Feedback Form
Feed subscription » blog | » comments | » irc | » fórum | » mobi | » twitter

Google captcha úspešne prelomená

Google captcha úspešne prelomenáPred pár dňami spoločnosť Websense publikovala na svojom blogu veľmi zaujímave informácie. Spoločnosti sa podarilo pri skúmaní bližšie nešpecifikovaného malwaru objaviť servery, ktoré bezplatne “lámu” Google captchu a výsledok potom poskytujú ako text. Spameri vďaka týmto serverom vytvárajú obrovské množstvo Gmail kont, ktoré potom používajú na spamovanie. Úspešnosť je až 20% (1 z 5 pokusov).

Ak neviete čo je to CAPTCHA, môžete si o nej prečítať na stránkach Wikipedie (cs).

google-captcha.jpgPrečo vynakladajú spameri toľko úsilia vytvoriť automatizovaný systém pre registráciu do free webmailov? Dôvodov je hneď niekoľko. V prvom rade, vysoká anonymita. Vystopovať osobu, ktorá sa zaregistrovala napríklad na Gmaily je veľmi zložité a nehovoriac o tom, ak sa zaregistruje robot (malware) z napadnutého počítača obete. Potom je akékoľvek úsilie odhaliťgoogle-captcha-2.jpg páchateľa bezpredmetné. Ďalším dôvodom je, že Gmail nikdy nebude zablokovaný, alebo označený ako spam. Tzn., že každý email z Gmailu vám príde do vašej schránky, pretože nie je považovaný za spam. Treťou výhodou je obrovská masa používateľov. Je veľmi výhodne pre spamera používať server, ktorý je známy a populárny. V neposlednom rade je výhodougoogle-captcha-3.jpg aplikačná kapacita populárnych webmailov. Je prakticky nepravdepodobné, že by Gmail “spadol” po masívnom rozosielaní miliónov emailov behom krátkej chvíľe. To je jeho štandard a je na to pripravený, tzn. spamer sa môže schovať “v dave”. Potom je úspešnosť spamu ďaleko vyššia a tým aj zisky z neho. Preto sa spamerom oplatí dať si obrovskú námahu vytvoriť automatizovaný registračný systém, ako aj systém na “lámanie” captchy.

Podľa výskumu firmy Websense existujú servery (pravdepodobne v Rusku), ktoré fungujú ako Software as a Service (softvér ako služba, príkladom môže byť online konvertovacia služba Zamzar). Tieto servery akceptujú captcha obrázky z Google, ktoré sa následne snažia identifikovať text, ktorý obsahujú (zdarma samozrejme). Úspešnosť je veľmi zaujímavá, každý 1 z 5 captcha obrázkov je úspešne prelomený a prevedených na text. Tzn. až 20% úspešnosť. Takto je možné vytvoriť státisíce účtov a posielať milióny spamov každý deň a stále využívať benefity popísané vyššie.

Websense zatiaľ nevie (alebo nepublikovala) spôsob prelomenia captchy, ale pravdepodobných scenárov je päť:

  • Existuje databáza ID (názov obrázku) a ich preklad na normálny text
  • Používa sa veľmi pokročilý OCR skener pre rozoznanie textu
  • Používa sa matematický softvér pre výpočet hashu, ktorý je priradený k textu
  • Najpravdepodobnejšie - používa sa hlasový skener na hlasovú captchu, ktorá existuje ako alternatíva pre zrakovo postihnutých návštevníkov
  • Veľmi populárne hlavne v Číne - využíva sa ľudský faktor. Lacný zamestnanci prepisujú celé hodiny captchu ručne

“Zvuková” metóda patrí k tým najjednoduchším, aj keď sa vám to na prvý pohľad nemusí zdať. Existuje niekoľko veľmi šikovných riešení, ktoré dosahujú 98% na “čistom” hlase (bez postranných efektov, skreslenia zvuku, atď.). Naopak veľmi nepravdepodobná je posledná metóda, aj keď je veľmi hojne využívaná spamermi a inými kriminálnymi živlami po celom svete. Najčastejšie sú najímaný bežní ľudia v Číne, ktorí za hodinu práce dostanú niekoľko centov až dolár. Ich pláca býva často trojnásobná, ako zvyšku rodinu, ktorý pracuje na poli.

Odporcovia captchy už dlhší čas poukazujú na slabú schopnosť jednoslovnej captchy ochrániť formuláre pred robotmi. Dnes prevláda názor, že by sa nemali tvorcovia portálov uchyľovať k vytváraniu vlastných riešení, ale používať originálny projekt, ktorý som popísal v článku “CAPTCHA pre každý web rýchlo a jednoducho“. Nemôžem s týmto názorom nesúhlasiť a rovnako chcem dodať, že niektoré služby majú šialenú captchu, ktorá je takmer nečitateľná, ako napríklad IMDB. Keby autori podporili (aj finančne) už existujúci projekt, captcha by mohla dosahovať veľmi dobrej úrovne (netvrdím, že dnes nedosahuje). Už dnes je úspešnosť prelomenia viacslovnej captchy na úrovni promile. Ďalším dôkazom môže byť prípad, ktorý sa stal len nedávno. Partia ruských hackerov prelomila Yahoo! captchu a dosiahli až 35% úspešnosť.
Viac sa môžete dočítať v článku spoločnosti Websense.



Príbuzné články:
  • CAPTCHA pre každý web rýchlo a jednoducho
  • Ochrana Blu-Ray BD+ úspešne prelomená
  • Captcha je už prežitok
  • Azet.sk Captcha: Spameri, vitajte!
  • Goolag.org predstavil Google Dork Scanner

    • Tagy: captcha, cina, gmail, ocr, skener, voice, zamzar, zvukova
    26.02.2008, 01:39 - oooo
    Kategórie: Bezpečnosť, Google Inside and IT News

    7 Responses to “Google captcha úspešne prelomená”

    1. 1 Miso Feb 26th, 2008 at 06:53

      Zdar, inak ta konvertovacia sluzba sa vola Zamzar nie Zazmar ;)

    2. 2 ayslix Feb 26th, 2008 at 08:12

      preklep :) ale link bol od zaciatku spravny :) …

      thx

    3. 3 addam Feb 26th, 2008 at 19:30

      Inak CAPTCHA solveri nemusia byt plateni, moze to byt riesene aj pomocou social engineeringu - prva lastovicka sa objavila uz pred cca pol rokom, viac info na: http://blog.trendmicro.com/captcha-wish-your-girlfriend-was-hot-like-me/

    4. 4 oooo Feb 26th, 2008 at 21:32

      viem, trend mam v rss citacke. v tejto metode vsak nevidim ziadnu realnu vyhru.

    5. 5 2ge Feb 28th, 2008 at 18:46

      captcha tak ako funguje - tzn opisovanie textu nie je podla mna dobra. Urcite lepsia je na identifikovanie obrazkov - napis co vidis.

    6. 6 1okaty Feb 29th, 2008 at 15:33

      práve uvažujem akú captchu si dám na stránku, a s tými obrázkami to nieje zlý nápad, avšak treba dať veľký počet obrázkov, tak aby sa predišlo vytvoreniu spam zoznamu obrázkov a náhodnému uhádnutiu konkrétneho obrázku, napríklad pri 10 obrázkoch je pravdepodobnost 1:10 ale pri veľkej rýchlosti sa to dá uhádnuť napríklad aj za 1 sec, potom je možné zasa napríklad určiť časové obmedzenie, napríklad pre 3 nesprávne pokusy. možné je aj kombinovať, to znamená že do pozadia obrázka dať auto a do popredia ešte nejaké písmená, ale potom sa naskytá otázka či to nebude návštevníka stránky moc zaťažovať…. takže ešte porozmýšľam čo tam dám…

      Mimochodom ďakujem za tento blog… a doporučujem, niektorým spoločnostiam poskytovať informácie o chybách na stránkach len za poplatok, možno sa potom budú chcieť s tebou baviť OOOO

    7. 7 oooo Feb 29th, 2008 at 15:54

      s obrazkami je to zly napad, pretoze tento sposob je vlastne horsi ako captcha. kazdy obrazok bude mat rozdielnu velkost. tzn. ze je jednoduche z neho vytvorit hash. na zaklade tejto hash sa do db priradia informacie (teda text co ma byt pouzity) a voala. velmi jednoduche. najlepsia ochrana je pouzivat js a css pre overenie uzivatela. mozno ze je to malinko obmedzujuce, ale lepsie tak, ako hocico ine. dalsim faktom je, ze spamera musi tvoja stranka najskor zaujimat (velmi vysoka navstevnost). preto si nemyslim ze je potreba vymyslat iny sposob ochrany. urcite by som pouzil reCAPTCHU. dobre api, jednoducha pouzitelnost, vyhoda znizeneho trafficu. nie je co dodat

    Leave a Reply