לעקוף את ה-Captcha

חוקרים פרסמו בארצות הברית דרך חדשה כיצד לעקוף את הקאפצ’ה הקולי, וכעת ניתן רק להמתין לשמוע כיצד גורמים זדוניים ינצלו את הידע לטובתם.

מקור: צילום מסך מ-Captcha.net

חוקרים מאוניברסיטת סטנפורד (Stanford) בשיתוף עם חוקרים מאוניברסיטת טוליין (Tulane) הצליחו לפתח אלגוריתם חדש המסוגל להתגבר לא רק על חלק גדול מסוגי הקאפצ’ה הקיימים היום, אלא גם על קאפצ’ה קולי (Voice Captcha).

לזהות בני אדם

קאפצ’ה הוא השם שניתן למערכת זיהוי אנושית, אשר מטרתה לזהות האם יושב אדם מול מסך המחשב, או שמא הגולש באתר הוא תוכנת מחשב. הקאפצ’ה מקובלת היום מאוד, ומאומצת על-ידי החברות הגדולות, כסטנדרט הטוב ביותר הקיים היום להבדיל בין אנשים לבין גורמים המפעילים תוכנות מחשב במטרה להיכנס לאתר, או להשפיע על המתרחש בו.

בין הדוגמאות הנפוצות לשימושי קאפצ’ה נמצאות הרשמה חדשה לשירותים, כגון דואר אלקטרוני, בעת פרסום טוקבקים באתרים גדולים, ועוד. ישנם אתרים רבים המוצאים את עצמם תחת ניסיונות חוזרים ונשנשים של כל מיני גורמים להיכנס לשירות, להשפיע עליו, ועוד. גורם בעל אינטרסים אשר ישיג גישה אוטומטית באמצעות מערכת שהוא תכנת אל תוך אתר גדול שכזה יכול להשפיע רבות על האתר. תארו לכם מה היה קורה אם לכל סלבריטאי/פוליטיקאי היתה תוכנה המסוגלת לכתוב על כל טוקבק שלילי עוד 5 חיוביים. תארו לכם מה היה קורה אם גורמים זדוניים היו מצליחים לפתח תוכנות המסוגלות להתחבר לשירותים גדולים, כמו ג’ימייל, פייפל, ועוד בצורה אוטומטית, ולנהל כך במקביל אלפי פרופילים שונים, דרכם הם מבצעים את זממם. אולי זה כבר קיים ועדיין לא שמענו על זה.

ביקורת

מערכת הקאפצ’ה אינה חפה מביקורות. למעשה, זה כבר כמה שנים שגורמים שונים בתחומי אבטחת מידע טוענים, ובצדק, כי המערכת אינה טובה מספיק היום, ואינה מספקת את ההגנה שהיא אמורה לספק, שכן קמו כלים רבים להתגבר עליה. כלים אלה, אם להזכיר כמה, כוללים תוכנות המסוגלות להמיר קאפצ’ה לטקסט פשוט, ואז להקליד אותו חזרה; גישה אחרת היא לשכור את שרותיהם של אנשים אמיתיים במדינות עולם שלישי, שם שעת עבודה של אדם זולה מאוד, ולייצר תוכנה שתעביר לשם את הקאפצ’ה, אדם שם יקליד את הקוד, והשליטה תחזור אל מי שהזמין את השירות.

הפיתוח של החוקרים מסטנפורד וטוליין הוא חשוב, משום שהוא מראה שגם היום, למרות הימצאם של מבחני אודיו-קאפצ’ה, הקאפצ’ה עדיין, במידה רבה, פרוץ. במקור, האפשרות לשמוע הקראה של קוד הקאפצ’ה נועד לעזור לאנשים עם מוגבלות, המתקשים לראות ולפענח את קוד הקאפצ’ה. באמצעות לחיצת כפתור, ניתן לשמוע את הקראת המילים או צירוף אותיות והמספרים המופיעים על המסך.

החוקרים פיתחו מנגנון היודע איך לפענח את ההקראה הקולית, במקביל להקלדתה חזרה במסך. יעילות אלגוריתם הפענוח הקולי שפיתחו החוקרים נעה בין 1.5% ל-89%. למרות שמדובר בטווח רחב מאוד, הרי שגם הצלחה של 1.5% מהניסיונות עשוי להיות מספיק עבור גורמים זדוניים המעוניינים להקים בוטנט שתנצל את אתר היעד לבצע את זממה.

מי שמתעניין בתחום, בוודאי ימצא עניין בקריאת מחקר קודם בפענוח ועקיפת קאפצ’ה קולי (קישור PDF), אשר פורסם ב-2009.

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

3 תגובות על "לעקוף את ה-Captcha"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אלון
Guest

לכל מאוכזבי הקאפצ’ה, אני העלתי את הפורום שלי לאינקפסולה http://www.incapsula.com ואין לי יותר הרשמות מזוייפות או ספאם.
אמנם עם קאפצ’ה גם היו לי פחות הרשמות מזוייפות אבל היו לי גם פחות משתמשים אמיתיים כי היו צריכים למלא קאפצ’ה.
אינקפסולה יודעים לסנן את המשתמשים המזוייפים בלי להפריע למשתמשים הלגיטימיים.

רמי
Guest

עכשיו כשהשימוש בקפצ’ה הופך לפחות מאובטח, יהיה מעניין לשמוע על רעיונות מהפכניים שיחליפו בעתיד את המנגנון הזה. מישהו מכיר?

need4steer
Guest

נדב, תודה רבה על הכתבה.
אלון, תודה רבה על האתר.

wpDiscuz

תגיות לכתבה: