Перейти к содержанию

Российские программисты обошли систему Captcha на портале Yahoo.


Рекомендуемые сообщения

Российские программисты обошли систему CAPTCHA на портале Yahoo

 

Группа российских программистов, обозначившая себя как Network Security Research, сообщила о создании программного обеспечения, способного обходить систему защиты CAPTCHA, используемую на портале Yahoo.

 

Напомним, что CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) представляет собой автоматизированный публичный тест Тьюринга для различения компьютеров и людей. На практике CAPTCHA - это компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. Основная идея теста состоит в том, чтобы предложить пользователю такую задачу, которую легко решает человек, но которую невозможно (или крайне трудно) научить решать компьютер. В основном это задачи на распознавание образов. CAPTCHA чаще всего используется при необходимости предотвратить использование интернет-сервисов ботами, в частности, для предотвращения автоматических отправки сообщений, регистрации, скачивания файлов или массовых рассылок.

 

На сегодня существует множество реализаций системы с программной точки зрения. Вообще говоря, в идеале для максимальной защиты на каждом сайте следовало бы развернуть свою систему, реализованную на базе собственных алгоритмов. Именно так и поступили в Yahoo, создав в рамках всех сервисов свою собственную, но единую систему CAPTCHA, которая до сих пор считалась наиболее защищенной.

 

Тем не менее в блоге Network Security Research автор блога под псевдонимом John Wane пишет, что ими было разработано программное обеспечение, которое с вероятностью не менее 35% точно распознает систему защиты Yahoo и обходит ее.

 

По утверждениям самого "John Wane", их группа связалась с представителями и сообщила об обнаруженных уязвимостях, однако никто из Yahoo им так и не ответил.

 

Программное обеспечение, размещенное в блоге группы, позволяет проводить массовую регистрацию адресов электронной почту, отправлять множественные сообщения в блоги и несанкционированно использовать другие сервисы Yahoo.

 

"Как правило, приемлемый уровень точности составляет около 15%, но при количестве попыток в день не менее 100 000 атакующий может говорить об успехе своих противоправных действий", - говорит разработчик.

 

Разработанная исследователями система состоит из двух частей - серверной и клиентской. Для работы серверной части требуется наличие среды MATLAB 2007a Compiler Runtime (MCR), которая ожидает соединения и передачи картинки CAPTCHA, после этого движок программы распознает изображение и передает его клиентской части, которая использует полученные данные в свои целях, например для регистрации мусорных адресов электронной почты.

 

В перспективе разработчики также не исключили и создания бизнеса из своей разработки - взимать с пользователей системы по 1 центу за каждый распознанный номер или слово CAPTCHA. Блог разработчиков расположен по адресу network-security-research.blogspot.com.

 

_ttp://www.cybersecurity.ru/crypto/39945.html

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...