Az internetes botok, vagyis a webes levelezőket, fórumokat és egyéb, véleménymegosztó oldalakat elárasztó automatizált programok megfékezése már régóta napirenden van, ellenük vezették be az úgynevezett CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) eljárást. A mozaikszó jelentéséből adódóan egy olyan fejlesztésről van szó, amely automatikus Turing-teszt segítségével megállapítja, hogy a monitor előtt valóban ember ül, vagy csak egy webes robot próbálkozik regisztrálni adott szolgáltatásba. Ezt többnyire vizuális módon teszi: eltorzított, az emberi szem számára – többnyire – még felismerhető módon ábrázol karaktereket, szavakat, melyekkel a gépi intelligencia nem birkózik meg.
Spamháború
Ennek egyik változata az egyik legbiztonságosabbnak tartott NuCaptcha: a videoalapú teszt emiatt – saját nemében – egyben az egyik legnépszerűbb is. Az animációs technikákat alkalmazó fejlesztés tulajdonosa egészen mostanáig azt állította termékéről, hogy az kínálja a leginkább használható, mégis legnagyobb biztonságot nyújtó megoldást e téren. Ám, mint minden sikeres, széles körben használt szolgáltatást, úgy ezt is elérte a végzete – kutatók egy csoportja felfedezte gyengeségét. A Stanfordi Egyetem kutatója, Elie Bursztein már 2010 októbere óta foglalkozott a NuCaptcha megtörésével (kitartó és ráérő hölgyről van szó – a Szerk.), melynek eredményeként előállt egy olyan eljárással, ami az esetek több mint 90 százalékában sikeres.
Bursztein, kollégáival együtt már korábban kifejlesztett egy Decaptcha nevű eszközt, ami speciális algoritmusok révén képes a képalapú CAPTCHA implementációk két vállra fektetésére (bizonyára nagy népszerűségre tett szert a hölgy a weboldalaikat online spambotoktól megvédeni óhajtók körében – a Szerk.). Gazdag tapasztalatokkal rendelkezik tehát a témában, így kénytelenek vagyunk elhinni neki, hogy „a képalapú captcha-k feltörésével összehasonlítva a videóalapú tesztek megtámadása egyszerre nehezebb és könnyebb.”
Az, hogy miért nehezebb, talán mindenki számára egyértelmű: az animációban mozgó karakterek elkülönítése igen komoly, összetett feladat. Szükség van hozzá mozgáskövetésre és áramláselemző (flow analízis) algoritmusokra, melyek képesek egymástól megkülönböztetni minden egyes objektumot, azok tulajdonságai és megjelenése alapján, minden egyes képkockán. A NuCaptcha ezt a folyamatot teszi még nehezebbé azzal, hogy külön hátteret és a megoldáshoz nem szükséges karaktereket is alkalmaz tesztjében.
Könnyen belátható ugyanakkor az is, milyen szempontból egyszerűbb megtörni az animációs biztonsági ellenőrzést. A CAPTCHA string karakterekre való felosztása például sokkal könnyebb úgy, hogy több kép áll a rendelkezésre.
Bursztein becsületének védelmére meg kell jegyeznünk, hogy kutatása nem csak a NuCaptcha védelmének kiiktatására irányult, hanem arra is, hogy miként lehet biztonságosabb CAPTCHA szolgáltatásokat kifejleszteni. Eredményeiről természetesen tájékoztatta a NuCaptcha alkotóit is, még tavaly novemberben, akik elárulták, hogy a teszt összetettsége változik, illeszkedik az azt kitöltő elhelyezkedésétől függően. Ha olyan IP címről érkezik kérelem, ami köztudottan botnet aktivitással hozható kapcsolatba, akkor sokkal komplexebb CAPTCHA kerül a képernyőre, feltételezve, hogy annak megfejtésével nem ember, hanem algoritmus próbálkozik. Emellett a fejlesztő általánosságban is továbbfejleszti eljárását, az egyes karakterek további torzítására és forgatására alapozva teszi optikai elemzőalgoritmusok számára még nehezebbé a megfejtést.
A macska-egér játék közel sem ért véget...
