Captcha je už prežitok

 Pravdepodobne každý z vás sa už stretol s touto ochranou. Dnes patrí CAPTCHA k najnepopulárnejším ochranám na internete z pohľadu používateľa. Často krát je veľmi otravná a nepríjemná. Nervozita používateľa sa stupňuje s každým zlým prepisom a vymazaním formuláru. Má teda dnes ešte captcha zmysel, alebo je už prežitkom?
CAPTCHA je skratkou pre “Completely Automated Public Turing test to tell Computers and Humans Apart”. Zjednodušene sa jedná o test, či sa za požiadavkou skrýva počítač, alebo skutočná osoba. U captchy sa tento test vykonáva tým, že je používateľ prinútený vypísať text ktorý vidí vygenerovaný na obrázku do políčka. Ak text sedí, je vyhodnotený ako skutočná osoba a formulár je úspešne odoslaný.

Po rokoch sa stala captcha veľmi obľúbeným nástrojom programátorom, ktorí ju nasadzujú ako ochranu svojich webových aplikácií proti spamerom. Dnes je ju možné nájsť už aj na ďalších miestach, ako napríklad ochranu proti útokom CSRF.
Ako sa stávala captcha populárnejšou, objavovali sa aj rôzni ľudia (neviem aký názov pre týchto ľudí zvoliť, takže budem používať crackeri, čo ich vystihuje asi najlepšie), ktorí sa zaujímali o prelomenie tejto ochrany a začali vyvíjať rôzne nástroje pre jej pokorenie. Na tento účel sa začal hojne využívať OCR (Optical character recognition), vďaka ktorému bolo celkom jednoduché získať reťazec z captchi a tak tvorcovia pritvrdili. Do obrázkov začali vkladať veľmi príbuzné pozadia s textom, pridali niekoľko ďalších mätúcich obrazcov, občas podhodili kde tu písmenko, občas zas vyžadovali trošku logického uvažovania (vypíšte tretí, piaty a siedmy znak z reťazca). Aj tomu sa začali crackeri prispôsobovať a tak vznikali ešte sofistikovanejšie nástroje pre rozpoznávanie textu vpísaného do obrázku.

Tento boj je už však pravdepodobne za zenitom. Naposledy túto situáciu vyhnala do absurdna služba rapidshare, keď do captchy umiestnila obrázok mačky, podľa ktorého bolo potrebné znaky prepisovať. Aj tento systém sa podarilo ruským crackerom obísť a tak sa prevádzkovatelia služby rozhodli captchu stiahnuť. Podobne to je u niekoľkých iných službách, no nateraz väčšina služieb aktívne odoláva. Príkladom je aj Google, Yahoo, Facebook a ďalší.
Z mojich skúseností však viem, že prelomenie captchy nie je vždy tak úplne potrebné. Často krát je samotná captcha zle implementovaná a tak ju nie je potrebné používať, alebo je ju možné ľahko oklamať.

Najčastejšie chybné implementácie, s ktorými som sa stretol:
• Ak je odstránené políčko formuláru s captchou, tá je následne ignorovaná a formulár akceptovaný (azet)
• Captcha nie je definovaná tokenom (teda časovo obmedzeným a náhodne generovaným reťazcom) ale len hashom, ktorý má neobmedzenú platnosť a je ho teda možné používať donekonečna. Potom je možné používať jednu captchu dookola
• Captcha je definovaná tokenom, ktorý ma pevnú platnosť a nie je vymazávaný pri odoslaní formuláru. Do ukončenia platnosti tokenu je teda možné napríklad vytvoriť niekoľko kont, alebo poslať niekoľko emailov
• Captcha má rôzne pozadia definované parametrom, ktoré je možné meniť a vybrať si také, ktoré je jednoduchšie prelomiteľné (azet)
• Text captchy je ukladaný do skrytého formuláru alebo do cookies a je ho možné ľahko prečítať
• Captcha využíva veľmi primitívne maskovanie, napríklad rôznofarebné pozadia od textu, prekrývanie textu rôznofarebnými obrazcami, atď.

I keď sa vám môžu niektoré z týchto implementačných chýb zdať príliš hlúpe, stretol som sa s nimi už aj na veľkých weboch. U nás všetci čo začali nasadzovať blogovací systém Wordpress MU spolu s rozšírením pre ochranu formulárov trpia na jednu z týchto zraniteľností. Konkrétne je captcha určená hash reťazcom a nie tokenom. Preto je možné definovať text z obrázku a posielať stále tu istú captchu. Ak nahradíte červeným označené číslo za nižšie ako je uvedené, potom dostanete jeden konkrétny reťazec, ktorému sa mení jeho font a farba, text však ostáva.

Ak je implementácia vykonaná správne, takéto captche bývajú štandardnými technikami ťažko zdolateľné. Mnohí zástancovia captche ich potom označujú ako len veľmi ťažko zdolateľné len vo veľmi malých počtoch. Dlhší čas som bol aj ja zástancom tejto ochrany, no rozhodol som sa sám si skúsiť, aké je zložité captchu skutočne zlomiť. Vybral som si niekoľko známych portálov, ktoré captchu používajú a začal som skúšať. Po troch mesiacoch mam celkom komplexný nástroj, ktorým som bol schopný dosiahnuť asi 30% úspech pri lámaní Google captche. Ako demonštráciu som si však zvolil jednoduchšie captche, aby videá neboli až príliš dlhé. Zvolil som si www.orangeportal.sk a www.delicious.com. Oba portály používajú vlastnú implementáciu captche. Na každom z videí môžete vidieť proces ich rozpoznávania a potom na linkách pod nimi porovnanie obrázku a získaného textu.

Výsledné porovnanie rozpoznávania captchy portálu www.orangeportal.sk.

Výsledné porovnanie rozpoznávania captchy portálu www.delicious.com.
U oboch portálov sa jednalo len o obrázkovú captchu. Existuje však zvuková captcha, ktorú používa mnoho portálov ako alternatívu k tým obrázkovým pre nevidiacich. Šikovní páni zo spoločnosti Wintercore však vytvorili nástroj, ktorý je schopný analyzovať aj takúto captchu a úspešne ju previesť na text.

Chvíľu mi trvalo zmeniť názor na túto ochranu, ale dnes už môžem aj ja povedať: Je koniec, táto ochrana viacej nemá zmysel. Určite sa v rade čitateľov nájdu aj takí, čo nebudú so mnou súhlasiť a odôvodnia to hlavné tým, že nie každý vie takýto program napísať a captchu obísť. To je možno pravda, no zopár jedincov sa rozhodlo takýmto osobám pomôcť a tak jeden z najúspešnejších projektov PWNtcha je dnes už voľne stiahnuteľný. Online je však možné nájsť omnoho viac nástrojov, ktoré môžu tento proces rapídne uľahčiť, stačí len pohľadať. Ak už predsa len chcete captchu na svojich stránkach používať, zvoľte tú z originálneho projektu reCAPTCHA, ktorá je jedna z tých najťažších.

Zdroj: blog.synopsi.com



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Sta­ne sa z Pi­ra­te Bay naj­väč­šia strea­min­go­vá služ­ba na sve­te?
Vďaka doplnku pre prehliadače Chrome, Firefox alebo Internet Explorer s názvom Torrenty-Time sa web The Pirate Bay premenil na najväčší svetový portál na streaming videa. čítať »
 
Fa­ce­book mu­sí pres­tať sle­do­vať webo­vé ak­ti­vi­ty ľu­dí, aj keď ne­vyu­ží­va­jú Fa­ce­book
Francúzske úrady dali spoločnosti Facebook tri mesiace na to, aby prestala bez povolenia sledovať webovú aktivitu ľudí, ktorí nevyužívajú jej služby. čítať »
 
SK-NIC: Na Slo­ven­sku je viac ako 336-ti­síc do­mén a naj­viac sa ich za­čí­na na pís­me­no S
Správca národnej domény .sk neustále eviduje trendy vo vývoji počtu domén. Z toho napríklad vidno, že za rok 2015 bolo zaregistrovaných až 21 595 tzv. prvoregistrácií. Pozrite si ďalšie štatistiky z kuchyne SK-NICu, a. s. čítať »
 
Fa­ce­book opäť me­ní al­go­rit­mus News Fee­du. Kto­ré prís­pev­ky uvi­dí­te ako pr­vé?
Facebook oznámil na svojom blogu, že opäť mení algoritmus News Feed, aby sa používateľom nezobrazovali príspevky, ktoré nechcú vidieť. čítať »
 
YouTu­be vraj chys­tá ži­vé 360° vi­deos­trea­my pre vir­tuál­nu reali­tu
Zástupcovia YouTube na stretnutí s výrobcami kamier vyhlásili, že pracujú na možnosti živého streamovania 360-stupňového videa. čítať »
 
Pre­zi­dent za­lo­žil inter­ne­to­vú strán­ku ve­rej­ná ob­jed­náv­ka
Prezident Andrej Kiska založil internetovú stránku s názvom verejnaobjednavka.sk, ktorú spúšťa ako občan Slovenskej republiky. Ako pre médiá uviedol, je potrebné vytvoriť jednoznačnú verejnú objednávku, aby politici cítili tlak a riešili veci, ktoré riešiť treba. čítať »
 
Yahoo má pre­púš­ťať, prob­lé­my jej ro­bí Goog­le a Fa­ce­book
Šéfka spoločnosti Yahoo Inc. Marissa Mayerová predstaví plán škrtov v nákladoch, ktorý bude zahŕňať zníženie počtu pracovných miest o 15 % a zatvorenie niekoľkých divízií. čítať »
 
Wra­pi­fy vo­di­čom za­pla­tí, ak ne­cha­jú svo­je auto pre­me­niť na po­jaz­dnú rek­la­mu
Prevádzkovať auto nie je lacná záležitosť. Pohonné hmoty, poistenie, údržba -náklady rýchlo rastú. A práve tu by chcel pomôcť startup Wrapify, ktorý ponúka vodičom peniaze za to, ak si nechajú svoje vozidlo „obaliť" reklamou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter