CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) – rodzaj techniki stosowanej jako zabezpieczenie na stronach www, celem której jest dopuszczenie do przesłania danych wypełnionych tylko przez człowieka.

CAPTCHA utrudnia odczytanie tekstu przez programy komputerowe. W tym przypadku jest to tekst smwm

Technika ta chroni m. in.:

  • formularze – przed spamem
  • portale – przed zakładaniem kont przez automaty
  • fora dyskusyjne
  • usługi Whois – przed automatycznymi zapytaniami
  • blogi – przed reklamami w komentarzach.

Rodzaje

edytuj

System weryfikuje i rozpoznaje człowieka poprzez zadawanie zadań i oczekując ich rozwiązania.

Najczęściej stosowanym zabezpieczeniem jest odczytywanie treści z obrazka (zazwyczaj losowo dobranych znaków bądź krótkiego wyrazu). Obrazek ten jest możliwy do odczytania przez człowieka, natomiast odczytanie go przez program komputerowy jest, przynajmniej w założeniu, bardzo trudne.

Odmianą graficznego CAPTCHA jest system Asirra[1], w którym należy spośród zdjęć różnych zwierząt wybrać np. kota.

Inną metodą implementacji zabezpieczenia CAPTCHA jest podawanie zadania tekstowego, np. „Oblicz, ile to jest dwa plus dwa”, „Podaj rok bitwy pod Grunwaldem”, „Podaj wzór chemiczny wody”.

Istnieje wiele implementacji i odmian CAPTCHA, w tym rozwiązania dźwiękowe (system odczytuje zadanie) oraz inne mieszane wyżej wymienionych - np. połączenie graficznych i tekstowych. System może zadać pytanie dźwiękowe np. „Podaj, jakiego koloru jest czapka na podanym zdjęciu”. Istnieją także systemy wykorzystujące sekwencje wideo (NuCAPTCHA[2]).

Problemy

edytuj

Przeciwnicy stosowania tej techniki uważają, że CAPTCHA jest utrudnieniem dla użytkowników. W przypadku graficznych CAPTCHA mogą to być użytkownicy niewidomi, a także ci, którzy mają wyłączone wyświetlanie obrazków w swoich przeglądarkach, bądź też korzystają z przeglądarek tekstowych (np. Links, Lynx)[3].

Typowym błędem technicznym CAPTCHA jest taka konstrukcja obrazów, że są one trudne albo wręcz niemożliwe do odczytania przez ludzi. W przypadku zadań tekstowych miewają one taki poziom trudności, który wymusza skorzystanie z encyklopedii.

Bezpieczeństwo

edytuj

Istnieją doniesienia o udanych atakach na systemy CAPTCHA[4].

Ataki technologiczne (np. PWNtcha) polegają na wykorzystaniu oprogramowania OCR lub rozpoznawania obrazów opartego np. o sztuczne sieci neuronowe.

Ataki socjotechniczne polegają na posłużeniu się dużą liczbą osób, które rozwiązują zadania CAPTCHA w przekonaniu, że rozwiązywane testy są elementami serwisów innych niż docelowo zaatakowane. Atak socjotechniczny wymaga przechwycenia (lub sprawowania) kontroli nad popularnym lub szybko zdobywającym popularność serwisem (najczęściej prezentującym treści erotyczne). Zadania CAPTCHA są kopiowane z systemu docelowo atakowanego na system kontrolowany, zaś rozwiązania (wprowadzane na bieżąco przez rzeszę użytkowników kontrolowanego serwisu) są wykorzystywane w ataku docelowym.

Do rozwiązywania zadań CAPTCHA zatrudniane bywają osoby z biednych rejonów Azji i Rosji. Średni koszt rozwiązania tysiąca zadań CAPTCHA nie przekracza kilku dolarów dla zleceniodawcy[5].

Zobacz też

edytuj

Przypisy

edytuj
  1. Asirra (ang.)
  2. NuCAPTCHA. [dostęp 2010-07-01]. [zarchiwizowane z tego adresu (2011-07-02)].
  3. Robert Drózd: Captcha – nie używaj! - artykuł na blogu. [dostęp 2012-01-01].
  4. Spamerzy radzą sobie z CAPTCHA. Security Standard, 2008. [dostęp 2010-07-01]. [zarchiwizowane z tego adresu (2011-07-28)].
  5. Marti Motoyama, Kirill Levchenko, Chris Kanich, Damon McCoy, Geoffrey M. Voelker, and Stefan Savage. 2010. Re: CAPTCHAs: understanding CAPTCHA-solving services in an economic context. In Proceedings of the 19th USENIX conference on Security (USENIX Security'10). USENIX Association, Berkeley, CA, USA, 28-28.

Linki zewnętrzne

edytuj