Google captcha úspešne prelomená

 Pred pár dňami spoločnosť Websense publikovala na svojom blogu veľmi zaujímavé informácie. Spoločnosti sa podarilo pri skúmaní bližšie nešpecifikovaného malwaru objaviť servery, ktoré bezplatne „lámu“ Google captchu a výsledok potom poskytujú ako text. Spameri vďaka týmto serverom vytvárajú obrovské množstvo kont Gmail, ktoré potom používajú na spamovanie. Úspešnosť je až 20 % (1 z 5 pokusov).

Ak neviete, čo je to CAPTCHA, môžete si o nej prečítať na stránkach Wikipedie (cs).

Prečo vynakladajú spameri toľko úsilia na vytvorenie automatizovaného systému na registráciu do free webmailov? Dôvodov je hneď niekoľko. V prvom rade vysoká anonymita. Vystopovať osobu, ktorá sa zaregistrovala napríklad na Gmaile, je veľmi zložité, nehovoriac o prípade, ak sa zaregistruje robot (malware) z napadnutého počítača obete. Potom je akékoľvek úsilie odhaliť páchateľa bezpredmetné. Ďalší dôvod je, že Gmail nikdy nebude zablokovaný alebo označený ako spam. To značí, že každý e-mail z Gmailu vám príde do schránky, pretože nie je považovaný za spam. Tretia výhoda je obrovská masa používateľov. Je veľmi výhodné pre spamera používať server, ktorý je známy a populárny. V neposlednom rade je výhodou aplikačná kapacita populárnych webmailov. Je prakticky nepravdepodobné, že by Gmail „spadol“ po masívnom rozosielaní miliónov e-mailov v priebehu krátkej chvíle. To je jeho štandard a je na to pripravený, teda spamer sa môže schovať „v dave“. Potom je úspešnosť spamu oveľa vyššia – a tým aj zisky z neho. Preto sa spamerom oplatí dať si obrovskú námahu vytvoriť automatizovaný registračný systém, ako aj systém na „lámanie“ captche.

Podľa výskumu firmy Websense existujú servery (pravdepodobne v Rusku), ktoré fungujú ako Software as a Service (softvér ako služba, príkladom môže byť on-line konvertovacia služba Zamzar). Tieto servery akceptujú obrázky captcha z Google a následne sa snažia identifikovať text, ktorý obsahujú (samozrejme zadarmo). Úspešnosť je veľmi zaujímavá, každý piaty obrázok captcha je úspešne prelomený a prevedený na text. To značí až 20-percentnú úspešnosť. Takto je možné vytvoriť státisíce účtov a posielať milióny spamov každý deň a stále využívať opísané benefity.

Websense zatiaľ nevie (alebo nepublikovala) spôsob prelomenia captche, ale pravdepodobných scenárov je päť:
    • Existuje databáza ID (názov obrázka) a ich preklad na normálny text
    • Používa sa veľmi pokročilý OCR skener na rozoznanie textu
    • Používa sa matematický softvér na výpočet hashu, ktorý je priradený k textu
    • Najpravdepodobnejšie sa používa hlasový skener na hlasovú captchu, ktorá existuje ako alternatíva pre zrakovo postihnutých návštevníkov
    • Veľmi populárne hlavne v Číne – využíva sa ľudský faktor. Lacní zamestnanci prepisujú celé hodiny captchu ručne
„Zvuková“ metóda patrí k tým najjednoduchším, aj keď sa vám to na prvý pohľad nemusí zdať. Existuje niekoľko veľmi šikovných riešení, ktoré dosahujú úspešnosť 98 % na „čistom“ hlase (bez postranných efektov, skreslenia zvuku atď.). Naopak, veľmi nepravdepodobná je posledná metóda, aj keď je veľmi hojne využívaná spamermi a inými kriminálnymi živlami po celom svete. Najčastejšie sú najímaní bežní ľudia v Číne, ktorí za hodinu práce dostanú niekoľko centov až dolár. Ich pláca býva často trojnásobná oproti zvyšku rodinu, ktorý pracuje na poli.

Odporcovia captche už dlhší čas poukazujú na slabú schopnosť jednoslovnej captche ochrániť formuláre pred robotmi. Dnes prevláda názor, že by sa tvorcovia portálov nemali uchyľovať k vytváraniu vlastných riešení, ale používať originálny projekt, ktorý som opísal v článku CAPTCHA pre každý web rýchlo a jednoducho. Nemôžem s týmto názorom nesúhlasiť a rovnako chcem dodať, že niektoré služby majú šialenú captchu, ktorá je takmer nečitateľná, ako napríklad IMDB. Keby autori podporili (aj finančne) už existujúci projekt, captcha by mohla dosahovať veľmi dobrú úroveň (netvrdím, že dnes nedosahuje). Už dnes je úspešnosť prelomenia viacslovnej captche na úrovni promile. Ďalším dôkazom môže byť prípad, ktorý sa stal len nedávno. Partia ruských hackerov prelomila captchu Yahoo! a dosiahla až 35 % úspešnosť.

Viac sa môžete dočítať v článku spoločnosti Websense.

Zdroj: Synopsi Blog



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter