Prolomit ochranu audio CAPTCHA není žádný problém

Poté, co programy úspěšně začaly lámat texty psané do obrázku, se další verzí ochrany stala audio CAPTCHA, kdy je kód uživateli přečten. Jenže software pro analýzu zvuku/rozpoznávání řeči si už poradí i s tímhle.


Výzkumníci vyvinuli software proti technologii, který se používá při registraci na celé řadě populárních serverů. Audio CAPTCHA má dnes implementováno např. Yahoo, eBay, Digg nebo služby Microsoftu Live.com (ať už jako hlavní ochranu, nebo jako funkci pro zrakově postižené uživatele).

Program Decaptcha fungoval na různých službách se spolehlivostí mezi 41 do 89 %. Pracuje tak, že v audio souboru nejprve odstraní zvuk na pozadí, a pak až rekonstruuje samotný nahraný kód. Ve všech případech se podařilo projít testem do 100 pokusů. To je sice dost na to, aby služba zablokovala příslušnou IP adresu, ale pro správce botnetu s miliony ovládanými počítači je taková úspěšnost plně postačující. Relativně nejodolnější se ukázala služba Googlu Re-captcha.net. Ta totiž na rozdíl od ostatních nepoužívá šum na pozadí (ať už náhodný, nebo konstantní), ale tzv. sémantický šum. Autoři výzkumu (tým, v němž bylo nejvíce vědců ze Stanfordovy univerzity) se domnívají, že bez sémantického šumu nelze audio ochranu pořádně vylepšit. Buď bude stále zranitelná útokem tohoto typu, nebo naopak neřešitelná i pro člověka.

Program Decaptcha je pro každou konkrétní službu třeba vyškolit, vědci do něj už ovšem nacpali okolo 4 milionů zvukových prvků. Možná, že podobný program mají k dispozici již i podvodníci. Botnet Pushdo totiž dokáže vytvářet podvodné e-mailové účty na službě Live.com a rozesílat z nich pak spam...

 

Zdroj: The Register, New Scientist











Komentáře