Участники Defcon: Взлом КАПТЧИ осуществим

image

Теги: Defcon, CAPTCHA, взлом

Участники Defcon обсудили эффективность систем распознавания ботов CAPTCHA и пришли к выводу, что взлом таких систем вполне осуществим.

На ежегодной конференции хакеров Defcon участники двух дискуссий, посвященных эффективности систем распознавания ботов CAPTCHA пришли к одинаковому заключению – взлом таких систем вполне осуществим.

Простейшим способом является составление таблицы возможных комбинаций символов. Например, система автоматического менеджмента содержания PHP-Nuke использует шестизначный тест CAPTCHA, не предусматривающий случайного порядка расположения цифр, что означает ограниченное число возможных вариантов. Программа может, обновляя страницу, получать новые изображения. Вычисление контрольной суммы результата делает подобный CAPTCHA легкой целью. Однако даже использование генератора случайных чисел ненамного повышает эффективность системы.

Более серьезные системы используют тест, включающий не только цифры, но и символы алфавита, что значительно увеличивает число возможных комбинаций. Однако достаточно обширный ботнет, по мнению специалистов, может взломать такую защиту за считанные часы.

Хакер знакомый с понятием расстояния Хемминга может создать программу, для которой будет уязвим CAPTCHA-тест на основе аудио файла.

Также программы оптического распознавания текста значительно облегчают задачу создателям ботов. Однако еще один вид CAPTCHA, основанный на понимании культурной информации, делает взлом с помощью оптического распознавания трудновыполнимой задачей. Некоторые тесты предлагают исключить одно изображение из набора картинок объединенных по какому-либо признаку (например, изображения разных видов животных). Здесь на помощь приходит грубая сила: специалисты утверждают, что создать достаточно большую библиотеку изображений, которую бы нельзя было полностью скачать с помощью ботнета, довольно сложно.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus