Szerző: Folyó Gergely

2011. május 25. 15:57

Feltöri a hangos CAPTCHA-t egy új szoftver

Kaliforniai kutatók olyan programot írtak, amely képes megfejteni a hangos CAPTCHA kódokat. A fejlesztők arra figyelmeztetnek: a látássérülteket segítő megoldás biztonsági szempontból szinte használhatatlan, és fontos lenne új alternatívát kitalálni.

Az első CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) kódokat több mint tíz éve vetették be először, azóta az internetezők úton-útfélen összefuthatnak a különféle feladványokkal, melyek arra hivatottak, hogy megkülönböztessék egymástól az igazi felhasználókat és a robotokat, amelyek kéretlen reklámokkal akarják teleszemetelni egy adott oldal kommentfalát, több ezer e-mail címet akarnak regisztrálni egy hírlevélre, vagy befolyásolni akarják valamelyik online szavazás végeredményét.

A CAPTCHA-knak több változata létezik, a különféle logikai és matematikai feladványok mellett legismertebb fajtája, amikor egy képen véletlenszerűen betűket és számokat látunk, amiket azután a felhasználónak be kell gépelnie. Az optikai karakterfelismerő programok elterjedésével a CAPTCHA-kat folyamatosan fejleszteni kellett, a képeken idővel egyre torzabbá, esetleg színesebbé váltak a karakterek. A CAPTCHA eredeti feltalálói által kifejlesztett, és most a Google tulajdonában lévő reCAPTCHA azzal nehezíti a számítógépek dolgát, hogy a betűket egy vonallal húzza át, hogy azokat nehezebben lehessen elkülöníteni.

Egyszerűbb, de kevésbé biztonságos

A látássérültek számára idővel hangos CAPTCHA-k készültek, amelyek a képekhez hasonlóan tartalmaznak számokat és betűket, csak ezeket egy torzított gépi hang olvassa fel, miközben a háttérben zaj, zúgások, esetleg beszélgetésfoszlányok hallatszódnak. Tény, hogy ez a megoldás sokkal kényelmesebbé, egyszerűbbé teszi a kódon való átjutást azok számára, akik nem látnak jól, ugyanakkor biztonsági szempontból már régóta megkérdőjelezhető volt a hasznossága.

Legutóbb kaliforniai tudósok a Decaptcha névre keresztelt szoftver segítségével törtek fel az eBay, a Microsoft és a Yahoo által is használt audio CAPTCHA-kat, mégpedig 41-89 százalékos sikerrátával. A reCAPTCHA-k esetében ez az arány mindössze 1,5 százalék volt, igaz, túl sok vigaszt ez sem jelenthet a felhasználók számára, elvégre egy nagyobb bothálózatnak nem jelent nagy problémát, hogy legalább százszor kell próbálkoznia minden egyes sikeres megfejtéshez.

Hogyan akadályoz meg egy fejlesztő 14 karakterrel egy hackertámadást (x)

Sokszor gondoljuk, hatalmas erőfeszítés ellehetetleníteni egy támadást, pedig nem feltétlenül.

Hogyan akadályoz meg egy fejlesztő 14 karakterrel egy hackertámadást (x) Sokszor gondoljuk, hatalmas erőfeszítés ellehetetleníteni egy támadást, pedig nem feltétlenül.

A Decaptcha különféle hangfeldolgozási eljárásokat alkalmaz a CAPTCHA-k háttérzajainak kiszűréséhez és a számjegyek, illetve betűk azonosításához. A programot húsz percen keresztül kell “megbarátkoztatni” valamelyik típusú CAPTCHA-val, utána pedig percenként tíz kódot tud feltörni egy átlagos asztali számítógépet használva. A kutatók arra szeretnék felhívni a figyelmet, hogy a technikáik használhatatlanná teszik a most használt audio CAPTCHA-kat, muszáj lenne alternatívák után nézni - javaslatuk szerint például zenét kellene használni a kód bonyolítására, mert azzal már nehezebben birkózna meg egy program.

Teljes biztonság sosem lesz

Persze míg egy számítógépnek lehet meglepetéseket okozni, addig egy olvasni és írni tudó embernek már nem: a spammerek gyakran alkalmaznak hús-vér kódtörőket, akiknek minden ezredik megfejtett kód után fizetnek minimális összegeket. Az általános tarifa 80 cent és 1 dollár 20 cent között mozoghat, de bizonyos források szerint fél dollárért is foglalkoztatnak jórészt kínai vagy indiai munkásokat.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról