CAPTCHA

Αυτό το CAPTCHA (Έκδοση 1) του "smwm" αποκρύπτει το μήνυμά του από την ερμηνεία του υπολογιστή, στρέφοντας τα γράμματα και προσθέτοντας ελαφρά κλίση χρώματος υποβάθρου.

Ένα CAPTCHA ( /κάπ-τσα/ ένα αρκτικόλεξο των λέξεων "Completely Automated Public Turing test to tell Computers and Humans Apart") είναι ένας τύπος πρόκλησης-απόκρισης ελέγχου που χρησιμοποιήθηκε για τον υπολογισμό για να καθορίσει αν ο χρήστης είναι άνθρωπος ή όχι. [1]

Ο όρος δημιουργήθηκε το 2003 από τον Luis von Ahn, τον Manuel Blum, τον Nicholas J. Hopper και τον John Langford . Ο πιο συνηθισμένος τύπος CAPTCHA (εμφανίζεται ως έκδοση 1.0) επινοήθηκε για πρώτη φορά το 1997 από δύο ομάδες που εργάζονται παράλληλα. Αυτή η μορφή CAPTCHA απαιτεί από κάποιον να αξιολογήσει σωστά και να εισάγει μια σειρά από γράμματα ή αριθμούς που είναι αντιληπτά σε μια παραμορφωμένη εικόνα που εμφανίζεται στην οθόνη τους. Επειδή η δοκιμή χορηγείται από έναν υπολογιστή, σε αντίθεση με την τυπική δοκιμασία Turing που χορηγείται από έναν άνθρωπο, ένα CAPTCHA μερικές φορές περιγράφεται ως αντίστροφη δοκιμή Turing . [2]

Αυτή η διαδικασία αναγνώρισης χρηστών έχει λάβει πολλές επικρίσεις, ιδίως από άτομα με αναπηρίες, αλλά και από άλλους ανθρώπους που θεωρούν ότι η καθημερινή τους εργασία επιβραδύνεται από παραμορφωμένες λέξεις που είναι δύσκολο να διαβαστούν. Παίρνει τον μέσο άνθρωπο περίπου 10 δευτερόλεπτα για να λύσει ένα τυπικό CAPTCHA. [3]

Ιστορία

[Επεξεργασία | επεξεργασία κώδικα]

Από τις πρώτες μέρες του Διαδικτύου, οι χρήστες ήθελαν να κάνουν το κείμενο δυσανάγνωστο στους υπολογιστές. [4] Οι πρώτοι τέτοιοι άνθρωποι ήταν χάκερ, δημοσιεύοντας σχετικά ευαίσθητα θέματα σε φόρουμ στο Διαδίκτυο που πίστευαν ότι παρακολουθούνταν αυτόματα σε λέξεις-κλειδιά. Για να παρακάμψουν αυτά τα φίλτρα, αντικατέστησαν μια λέξη με χαρακτήρες όμοιους. Η HELLO θα μπορούσε να γίνει |-|3|_|_() ή )-(3££0, καθώς και πολλές άλλες παραλλαγές, έτσι ώστε ένα φίλτρο να μην μπορούσε να ανιχνεύσει όλα αυτά. Αυτό αργότερα έγινε γνωστό ως leetspeak . [5]

Μία από τις πρώτες εμπορικές χρήσεις των CAPTCHAs ήταν στο τεστ Gausebeck-Levchin . Το 2000, το idrive.com άρχισε να προστατεύει τη σελίδα εγγραφής του [6] με CAPTCHA και προετοίμασε να υποβάλει δίπλωμα ευρεσιτεχνίας [4] σε αυτή την φαινομενικά νέα τεχνική. Το 2001, η PayPal χρησιμοποίησε τέτοιες δοκιμές ως μέρος μιας στρατηγικής πρόληψης της απάτης, στην οποία ζήτησαν από τους ανθρώπους να "επανατυπώσουν παραμορφωμένο κείμενο που τα προγράμματα δυσκολεύονται να αναγνωρίσουν". [7] Ο συνιδιοκτήτης του PayPal και ο CTO Max Levchin βοήθησαν στην εμπορία αυτής της πρώιμης χρήσης.

Μια δημοφιλής ανάπτυξη της τεχνολογίας CAPTCHA, reCAPTCHA, εξαγοράστηκε από την Google το 2009. [8] Εκτός από την αποτροπή της απάτης κατά των bot για τους χρήστες της, η Google χρησιμοποίησε τεχνολογίες reCAPTCHA και CAPTCHA για την ψηφιοποίηση των αρχείων των βιβλίων The New York Times και βιβλίων από τα Βιβλία Google το 2011. [9]

Προτάσεις για την απογραφή

[Επεξεργασία | επεξεργασία κώδικα]

Δύο ομάδες έχουν ισχυριστεί ότι είναι οι πρώτοι που εφευρίσκουν τα CAPTCHA που χρησιμοποιούνται ευρέως στο διαδίκτυο σήμερα. Η πρώτη ομάδα με τον Mark D. Lillibridge, τον Martín Abadi, τον Krishna Bharat και τον Andrei Broder, χρησιμοποίησε το CAPTCHAs το 1997 στο AltaVista για να εμποδίσει bots να προσθέσουν Uniform Resource Locator (URLs) στην μηχανή αναζήτησης ιστού τους. Αναζητώντας έναν τρόπο να καταστήσουν τις εικόνες τους ανθεκτικές στην επίθεση οπτικής αναγνώρισης χαρακτήρων (OCR), η ομάδα εξέτασε το εγχειρίδιο του σαρωτή του Brother, το οποίο είχε συστάσεις για τη βελτίωση των αποτελεσμάτων της OCR (παρόμοια γραμματοσειρά, απλό υπόβαθρο κ.λπ. ). Η ομάδα δημιούργησε παζλ προσπαθώντας να προσομοιώσει αυτό που το εγχειρίδιο ισχυρίστηκε ότι θα προκαλούσε κακό OCR.

Η δεύτερη ομάδα που ισχυρίζεται ότι ήταν η πρώτη που εφάρμοσε τους CAPTCHAs με τον Luis von Ahn, τον Manuel Blum, τον Nicholas J. Hopper και τον John Langford, περιέγραψε για πρώτη φορά το CAPTCHAs σε μια έκδοση του 2003 και στη συνέχεια έλαβε μεγάλη κάλυψη στον Τύπο. Η εκδοχή του CAPTCHA τυος καλύπτει οποιοδήποτε πρόγραμμα που μπορεί να διακρίνει τους ανθρώπους από τους υπολογιστές.

Η αντιπαράθεση των αποθεμάτων έχει επιλυθεί με την ύπαρξη αίτησης διπλώματος ευρεσιτεχνίας ημερομηνίας προτεραιότητας του 1997 από τους Eran Reshef, Gili Raanan και Eilon Solan (δεύτερη ομάδα) που εργάστηκαν στο Sanctum on Application Security Firewall . Η αίτησή τους για διπλώματα ευρεσιτεχνίας διευκρινίζει ότι "Η εφεύρεση βασίζεται στην εφαρμογή ανθρώπινου πλεονεκτήματος στην εφαρμογή αισθητικών και γνωστικών δεξιοτήτων για την επίλυση απλών προβλημάτων που αποδεικνύονται εξαιρετικά δύσκολα για λογισμικό υπολογιστή. Τέτοιες δεξιότητες περιλαμβάνουν, αλλά δεν περιορίζονται στην επεξεργασία αισθητηριακών πληροφοριών όπως η ταυτοποίηση αντικειμένων και γραμμάτων μέσα σε ένα θορυβώδες γραφικό περιβάλλον ». Οι Lillibridge, Abadi, Bharat και Broder (πρώτη ομάδα) δημοσίευσαν το δίπλωμα ευρεσιτεχνίας τους το 1998. [10] Και τα δύο διπλώματα ευρεσιτεχνίας υποβάλλονται σε άλλες δημοσιεύσεις μερικά χρόνια, αν και δεν χρησιμοποιούν τον όρο CAPTCHA, περιγράφουν λεπτομερώς τις ιδέες και απεικονίζουν με ακρίβεια τα γραφικά CAPTCHA που χρησιμοποιούνται στο διαδίκτυο σήμερα.

Χαρακτηριστικά

[Επεξεργασία | επεξεργασία κώδικα]

Τα CAPTCHA είναι, εξ ορισμού, πλήρως αυτοματοποιημένα, απαιτούν ελάχιστη ανθρώπινη συντήρηση ή παρέμβαση για τη διαχείριση, παράγοντας οφέλη με κόστος και αξιοπιστία.

Ο αλγόριθμος που χρησιμοποιείται για τη δημιουργία του CAPTCHA πρέπει να δημοσιοποιηθεί, αν και καλύπτεται από δίπλωμα ευρεσιτεχνίας. Αυτό γίνεται για να καταδείξει ότι το σπάσιμο του απαιτεί λύση σε ένα δύσκολο πρόβλημα στον τομέα της τεχνητής νοημοσύνης (ΑΙ) και όχι μόνο στην ανακάλυψη του (μυστικού) αλγορίθμου, που θα μπορούσε να επιτευχθεί με αντίστροφη μηχανική ή άλλα μέσα.

Τα σύγχρονα CAPTCHA με βάση το κείμενο έχουν σχεδιαστεί έτσι ώστε να απαιτούν την ταυτόχρονη χρήση τριών χωριστών ικανοτήτων - αμετάβλητης αναγνώρισης, τμηματοποίησης και ανάλυσης - για την ορθή ολοκλήρωση της εργασίας με οποιαδήποτε συνέπεια. [11]

  • Η αμετάβλητη αναγνώριση αναφέρεται στην ικανότητα αναγνώρισης του μεγάλου αριθμού παραλλαγών στα σχήματα των γραμμάτων. Υπάρχουν σχεδόν ένας άπειρος αριθμός εκδόσεων για κάθε χαρακτήρα που ο ανθρώπινος εγκέφαλος μπορεί να αναγνωρίσει με επιτυχία. Το ίδιο δεν ισχύει για έναν υπολογιστή, και η διδασκαλία του για να αναγνωρίσει όλους αυτούς τους διαφορετικούς σχηματισμούς είναι ένα εξαιρετικά δύσκολο έργο.
  • Η τμηματοποίηση ή η δυνατότητα διαχωρισμού ενός γράμματος από ένα άλλο είναι επίσης δύσκολη στα CAPTCHAs, καθώς οι χαρακτήρες είναι γεμάτοι με άσπρο διάστημα μεταξύ τους.
  • Το πλαίσιο είναι επίσης κρίσιμο. Το CAPTCHA πρέπει να είναι κατανοητό ολιστικά ώστε να αναγνωρίζει σωστά κάθε χαρακτήρα. Για παράδειγμα, σε ένα τμήμα ενός CAPTCHA, ένα γράμμα μπορεί να μοιάζει με ένα "m". Μόνο όταν ληφθεί υπόψη ολόκληρη η λέξη, γίνεται ξεκάθαρο ότι πρόκειται για ένα u και ένα n .

Κάθε ένα από αυτά τα προβλήματα δημιουργεί μια σημαντική πρόκληση για έναν υπολογιστή, ακόμη και μεμονωμένα. Η παρουσία και των τριών ταυτόχρονα είναι αυτό που κάνει τα CAPTCHA δύσκολα να λυθούν. [12]

Σε αντίθεση με τους υπολογιστές, οι άνθρωποι υπερέχουν σε αυτό το είδος της εργασίας. Ενώ η τμηματοποίηση και η αναγνώριση είναι δύο χωριστές διαδικασίες απαραίτητες για την κατανόηση μιας εικόνας για έναν υπολογιστή, αποτελούν μέρος της ίδιας διαδικασίας για ένα άτομο. Για παράδειγμα, όταν ένα άτομο κατανοεί ότι το πρώτο γράμμα ενός CAPTCHA είναι α, αυτό το άτομο κατανοεί επίσης τα σημεία όπου βρίσκεται το περίγραμμα του a, καθώς επίσης και το σημείο όπου συγχωνεύεται με τα περιγράμματα του επόμενου γράμματος. Επιπλέον, ο ανθρώπινος εγκέφαλος είναι ικανός για δυναμική σκέψη βασισμένη στο περιβάλλον. Είναι σε θέση να κρατήσει ζωντανές τις πολλαπλές εξηγήσεις και στη συνέχεια να επιλέξει εκείνη που είναι η καλύτερη εξήγηση για ολόκληρη την είσοδο με βάση τα συμφραζόμενα στοιχεία. Αυτό σημαίνει επίσης ότι δεν θα ξεγελαστούν από τις παραλλαγές των γραμμάτων.

Σχέση με το AI

[Επεξεργασία | επεξεργασία κώδικα]

Αν και χρησιμοποιούνται κυρίως για λόγους ασφαλείας, τα CAPTCHA χρησιμεύουν επίσης ως στόχος αναφοράς για τις τεχνολογίες τεχνητής νοημοσύνης. Σύμφωνα με ένα άρθρο των Ahn, Blum και Langford, [13] "οποιοδήποτε πρόγραμμα που περνάει τις δοκιμές που παράγονται από ένα CAPTCHA μπορεί να χρησιμοποιηθεί για την επίλυση ενός σκληρού άλυτου προβλήματος AI". [14]

Υποστηρίζουν ότι τα πλεονεκτήματα της χρήσης σκληρών προβλημάτων ΑΙ ως μέσου για την ασφάλεια είναι διπλά. Είτε το πρόβλημα παραμένει άλυτο και παραμένει μια αξιόπιστη μέθοδος για τη διάκριση των ανθρώπων από τους υπολογιστές, είτε το πρόβλημα επιλύεται και ένα δύσκολο πρόβλημα ΑΙ επιλύεται μαζί με αυτό. Στην περίπτωση CAPTCHA με βάση την εικόνα και το κείμενο, αν ένα AI ήταν σε θέση να ολοκληρώσει με ακρίβεια την εργασία χωρίς να εκμεταλλευθεί ελαττώματα σε ένα συγκεκριμένο σχέδιο CAPTCHA, τότε θα είχε λύσει το πρόβλημα της ανάπτυξης ενός AI που είναι ικανό να αναγνωρίζει πολύπλοκα αντικείμενα στις σκηνές. [13]

Προσβασιμότητα

[Επεξεργασία | επεξεργασία κώδικα]
Δείτε επίσης: Διαδικτυακή προσβασιμότητα
Πολλοί ιστότοποι απαιτούν την πληκτρολόγηση ενός CAPTCHA κατά τη δημιουργία ενός λογαριασμού για την πρόληψη ανεπιθύμητης αλληλογραφίας

CAPTCHAs με βάση την ανάγνωση κειμένου - ή άλλες οπτικές αντιλήψεις - αποτρέπουν τους τυφλούς ή τους χρήστες με προβλήματα όρασης από την πρόσβαση στον προστατευόμενο πόρο. [15] Ωστόσο, τα CAPTCHAs δεν χρειάζεται να είναι οπτικά. Οποιοδήποτε δύσκολο πρόβλημα τεχνητής νοημοσύνης, όπως η αναγνώριση ομιλίας, μπορεί να χρησιμοποιηθεί ως βάση ενός CAPTCHA. Ορισμένες εφαρμογές των CAPTCHA επιτρέπουν στους χρήστες να επιλέξουν ένα ηχιτικό CAPTCHA, αν και το έγγραφο του 2011 έδειξε μια τεχνική για την κατάκτηση των δημοφιλών σχεδίων την εποχή εκείνη. [16]

Για τους μη παρατηρημένους χρήστες (για παράδειγμα τυφλούς χρήστες ή χρήστες με αχρωματοψία σε δοκιμή που χρησιμοποιεί χρώμα), τα οπτικά CAPTCHAs παρουσιάζουν σοβαρά προβλήματα. [17] Επειδή τα CAPTCHAs έχουν σχεδιαστεί ώστε να μην είναι αναγνώσιμα από μηχανές, τα κοινά βοηθητικά εργαλεία τεχνολογίας, όπως οι συσκευές ανάγνωσης οθόνης, δεν μπορούν να τα ερμηνεύσουν. Δεδομένου ότι οι ιστότοποι μπορούν να χρησιμοποιούν CAPTCHA ως μέρος της αρχικής διαδικασίας εγγραφής ή ακόμα και κάθε σύνδεσης, αυτή η πρόκληση μπορεί να εμποδίσει εντελώς την πρόσβαση. Σε ορισμένες δικαιοδοσίες, οι ιδιοκτήτες ιστότοπων θα μπορούσαν να αποτελέσουν στόχους για την επίλυση διαφορών εάν χρησιμοποιούν CAPTCHA που κάνουν διακρίσεις εις βάρος ορισμένων ατόμων με αναπηρίες. Σε άλλες περιπτώσεις, εκείνοι με προβλήματα όρασης μπορούν να επιλέξουν να αναγνωρίσουν μια λέξη που τους διαβάζεται.

Παρέχοντας ένα CAPTCHA ήχου επιτρέπει στους τυφλούς χρήστες να διαβάσουν το κείμενο, εξακολουθεί να εμποδίζει τους τυφλούς και τους κωφούς. Σύμφωνα με το sense.org.uk, περίπου το 4% των ατόμων άνω των 60 ετών στο Ηνωμένο Βασίλειο έχουν προβλήματα όρασης και ακοής . Υπάρχουν περίπου 23.000 άτομα στο Ηνωμένο Βασίλειο που έχουν σοβαρή όραση και προβλήματα ακοής. Το πανεπιστήμιο Gallaudet αναφέρει εκτιμήσεις 1980 έως 2007 που δείχνουν ότι πάνω από 35.000 ενήλικες με πλήρη κώφωση στις ΗΠΑ. [18] Οι εκτιμήσεις πληθυσμού με κώφωση εξαρτώνται σε μεγάλο βαθμό από τον βαθμό αναπηρίας που χρησιμοποιείται στον ορισμό.

Ακόμη και για άτομα με ιδανική οπτική ικανότητα, οι νέες γενιές γραφικών CAPTCHA, που έχουν σχεδιαστεί για να ξεπεράσουν το εξελιγμένο λογισμικό αναγνώρισης, μπορεί να είναι πολύ δύσκολο ή αδύνατο να διαβαστούν.

Μια μέθοδος βελτίωσης του CAPTCHA για να διευκολυνθεί η εργασία με αυτό προτάθηκε από το ProtectWebForm και ονομάστηκε "Smart CAPTCHA". [19] Οι προγραμματιστές συμβουλεύουν να συνδυάσουν το CAPTCHA με υποστήριξη JavaScript. Δεδομένου ότι είναι πολύ δύσκολο για τα περισσότερα spam bots να αναλύσουν και να εκτελέσουν την JavaScript, προτάθηκε ένα απλό script που συμπληρώνει τα πεδία CAPTCHA και κρύβει την εικόνα και το πεδίο από τα ανθρώπινα μάτια.

Μια εναλλακτική μέθοδος περιλαμβάνει την εμφάνιση μιας απλής μαθηματικής εξίσωσης και την απαίτηση από τον χρήστη να εισάγει την λύση ως επαλήθευση. Παρόλο που είναι πολύ πιο εύκολο να καταστραφούν χρησιμοποιώντας το λογισμικό, είναι κατάλληλα για σενάρια όπου οι γραφικές εικόνες δεν είναι κατάλληλες και παρέχουν πολύ υψηλότερο επίπεδο προσβασιμότητας στους τυφλούς χρήστες από τους CAPTCHAs με βάση την εικόνα. Αυτές μερικές φορές αναφέρονται ως MAPTCHAs (M = "mathematical"). Ωστόσο, αυτά μπορεί να είναι δύσκολα για χρήστες με γνωστική διαταραχή.

Άλλα είδη προκλήσεων, όπως αυτά που απαιτούν κατανόηση της σημασίας κάποιου κειμένου (π.χ. ένα λογικό παζλ, ερώτημα trivia ή οδηγίες σχετικά με τον τρόπο δημιουργίας ενός κωδικού πρόσβασης) μπορούν επίσης να χρησιμοποιηθούν ως CAPTCHA. Και πάλι, υπάρχει ελάχιστη έρευνα σχετικά με την αντίστασή τους έναντι των αντιμέτρων.

Καταστρατήγηση

[Επεξεργασία | επεξεργασία κώδικα]

Υπάρχουν μερικές προσεγγίσεις για την αποτροπή των CAPTCHA: χρήση φτηνής ανθρώπινης εργασίας για την αναγνώρισή τους, εκμετάλλευση σφαλμάτων στην εφαρμογή που επιτρέπουν στον επιτιθέμενο να παρακάμψει εντελώς το CAPTCHA και τέλος να χρησιμοποιήσει μηχανική μάθηση για την κατασκευή μιας αυτοματοποιημένης λύσης. [20] Σύμφωνα με τον πρώην υπάλληλο της Google "τσάρο του click fraud" Shuman Ghosemajumder, υπάρχουν πολλές υπηρεσίες που λύνουν CAPTCHA αυτόματα. [21]

Μηχανικές μάθησης επιθέσεις

[Επεξεργασία | επεξεργασία κώδικα]

Στις πρώτες επαναλήψεις του δεν υπήρχε συστηματική μεθοδολογία για το σχεδιασμό ή την αξιολόγηση των CAPTCHA. [12] Ως αποτέλεσμα, υπήρχαν πολλές περιπτώσεις στις οποίες τα CAPTCHAs είχαν σταθερό μήκος και συνεπώς αυτοματοποιημένες εργασίες μπορούσαν να κατασκευαστούν για να κάνουν με επιτυχία εκπαιδευμένες υποθέσεις σχετικά με το πού θα έπρεπε να γίνει κατακερματισμός. Άλλα πρόωρα CAPTCHAs περιείχαν περιορισμένα σύνολα λέξεων, γεγονός που έκανε πολύ πιο εύκολο το παιχνίδι. Ακόμα άλλοι έκαναν το λάθος να στηρίζονται υπερβολικά στην σύγχυση του παρασκηνίου της εικόνας. Σε κάθε περίπτωση, δημιουργήθηκαν αλγόριθμοι οι οποίοι κατάφεραν να ολοκληρώσουν επιτυχώς την εργασία αξιοποιώντας αυτές τις ελλείψεις σχεδιασμού. Αυτές οι μέθοδοι αποδείχθηκαν εύθραυστες εντούτοις, και οι μικρές αλλαγές στο CAPTCHA μπορούσαν εύκολα να τους αποτρέψουν. Τα σύγχρονα CAPTCHA, όπως το reCAPTCHA, δεν βασίζονται πλέον μόνο σε σταθερά μοτίβα, αλλά παρουσιάζουν εναλλαγές χαρακτήρων που συχνά συρρικνώνονται, καθιστώντας σχεδόν αδύνατη την κατάτμηση. Αυτές οι νεότερες επαναλήψεις έχουν πολύ μεγαλύτερη επιτυχία στην αποτροπή των αυτοματοποιημένων εργασιών.

Ένα παράδειγμα μιας πρόκλησης reCAPTCHA από το 2007, που περιέχει τις λέξεις "μετά τη διαπίστωση". Το κύμα και ο οριζόντιος εγκεφαλικός προστέθηκε για να αυξήσει τη δυσκολία να σπάσει το CAPTCHA με ένα πρόγραμμα υπολογιστή.
Ένα CAPTCHA συνήθως έχει ένα πλαίσιο κειμένου ακριβώς κάτω από όπου ο χρήστης πρέπει να συμπληρώσει το κείμενο που βλέπει. Σε αυτή την περίπτωση, "sclt .. ήταν εδώ"

Τον Οκτώβριο του 2013, η εταιρία τεχνητής νοημοσύνης Vicarious ισχυρίστηκε ότι είχε αναπτύξει έναν γενικό αλγόριθμο επίλυσης CAPTCHA που ήταν σε θέση να επιλύσει σύγχρονα CAPTCHAs με ποσοστά αναγνώρισης χαρακτήρων έως και 90%. [22] Ωστόσο, ο Luis von Ahn, πρωτοπόρος της πρόωρης CAPTCHA και ιδρυτής της reCAPTCHA, εξέφρασε σκεπτικισμό, δηλώνοντας: «Είναι δύσκολο να εντυπωσιάστηκα από τότε που τα βλέπω κάθε λίγους μήνες». Ο ίδιος επεσήμανε ότι από το 2003 έγιναν 50 παρόμοιες αξιώσεις με αυτές του Vicarious. [23]

Τον Αύγουστο του 2014 στο συνέδριο Usenix WoOT, οι Bursztein κ.α. παρουσίασε τον πρώτο γενικό αλγόριθμο επίλυσης CAPTCHA βασισμένο στη μάθηση οπλισμού και απέδειξε την αποτελεσματικότητά του έναντι πολλών δημοφιλών σχημάτων CAPTCHA. Κατέληξαν στο συμπέρασμα ότι τα συστήματα CAPTCHA που βασίζονται σε παραμόρφωση κειμένου πρέπει να θεωρούνται ανασφαλή από εκεί και πέρα.

Τον Οκτώβριο του 2018 στο συνέδριο ACM CCS'18, οι Ye κ.α. παρουσίασε μια επίθεση βασισμένη σε deep learning που θα μπορούσε να λύσει επιτυχώς και τα 11 σχέδια κειμένου Captcha που χρησιμοποιήθηκαν από τους 50 πιο δημοφιλής ιστότοπους του 2018 με υψηλό ποσοστό επιτυχίας. Η δουλειά τους δείχνει ότι ένας αποτελεσματικός διαχειριστής CAPTCHA μπορεί να εκπαιδευτεί με λιγότερους από 500 πραγματικούς CAPTCHAs, δείχνοντας ότι είναι δυνατό να ξεκινήσει γρήγορα μια επίθεση ενός νέου κείμενου CAPTCHA. [24]

Φτηνές ή άθυμες ανθρώπινες εργασίας

[Επεξεργασία | επεξεργασία κώδικα]

Είναι δυνατό να υποβαθμιστούν τα CAPTCHAs μεταβιβάζοντάς τα σε ένα σμήνος ανθρώπων χειριστών που χρησιμοποιούνται για την αποκωδικοποίηση CAPTCHAs. Ένα έγγραφο του 2005 από μια ομάδα εργασίας του W3C δήλωσε ότι ένας τέτοιος φορέας εκμετάλλευσης μπορούσε να επαληθεύσει εκατοντάδες ανά ώρα. [15] Το 2010, το Πανεπιστήμιο της Καλιφόρνια στο Σαν Ντιέγκο διεξήγαγε μια μελέτη μεγάλης κλίμακας για τα CAPTCHA farms και διαπίστωσε ότι η λιανική τιμή για την επίλυση ενός εκατομμυρίου CAPTCHAs είναι μόλις $ 1.000.

Μια άλλη τεχνική που χρησιμοποιείται συνίσταται στη χρήση ενός script για την αναδημοσίευση του CAPTCHA του site-στόχου ως CAPTCHA σε έναν ιστότοπο που ανήκει στον επιτιθέμενο και τον οποίο οι ανυποψίαστοι άνθρωποι επισκέπτονται και σωστά επιλύουν μέσα σε σύντομο χρονικό διάστημα για να χρησιμοποιήσουν το script [25]. Ωστόσο, υπάρχει διαμάχη γύρω από την οικονομική βιωσιμότητα μιας τέτοιας επίθεσης. [26]

Outsourcing σε αμειβόμενες υπηρεσίες

[Επεξεργασία | επεξεργασία κώδικα]

Υπάρχουν πολλές εταιρίες στο Διαδίκτυο, όπως η 2Captcha και η DeathByCaptcha, που προσφέρουν υπηρεσίες επίλυσης CAPTCHA σε ανθρώπους και μηχανές, τόσο χαμηλές όσο 0,50$ ανά 1000 λυμένα CAPTCHA. [27] Αυτές οι υπηρεσίες προσφέρουν APIs και βιβλιοθήκες που επιτρέπουν στους χρήστες να ενσωματώσουν την καταστρατήγηση του CAPTCHA στα εργαλεία που σχεδιάστηκαν για να μπλοκάρουν τα CAPTCHAs στην πρώτη θέση.

Ανασφαλής υλοποίηση

[Επεξεργασία | επεξεργασία κώδικα]

Ο Howard Yeend έχει εντοπίσει δύο θέματα υλοποίησης με κακώς σχεδιασμένα συστήματα CAPTCHA: [28]

  • Ορισμένα συστήματα προστασίας CAPTCHA μπορούν να παρακάμπτονται χωρίς να χρησιμοποιούν OCR απλά επαναχρησιμοποιώντας το ID σύνδεσης μιας γνωστής εικόνας CAPTCHA
  • Τα CAPTCHA που διαμένουν σε κοινόχρηστους διακομιστές παρουσιάζουν επίσης ένα πρόβλημα. Ένα ζήτημα ασφαλείας σε έναν άλλο εικονικό κεντρικό υπολογιστή μπορεί να αφήσει τον ιστότοπο του εκδότη του CAPTCHA ευάλωτο

Μερικές φορές, εάν μέρος του λογισμικού που παράγει το CAPTCHA είναι client-side (η επικύρωση γίνεται σε ένα διακομιστή αλλά το κείμενο που ο χρήστης υποχρεούται να αναγνωρίσει αποδίδεται στην πλευρά του πελάτη), τότε οι χρήστες μπορούν να τροποποιήσουν τον πελάτη για να εμφανίσουν το μη-σχεδιασμένο κείμενο. Ορισμένα συστήματα CAPTCHA χρησιμοποιούν MD5 hashes που έχουν αποθηκευτεί στην πλευρά του πελάτη, γεγονός που μπορεί να αφήσει το CAPTCHA ευάλωτο σε επίθεση ωμής δύναμης.

Αξιοσημείωτες επιθέσεις

[Επεξεργασία | επεξεργασία κώδικα]

Μερικές αξιοσημείωτες επιθέσεις εναντίον διαφόρων σχημάτων CAPTCHA περιλαμβάνουν:

  • Mori κ.α. δημοσίευσε ένα άρθρο στο IEEE CVPR'03 που περιγράφει μια μέθοδο για την κατάκτηση ενός από τους πιο δημοφιλείς CAPTCHAs, το EZ-Gimpy, το οποίο δοκιμάστηκε με ακρίβεια 92% για να το ξεπεράσει. [29] Η ίδια μέθοδος αποδείχθηκε επίσης ότι απωλέει το πιο περίπλοκο και λιγότερο ανεπτυγμένο πρόγραμμα Gimpy το 33% των δοκιμών. Ωστόσο, η ύπαρξη υλοποιήσεων του αλγορίθμου τους στην πραγματική χρήση είναι απροσδιόριστη αυτή τη στιγμή.
  • Το PWNtcha έχει σημειώσει σημαντική πρόοδο στην αποτροπή των κοινώς χρησιμοποιούμενων CAPTCHAs, γεγονός που συνέβαλε στη γενική μετανάστευση προς πιο εξελιγμένα CAPTCHAs. [30]
  • Το Podec, ένα trojan που ανακάλυψε η εταιρεία ασφαλείας Kaspersky, διαβιβάζει τα αιτήματα CAPTCHA σε μια ηλεκτρονική υπηρεσία ανθρώπινης μετάφρασης που μετατρέπει την εικόνα σε κείμενο και ξεγελάει το σύστημα. Το Podec στοχεύει σε κινητές συσκευές Android. [31]

Εναλλακτικά σχήματα CAPTCHAs

[Επεξεργασία | επεξεργασία κώδικα]

Με την επίδειξη ότι οι CAPTCHA που βασίζονται σε παραμόρφωση κειμένου είναι ευάλωτες στις επιθέσεις βασισμένες στην μηχανική μάθηση, ορισμένοι ερευνητές πρότειναν εναλλακτικές λύσεις, συμπεριλαμβανομένων των CAPTCHA αναγνώρισης εικόνων, οι οποίες απαιτούν από τους χρήστες να εντοπίζουν απλά αντικείμενα στις εικόνες που παρουσιάζονται. Το επιχείρημα υπέρ αυτών των συστημάτων είναι ότι οι εργασίες όπως η αναγνώριση αντικειμένων είναι κατά κανόνα πιο περίπλοκες για να εκτελεστούν από την αναγνώριση κειμένου και ως εκ τούτου πρέπει να είναι πιο ανθεκτικά στις επιθέσεις βασισμένες στην μηχανική μάθηση. Ακολουθούν μερικά αξιοσημείωτα εναλλακτικά σχήματα CAPTCHA:

