Группа российских программистов, обозначившая себя как Network Security Research, сообщила о создании программного обеспечения, способного обходить систему защиты CAPTCHA, используемую на портале Yahoo.
На сегодня существует множество реализаций системы с программной точки зрения. Вообще говоря, в идеале для максимальной защиты на каждом сайте следовало бы развернуть свою систему, реализованную на базе собственных алгоритмов. Именно так и поступили в Yahoo, создав в рамках всех сервисов свою собственную, но единую систему CAPTCHA, которая до сих пор считалась наиболее защищенной. Тем не менее в блоге Network Security Research автор блога под псевдонимом John Wane пишет, что ими было разработано программное обеспечение, которое с вероятностью не менее 35% точно распознает систему защиты Yahoo и обходит ее.
По утверждениям самого "John Wane", их группа связалась с представителями и сообщила об обнаруженных уязвимостях, однако никто из Yahoo им так и не ответил. Программное обеспечение, размещенное в блоге группы, позволяет проводить массовую регистрацию адресов электронной почты, отправлять множественные сообщения в блоги и несанкционированно использовать другие сервисы Yahoo. "Как правило, приемлемый уровень точности составляет около 15%, но при количестве попыток в день не менее 100 000 атакующий может говорить об успехе своих противоправных действий", - говорит разработчик.
Разработанная исследователями система состоит из двух частей - серверной и клиентской. Для работы серверной части требуется наличие среды MATLAB 2007a Compiler Runtime (MCR), которая ожидает соединения и передачи картинки CAPTCHA, после этого движок программы распознает изображение и передает его клиентской части, которая использует полученные данные в свои целях, например для регистрации мусорных адресов электронной почты. В перспективе разработчики также не исключили и создания бизнеса из своей разработки - взимать с пользователей системы по 1 центу за каждый распознанный номер или слово CAPTCHA.
