Hat másodperc alatt feltörték a Hotmail Captcha-tesztjét

A Websense számítástechnikai biztonsági cég egyik munkatársa fedezte fel, hogy a spammerek az eddiginél jóval gyorsabban képesek megkerülni a levelezőrendszerek Captcha-tesztjeit.

Sumeet Prasad a Websense blogjában számolt be észrevételeiről. A szakember az új eljárást agresszívnek és közvetlennek nevezte. Prasad szerint a módszerrel legfeljebb hat másodperc alatt kijátszhatók a Captcha-teszteken alapuló védelmek. Maga a kifejezés a "Completely Automated Public Turing-test to tell Computers and Humans Apart" mozaikszava, ami körülbelül annyit tesz, hogy "teljesen automatizált publikus Turing-teszt a számítógépek és emberek megkülönböztetésére". Ennek a tesztnek a manapság is legelterjedtebb formája a kissé eltorzított vagy színes vonalakkal tarkított kép, melyen betűk és számok szerepelnek.

Az ember asszociációs képessége könnyen felismeri, hogy mi a zaj és mi a tartalom, de a legtöbb számítógépes karakterfelismerőt ez már megfekteti. A módszer gyakorlati lényege, hogy az olyan szájtokon, amit emberi léptékekre terveztek, ne szaporodjanak el a scriptek, programok, melyek milliós nagyságrendben képesek percenként ugyanazt megcsinálni, amit egy ember esetleg percenként egyszer, vagy általában csak egyszer csinálna. A módszer feltörhetősége ellenére a szakértők úgy vélik, hogy a megoldást továbbra is használni fogják világszerte, azonban szükség lesz más védelmi rendszerekre is.


A lapunkon is alkalmazott Captcha célja az automatikus regisztrációk kiszűrése
Jelenleg a leggyakrabban a Hotmailt támadják a spammerek és minden támadásnál egyre kevesebb idő kell a siker eléréséhez. Az eredményességi arány 10-15 százalék, ami jóval rosszabb a Gmail elleni akciók eredményeinél. "Jelenleg a Captcha-megoldások egészen használhatók. Azonban szükség van a javításukra és nem szabad ezeket a rendszereket önmagukban használni. Rövid vagy hosszabb távon mindenképpen szükség lesz további védelmi mechanizmusokra" - reagált a hírre Gerhard Göschl biztonsági szakember.

Gunter Ollmann, az IBM Internet Security Systems munkatársa viszont sokkal keményebben fogalmazott: "A Captcha eredetileg jó ötlet volt, azonban a mai profitorientált támadási környezetben - védelmi megoldásként - már gyakorlatilag használhatatlan. Legfeljebb a scriptkiddiek, vagyis az amatőr próbálkozók távoltartására elegendőek." A mostani támadások elsősorban a Windows Live Hotmail szolgáltatását érintették. A Websense szakemberei szerint problémát jelent, hogy egyrészt a Microsoft doménjét nehéz lenne feketelistára tenni, másrészt a regisztráció ingyenes, harmadrészt a Hotmail részét képezi a Windows Live szolgáltatásrendszernek és a levelezőrendszert több millióan használják világszerte.

Idén február végén a spammerek feltörték a Google Mail Captcha-tesztjét. Az akciókra szintén a Websense munkatársai hívták fel a figyelmet blogjukban. Azt ugyanakkor egyelőre még nem tudják, hogy a Hotmail ellen hatásos módszer megegyezik-e a korábban a Google Mailnél használt eljárással. A szoftvercégek korábban nagyon erőltették a képalapú Captcha-teszteket, tavaly például pont a Microsoft Asirra (Animal Species Image Recognition for Restricting Access) néven projektet is indított egy ilyen biztonsági megoldás kifejlesztésére.