Незалежны даследнік Чед Хаук распрацаваў алгарытмы,якія прадэманстравалі ўразлівасць абноўленай сістэмы reCAPTCHA.

У сваім дакладзе, апублікаваным перад прэзентацыяй даследавання на канферэнцыі Defcon, ён паведаміў, што адмыслоўцы кампаніі Google, якой прыналежыць reCAPTCHA, паспелі занесці ў сістэму некалькі змен, што зрабіла некаторыя алгарытмы непрацаздольнымі да моманту яго выступу. У адказ Хаук занёс удасканаленні ў сваю распрацоўку, падвысіўшы дзель паспяховых узломаў да 30%.

"reCAPTCHA ніколі не адрознівалася абсалютнай надзейнасцю: заўсёды існавалі метады яе ўзлому, – сцвярджае Хаук пасля таго, як яго алгарытмы былі апублікаваныя. – Інфармацыя аб даследаванні ўжо даступная, а Google яшчэ не занесла выпраўленняў – мяне гэта вельмі дзівіць".

У адказ прадстаўнікі кампаніі заявілі, што да сённяшняга дня ні адзін з расчыненых метадаў не выкарыстоўваўся для рэальных узломаў. Па словах аднаго з іх, удасканаленні ў сістэме reCAPTCHA з'яўляліся і да, і пасля публікацыі распрацовак Хаука: "Каб падвысіць надзейнасць кантрольных слоў, мы занеслі змены да і пасля дэманстрацыі гэтых алгарытмаў. Зараз reCAPTCHA адрозніваецца большай адмоваўстойлівасцю, а таксама лепшым балансам паміж функцыянальнасцю і выгодай яе выкарыстання. Мы атрымалі самыя дадатныя водгукі ад нашых кліентаў, але нават у гэтым выпадку не варта забываць, што пры ўсёй эфектыўнасці CAPTCHA у якасці прылады для дужання са спамам яго лепш ужываць у спалучэнні з іншымі тэхналогіямі для забеспячэння бяспекі".

Тэхналогія reCAPTCHA была створаная адмыслоўцамі Ўніверсітэта Карнегі — Меллон, а затым набытая кампаніяй Google. Яна заснаваная на выкарыстанні скажонага тэксту, які адносна лёгка які ідэнтыфікуецца для чалавека, але не для праграм распазнання знакаў. У reCAPTCHA ужываецца камбінацыя з двух слоў – вядомага сістэме, або кантрольнага, і невядомага, уяўлялага сабой фрагмент кнігі, падлеглай аблічбоўцы ў рамках праекту Google Books.

Сваю методыку абыходу абароны гэтай сістэмы Хаук заснаваў на ўласных алгарытмах, у якіх рэалізаваныя ўхіленне скажэнняў тэксту, распазнанне знакаў і пошук слоў па слоўніку. Па словах даследніка, слабое месца reCAPTCHA складаецца ў самім прынцыпе яе працы: "Сістэма дэманструе два слова: адно для праверкі, другое для аблічбоўкі. Калі тэстоўваны правільна ўводзіць кантрольнае слова, праграма аўтаматычна ўспрымае другое слова як распазнанае правільна".

Апошнія змены, занесеныя ў сістэму, складаліся ва ўхіленні эфекту інвертавання малюнка, узмацненні стужкападобных скажэнняў і разрэджанні тэксту, што прывяло да частковага перекрыванию знакаў і ўскладненню задачы дзялення тэксту на сегменты. "Але мне і з гэтым атрымалася зладзіцца, – заяўляе Хаук. – Усе іх методыкі не без заганы".

Яго так званы "выравнивающий алгарытм" дапамагае кампенсаваць скажэнні формы тэксту і прывесці яго да выгляду, прыдатнаму для аўтаматычнай апрацоўкі. Вынік праходзіць сканаванне сістэмай аптычнага распазнання, а напад па слоўніку шматкроць павялічвае эфектыўнасць ужывання першых двух метадаў.

Па словах Хаука, на паведамленне аб праведзеным даследаванні, атручанае адміністрацыі recaptcha.net, адказу ён не атрымаў, хоць выкарыстанне яго знаходак зламыснікамі можа апынуцца справай найблізкага будучыні. "Пры дастатковым навыку праграмавання рэалізацыя маіх алгарытмаў зойме не больш дня," – упэўнены ён.

рэкамендуем прачытаць таксама

• Кампанія Google купіла reCAPTCHA
• Карыстачам прыйдзецца дапамагчы Google у аблічбоўцы кніг
• Дужацца са спамам можна з карысцю… для архіваў
• Google урэгулявала пазоў да праекту Google Books
• Збой у працы Google

Каментаванне не дазволенае.