  • Chew κ.α. δημοσίευσαν το έργο τους στο 7ο Διεθνές Συνέδριο για την Ασφάλεια Πληροφοριών, ISC'04, προτείνοντας τρεις διαφορετικές εκδοχές των CAPTCHA αναγνώρισης εικόνων και επικυρώνοντας την πρόταση με μελέτες χρηστών. Προτείνεται ότι μία από τις εκδόσεις, η ανωμαλία CAPTCHA, είναι η καλύτερη, καθώς το 100% των ανθρώπινων χρηστών μπορεί να περάσει μια ανωμαλία CAPTCHA με πιθανότητα τουλάχιστον 90% σε 42 δευτερόλεπτα. [32]
  • Datta κ.. δημοσίευσαν το έγγραφό τους στο Συνέδριο ACM Multimedia '05, με τίτλο IMAGINATION (IMAge Generation for INternet AuthenticaTION), που προτείνει έναν συστηματικό τρόπο για την αναγνώριση εικόνων CAPTCHAs. Οι εικόνες παραμορφώνονται κατά τέτοιο τρόπο ώστε οι προσεγγίσεις της τεχνολογίας αιχμής (που είναι πιθανές τεχνολογίες επίθεσης) να μην τις αναγνωρίζουν. [33]
  • Η Microsoft (Jeremy Elson, John R. Douceur, Jon Howell και Jared Saul) ισχυρίζονται ότι έχουν αναπτύξει αναγνωριστική εικόνα ειδών ζώων για περιορισμό της πρόσβασης (ASIRRA) που ζητούν από τους χρήστες να διακρίνουν τις γάτες από τα σκυλιά. Η Microsoft είχε μια έκδοση beta αυτού για χρήση από ιστότοπους. [34] Ισχυρίζονται ότι το "Asirra είναι εύκολο για τους χρήστες, μπορεί να λυθεί από τον άνθρωπο το 99,6% του χρόνου σε λιγότερο από 30 δευτερόλεπτα. Ανεξέλεγκτα, οι χρήστες φαινόταν να βρίσκουν την εμπειρία της χρήσης του Asirra πολύ πιο ευχάριστη από μια CAPTCHA βασισμένη σε κείμενο. "Αυτή η λύση περιγράφηκε σε μια εργασία του 2007 στα Πρακτικά της 14ης Διάσκεψης ACM για την Ασφάλεια Υπολογιστών και Επικοινωνιών (CCS). [35] Ωστόσο, το έργο αυτό έκλεισε τον Οκτώβριο του 2014 και δεν είναι πλέον διαθέσιμο. [36]

