Компьютерные ученые разработали ПО, которое с легкостью наносит поражение
звуковой CAPTCHA, предлагаемой при регистрации аккаунтов полудюжиной популярных
сайтов, путем эксплуатации неустранимых уязвимостей в автоматических тестах,
разработанных для предотвращения мошенничества.
Decaptcha - это двухфазный аудио-CAPTCHA анализатор, который решает
головоломку с 41- 89-процентным успехом на сайтах типа eBay, Yahoo, Digg,
Authorize.net и Microsoft Live.com. Программа работает путем удаления фонового
шума из аудио файлов, оставляя лишь распознаваемые элементы, необходимые для
выполнения теста.
Практически во всех тестах программа Decaptcha смогла решить головоломку, по
меньшей мере, один раз из каждых ста попыток, что делает технику подходящей для
ботмастеров с огромными армиями взломанных компьютеров. Высокие показатели
успеха по большей степени связаны с легкостью устранения звуковых искажений,
известных как фоновый шум, промежуточный шум и постоянный шум и включаемых в
фон, чтобы сбить с толку программы по распознанию речи. Большинство аудио-CAPTHA
систем широко открыты для атак с отличным исключением в виде принадлежащего
Google Recaptcha.net,
где используется другой подход, известный как семантический шум.
"Наши результаты показывают, что схемы аудио-captcha, построенные на
использовании существующих в данное время методов (без семантического шума), по
существу небезопасны", - написали недавно исследователи в
статье. "Вследствие этого мы подозреваем, что не существует возможности
разработать безопасные аудио-captcha, которые могут быть использованы людьми при
нынешних методах. Поэтому важно исследовать альтернативные подходы".
Decaptcha использует фирменный алгоритм, который должен быть подготовлен для
каждой схемы CAPTCHA. Подготовка требует загрузки в программу ряда вопросов с
ответами. В конечном итоге Decaptcha может различать звуковые формы,
представленные в аудио-файлах, путем сравнения их с большим количеством
образцов, уже занесенных в каталог. Исследователи сгенерировали 4.2 миллиона
аудио-CAPTCHA.
Статья является лишь последним напоминанием об уязвимостях в CAPTCHA, которые
разработаны для предотвращения регистрации аккаунтов скриптами и осуществления
других автоматических атак, путем предоставления пользователю такой задачи,
которую тяжело решить компьютеру. Реальные атаки против аудио-CAPTCHA Microsoft
уже были использованы спам-ботнетом
Pushdo для создания
мошеннических аккаунтов на
Live.com. Более традиционные CAPTCHA, которые требуют от пользователя
распознать слово на искаженном изображении, успешно покоряются в течение многих
лет, с одним из наиболее недавних примеров в виде атаки на Google с
распознаванием символов.
После того, как атаки становятся очевидными, операторы сайтов обычно делают
изменения, которые блокируют определенную технику. Затем исследователи
пересматривают свои атаки, владельцы сайтов снова меняют CAPTCHA и так далее.
Последнее исследование предполагает, что веб-разработчикам, возможно, придется
сделать временные изменения в аудио-CAPTCHA, которые предлагаются людям с
нарушением зрения.
"Наши эксперименты с коммерческими и синтетическими captcha показывают, что
существующая методология создания аудио-защиты может быть неисправима ", -
написали они. "Кроме Recaptcha, все коммерческие схемы, которые мы
протестировали, использовали для искажения комбинации постоянного и регулярного
шумов. В основном компьютеры могут действительно быть более гибкими по отношению
к постоянному и регулярному шуму, чем люди, поэтому все схемы, которые
полагаются на эти искажения, по сути, небезопасны".