”частники Defcon: ¬злом  јѕ“„» осуществим

image

“еги: Defcon, CAPTCHA, взлом

”частники Defcon обсудили эффективность систем распознавани€ ботов CAPTCHA и пришли к выводу, что взлом таких систем вполне осуществим.

Ќа ежегодной конференции хакеров Defcon участники двух дискуссий, посв€щенных эффективности систем распознавани€ ботов CAPTCHA пришли к одинаковому заключению – взлом таких систем вполне осуществим.

ѕростейшим способом €вл€етс€ составление таблицы возможных комбинаций символов. Ќапример, система автоматического менеджмента содержани€ PHP-Nuke использует шестизначный тест CAPTCHA, не предусматривающий случайного пор€дка расположени€ цифр, что означает ограниченное число возможных вариантов. ѕрограмма может, обновл€€ страницу, получать новые изображени€. ¬ычисление контрольной суммы результата делает подобный CAPTCHA легкой целью. ќднако даже использование генератора случайных чисел ненамного повышает эффективность системы.

Ѕолее серьезные системы используют тест, включающий не только цифры, но и символы алфавита, что значительно увеличивает число возможных комбинаций. ќднако достаточно обширный ботнет, по мнению специалистов, может взломать такую защиту за считанные часы.

’акер знакомый с пон€тием рассто€ни€ ’емминга может создать программу, дл€ которой будет у€звим CAPTCHA-тест на основе аудио файла.

“акже программы оптического распознавани€ текста значительно облегчают задачу создател€м ботов. ќднако еще один вид CAPTCHA, основанный на понимании культурной информации, делает взлом с помощью оптического распознавани€ трудновыполнимой задачей. Ќекоторые тесты предлагают исключить одно изображение из набора картинок объединенных по какому-либо признаку (например, изображени€ разных видов животных). «десь на помощь приходит груба€ сила: специалисты утверждают, что создать достаточно большую библиотеку изображений, которую бы нельз€ было полностью скачать с помощью ботнета, довольно сложно.


или введите им€

CAPTCHA
1
12-08-2008 13:27:47
”частники Defcon доказали. что земл€ кругла€! “о к чему они пришли известно давно.
0 |
1
12-08-2008 15:44:41
Ќу зачем же так категорично. Ќа конференцию приезжает множество правительственных и корпоративных представителей. ¬от на них-то и рассчитаны подобные материалы. ќбратите внимание, ни один закон, процедура, инструкци€ или конституци€ не утверждают столь сложных истин как "земл€ кругла€" и т.п.))) ј если и утверждают, то не все об этом знают)))
0 |
1
12-08-2008 19:14:32
¬сегда считалось, что ценность защищаемой информации должна быть многократно выше стоимости самой системы защиты, а средства затраченные на преодоление защиты должны быть соизмеримы или выше чем стоимость информации. —обственно все. “еперь - crc ну круто конечно, а что мешает сделать генератор уникальных картинок. ќдин пиксель и CRC едет в туман. ¬сего навсего - включить масштаб картинки, поворотник символов, а дл€ надежности добавить €зык. ј-л€ вставьте недостающие символы в слово, фразу. 44 к.та (cat). »ли из группы символов выбрать слово определенного цвета, вот уже одна картинка и несколько вариантов. ј можно давать 2 картинки, в первой задание, во второй набор символов. “ут ведь главное, чтобы задача дл€ атакуещего выросла в геометрической прогрессии.  онечно, когда создан один уникальный статический движок не мен€емый годами, желающих найдетс€ много, нужно внести разнообразие и совместить пару методов. —татистика то у кого - у нападающих или у защищающих? »ли это одно и то же лицо, сегодн€ защитил, завтра денег не дали - все продал с потрохами.
0 |
1
12-08-2008 23:21:26
¬от такие удоды, как ты эти капчи и придумывают))) ј потом удивл€ютс€ - отчегож они ломаютс€, € ведь столько умных букав в голове продумал... ѕроблема в том, что думать-то ты научилс€, а вот соображать - нет.
0 |
13-08-2008 04:00:13
ƒа не взламываетс€ капча... –азве что брут-форсом. ѕросто капчи слабенькие. Ќе знаю, зачем такие пишут. ¬от как на этом сайте, к примеру. ќчень беспонтова€, 57667 - пцц, это можно тупо подобрать.
0 |
1
13-08-2008 17:58:23
ахахах)) ≈щЄ один фрукт червивый))) »ди в игрушки играй, баловень судьбы с ампутированым мозгом)
0 |
21-08-2008 04:49:26
http://www.google.ru/search?q=libc+rand+weak "The libc implementation is the worst kind of compromise as it is neither fast nor secure." FYI: ¬ Ѕитриксе используетс€ функци€ rand() дл€ создани€ номера капчи.
0 |
1
15-08-2008 12:30:07
как ты подберешь если картинка обновл€етс€ после каждого поста, у теб€ 1 шанс чтобы угадать
0 |
21-08-2008 04:31:05
и на что она мен€етс€? на 68558? > у теб€ 1 шанс чтобы угадать Ўансов вообще быть не должно =)
0 |
zender
07-01-2009 02:44:54
«наете, никак не могу пон€ть, почему тех людей которые взламывают сайты называют хакерами? это же просто банально...
0 |
Oleg
12-03-2009 15:06:02
’акер больше читай, увидишь не банальные решени€, правда редко они по€вл€ютс€.
0 |
04-08-2009 01:58:21
а как насчет того, что разные сайты используют разные капчи. на phpbb очень достойна€ капча, но только если ее нормально настроить с 3d шумом. кроме картинки можно использовать флэш или псевдографикуа, даже видео вставить можно.
0 |