Παραπομπές

[Επεξεργασία | επεξεργασία κώδικα]
  1. «The reCAPTCHA Project – Carnegie Mellon University CyLab». www.cylab.cmu.edu. Αρχειοθετήθηκε από το πρωτότυπο στις 27 Οκτωβρίου 2017. Ανακτήθηκε στις 13 Ιανουαρίου 2017. 
  2. Mayumi Takaya; Yusuke Tsuruta2; Akihiro Yamamura1. Reverse Turing Test using Touchscreens and CAPTCHA∗. Akita University. http://isyou.info/jowua/papers/jowua-v4n3-3.pdf. 
  3. Bursztein, Elie; Bethard, Steven; Fabry, Celine; Mitchell, John C.; Jurafsky, Dan (2010). «How Good are Humans at Solving CAPTCHAs? A Large Scale Evaluation». Proceedings of the 2010 IEEE Symposium on Security and Privacy: 399–413. doi:10.1109/SP.2010.31. ISBN 978-1-4244-6894-2. https://web.stanford.edu/~jurafsky/burszstein_2010_captcha.pdf. Ανακτήθηκε στις March 30, 2018. 
  4. 4,0 4,1 «idrive turing patent application». Ανακτήθηκε στις 19 Μαΐου 2017. 
  5. «h2g2 – An Explanation of l33t Speak – Edited Entry». Ανακτήθηκε στις 3 Ιουνίου 2015. 
  6. «idrive turing signup page». Ανακτήθηκε στις 19 Μαΐου 2017. 
  7. Stringham, Edward P (2015). Private Governance : creating order in economic and social life. Oxford University Press. σελ. 105. ISBN 978-0-19-936516-6. 
  8. «Teaching computers to read: Google acquires reCAPTCHA». Google Official Blog. 
  9. «Deciphering Old Texts, One Woozy, Curvy Word at a Time». The New York Times. 
  10. U.S. Patent 6,195,698. Method for selectively restricting access to computer systems. Filed on Apr 13, 1998 and granted on Feb 27, 2001. Available at google.com
  11. Chellapilla, Kumar; Larson, Kevin; Simard, Patrice; Czerwinski, Mary. «Designing Human Friendly Human Interaction Proofs (HIPs)». Microsoft Research. Αρχειοθετήθηκε από το πρωτότυπο στις 10 April 2015. https://web.archive.org/web/20150410195118/http://research.microsoft.com/pubs/101726/HIPSCHI2005.pdf. 
  12. 12,0 12,1 Bursztein, Elie· Martin, Matthieu (2011). «Text-based CAPTCHA Strengths and Weaknesses». ACM Computer and Communication Security 2011 (CSS'2011). 
  13. 13,0 13,1 von Ahn, Luis· Blum, Manuel (2003). «CAPTCHA: Using Hard AI Problems for Security». Advances in Cryptology — EUROCRYPT 2003. Lecture Notes in Computer Science. 2656. σελίδες 294–311. ISBN 978-3-540-14039-9. 
  14. Moy G, N Jones and C Harkless (2004) "Distortion estimation techniques in solving visual CAPTCHAs Αρχειοθετήθηκε 2020-07-29 στο Wayback Machine.", Proceedings of the 2004 IEEE Computer Society Conference on Computer Vision and Pattern Recognition.
  15. 15,0 15,1 May, Matt (23 Νοεμβρίου 2005). «Inaccessibility of CAPTCHA». W3C. Ανακτήθηκε στις 27 Απριλίου 2015. 
  16. Bursztein, Elie; Beauxis, Romain; Perito, Hristo; Paskov, Daniele; fabry, Celine; Mitchell, John C. (2011). «The failure of noise-based non-continuous audio captchas». IEEE Symposium on Security and Privacy (S&P), 2011: 19–31. doi:10.1109/SP.2011.14. ISBN 978-1-4577-0147-4. https://www.elie.net/publication/the-failure-of-noise-based-non-continuous-audio-captchas. 
  17. Shea, Michael (19 Νοεμβρίου 2015). «CAPTCHA: Spambots, eBooks and the Turing Test». The Skinny. Ανακτήθηκε στις 9 Ιανουαρίου 2016. 
  18. Harrington, Tom· Rutherford, Jane. «American deaf-blind population». Deaf Statistics. Gallaudet University Library. Ανακτήθηκε στις 27 Νοεμβρίου 2013. 
  19. «Smart Captcha». Protect Web Form .COM. 8 Οκτωβρίου 2006. Αρχειοθετήθηκε από το πρωτότυπο στις 4 Νοεμβρίου 2016. Ανακτήθηκε στις 15 Σεπτεμβρίου 2017. 
  20. Jakobsson, Markus (Αυγούστου 2012). The death of the Internet. Ανακτήθηκε στις 4 Απριλίου 2016. 
  21. Ghosemajumder, Shuman (8 December 2015). «The Imitation Game: The New Frontline of Security». InfoQ. InfoQ. http://www.infoq.com/presentations/ai-security. Ανακτήθηκε στις 8 December 2015. 
  22. Summers, Nick. «Vicarious claims its AI software can crack up to 90% of CAPTCHAs offered by Google, Yahoo and PayPal». TNW. 
  23. Hof, Robert. «AI Startup Vicarious Claims Milestone In Quest To Build A Brain: Cracking CAPTCHA». Forbes. 
  24. Yet Another Text Captcha Solver: A Generative Adversarial Network Based Approach. 25th ACM Conference on Computer and Communications Security (CCS), 2018. doi:10.1145/3243734.3243754. 
  25. Doctorow, Cory (27 Ιανουαρίου 2004). «Solving and creating captchas with free porn». Boing Boing. Αρχειοθετήθηκε από το πρωτότυπο στις 9 Φεβρουαρίου 2006. Ανακτήθηκε στις 27 Απριλίου 2015. 
  26. «Hire People To Solve CAPTCHA Challenges». Petmail Design. 21 Ιουλίου 2005. Ανακτήθηκε στις 27 Απριλίου 2015. 
  27. «Top 10 Captcha Solving Services Compared». Αρχειοθετήθηκε από το πρωτότυπο στις 15 Δεκεμβρίου 2018. Ανακτήθηκε στις 10 Δεκεμβρίου 2018. 
  28. Yeend, Howard (2005). «Breaking CAPTCHAs Without Using OCR». (pureMango.co.uk). Αρχειοθετήθηκε από το πρωτότυπο στις 25 Ιουνίου 2017. Ανακτήθηκε στις 22 Αυγούστου 2006. 
  29. «Breaking a Visual CAPTCHA» (PDF). Cs.berkeley.edu. 10 Δεκεμβρίου 2002. Αρχειοθετήθηκε από το πρωτότυπο (PDF) στις 3 Απριλίου 2005. Ανακτήθηκε στις 15 Σεπτεμβρίου 2017. 
  30. «PWNtcha – Caca Labs». Sam.zoy.org. 4 Δεκεμβρίου 2009. Αρχειοθετήθηκε από το πρωτότυπο στις 11 Σεπτεμβρίου 2005. Ανακτήθηκε στις 28 Σεπτεμβρίου 2013. 
  31. «Kaspersky discovers CAPTCHA-duping Podec malware». SC Magazine UK. 2015-03-11. https://www.scmagazineuk.com/kaspersky-discovers-captcha-duping-podec-malware/article/1478464. Ανακτήθηκε στις 2016-11-18. 
  32. «Image Recognition CAPTCHAs» (PDF). Cs.berkeley.edu. Αρχειοθετήθηκε από το πρωτότυπο (PDF) στις 10 Μαΐου 2013. Ανακτήθηκε στις 28 Σεπτεμβρίου 2013. 
  33. «Imagination Paper». Infolab.stanford.edu. Ανακτήθηκε στις 28 Σεπτεμβρίου 2013. 
  34. «Asirra is a human interactive proof that asks users to identify photos of cats and dogs». Αρχειοθετήθηκε από το πρωτότυπο στις 15 Δεκεμβρίου 2008. 
  35. «Asirra: A CAPTCHA that Exploits Interest-Aligned Manual Image Categorization». 
  36. «Microsoft's Asirra project closed». Αρχειοθετήθηκε από το πρωτότυπο στις 12 Ιανουαρίου 2009. 

Εξωτερικοί σύνδεσμοι

[Επεξεργασία | επεξεργασία κώδικα]