ввести повторно, щоб отримати доступ до чого-небудь

Капча - це важливий інструмент, який дозволяє легко і швидко захистити сайти від реєструються ботів, блог-пости - від незліченних спамерських комментов і так далі. Без капчі умільці змогли б, наприклад, накручувати кількість голосів в голосуваннях або писати купу рекламних коментарів за допомогою програмних роботів.

Перші версії капчи були досить простими, і комп'ютери швидко навчилися їх обходити. Це спричинило за собою змагання хакерів і розробників тестів captcha. Варто було злочинцям здолати одну капчу, як випускалася нова, більш досконала версія.

У якийсь момент в поєдинок втрутилася компанія Google і представила свою reCAPTCHA . Зараз розробка Google вважається неофіційним стандартом в світі капчи. Вона використовується самої Google, Facebook і на багатьох інших сайтах для захисту від спаму та інших капостей. В общем-то, reCAPTCHA - це найпопулярніший вид капчі на світлі.

На жаль, виявилося, що розробка Google не так добре захищена, як багато хто думав.

Фахівці з безпеки з Колумбійського університету недавно виявили кілька вразливостей в технології reCAPTCHA, які дозволяють хакерам обійти обмеження і ініціювати великомасштабні атаки на сайти.

Дослідники стверджують, що їм вдалося створити систему, яка успішно вирішує завдання капчи в 70% випадків, причому в середньому у неї на це йде близько 19 секунд. Для Facebook цей показник навіть вище - успішними були 83,5% спроб, - мабуть, тому, що Facebook використовує для тесту картинки з більш високою роздільною здатністю.

Для створення цієї системи використовувалися методи машинного навчання. Обхід reCAPTCHA відбувався наступним чином: спочатку програма отримувала файли cookie і імітувала поведінка живої людини. Вона подорожувала по різних відкритим сайтам з довільними інтервалами, дотримувалася добовий режим відвідування Інтернету і всіляко вдавала звичайним користувачем. Робилося це неспроста: в логіці Google прописано, що, якщо користувач схожий на робота, йому потрібно запропонувати вирішити задачку поскладніше.

Продемонструвавши «зразкову поведінку», програма запитувала доступ, наприклад, для коментування, дивилася на капчу і відправлялася шукати картинки з неї за допомогою зворотного пошуку Google Images. Того, який на вхід отримує картинки, а на виході видає слова.

Забавно, що система для пошуку зображень від Google допомогла зламати стандарт reCAPTCHA, зроблений тієї ж Google. Текстові описи до картинок дуже сильно полегшили програмі завдання. Крім того, часто зустрічаються картинки фахівці Колумбійського університету внесли в програму вручну.

Проте ця програма може працювати і без Інтернету. «Наша повністю офлайнова система обходу капчі працює швидко і точно. Вона порівнянна з професійними рішеннями ». - Дослідники особливо пишаються простотою і ефективністю своєї розробки.

Перш ніж опублікувати результати роботи, фахівці Колумбійського університету зв'язалися з Google і Facebook і повідомили обом компаніям про знайдені вразливості. За їх словами, Google швидко відреагувала, спробувавши вдосконалити reCAPTCHA, в той час як Facebook поки не прийняла ніяких заходів.

Дослідники вважають, що хакери готові платити по $ 2 за 1000 вирішених задачок капчи, так що програма легко могла б заробляти їм $ 100 в день. А якби вони запустили відразу багато атак одночасно або застосували інші, додаткові технології, то щоденний прибуток була б ще більше. Оскільки зловмисники за повітря не платять, ви цілком можете уявити масштаби потенційного лиха.

Очевидно, що в світі кібербезпеки є ще багато невирішених проблем, але такі дослідження допомагають багатьом компаніям, включаючи Google, зайняти більш активну позицію і переглянути заходи безпеки. Google вже зацікавилася можливістю зробити свій захист надійніше, і хочеться вірити, що і інші сайти не проігнорують це дослідження.

Новости