Российские программисты обошли систему CAPTCHA на портале Yahoo
(15:09) 20.01.2008
Группа российских программистов, обозначившая себя как Network Security Research, сообщила о создании программного обеспечения, способного обходить систему защиты CAPTCHA, используемую на портале Yahoo.
Напомним, что CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) представляет собой автоматизированный публичный тест Тьюринга для различения компьютеров и людей. На практике CAPTCHA - это компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. Основная идея теста состоит в том, чтобы предложить пользователю такую задачу, которую легко решает человек, но которую невозможно (или крайне трудно) научить решать компьютер. В основном это задачи на распознавание образов. CAPTCHA чаще всего используется при необходимости предотвратить использование интернет-сервисов ботами, в частности, для предотвращения автоматических отправки сообщений, регистрации, скачивания файлов или массовых рассылок.
На сегодня существует множество реализаций системы с программной точки зрения. Вообще говоря, в идеале для максимальной защиты на каждом сайте следовало бы развернуть свою систему, реализованную на базе собственных алгоритмов. Именно так и поступили в Yahoo, создав в рамках всех сервисов свою собственную, но единую систему CAPTCHA, которая до сих пор считалась наиболее защищенной.
Тем не менее в блоге Network Security Research автор блога под псевдонимом John Wane пишет, что ими было разработано программное обеспечение, которое с вероятностью не менее 35% точно распознает систему защиты Yahoo и обходит ее.
По утверждениям самого "John Wane", их группа связалась с представителями и сообщила об обнаруженных уязвимостях, однако никто из Yahoo им так и не ответил.
Программное обеспечение, размещенное в блоге группы, позволяет проводить массовую регистрацию адресов электронной почту, отправлять множественные сообщения в блоги и несанкционированно использовать другие сервисы Yahoo.
"Как правило, приемлемый уровень точности составляет около 15%, но при количестве попыток в день не менее 100 000 атакующий может говорить об успехе своих противоправных действий", - говорит разработчик.
Разработанная исследователями система состоит из двух частей - серверной и клиентской. Для работы серверной части требуется наличие среды MATLAB 2007a Compiler Runtime (MCR), которая ожидает соединения и передачи картинки CAPTCHA, после этого движок программы распознает изображение и передает его клиентской части, которая использует полученные данные в свои целях, например для регистрации мусорных адресов электронной почты.
В перспективе разработчики также не исключили и создания бизнеса из своей разработки - взимать с пользователей системы по 1 центу за каждый распознанный номер или слово CAPTCHA. Блог разработчиков расположен по адресу network-security-research.blogspot.com.
- Русские cломали капчу на Yahoo! Группа российских "исследователей в области сетевой безопасности" сообщила в своем блоге о взломе captcha-системы на сайте Yahoo!. Представитель этой организации, пишущий под именем John Wane, разместил в дневнике ссылку на программный продукт, который позволяет с вероятностью не менее 35% обходить "защиту от роботов". Система взлома captcha состоит из серверной и клиентской частей. Серверная работает в среде MATLAB 2007a Compiler Runtime - она ждет передачи графического изображения, распознает
- IBM представила новое виртуальное решение для защиты служб электронной почты (15:24) 06.08.2007IBM сообщила о выпуске своим подразделением Internet Security Systems (ISS) нового решения для обеспечения информационной безопасности при работе с электронной почтой, построенного на базе существующей системы Proventia Network Mail Security System. Виртуальная версия этого продукта (т.н. виртуальное приложение – virtual appliance), позволяющая организовать полноценную защиту от всего спектра угроз, связанных с работой электронной почты, адресована компаниям лю
- Norton 360: новое средство защиты Symantec от интернет-угроз Корпорация Symantec провела сегодня пресс-конференцию, на которой представила новое комплексное автоматизированное средство защиты от интернет-угроз - Norton 360. Новый потребительский продукт от Symantec соединяет в себе средства защиты ПК и технологии настройки с новыми возможностями автоматического резервного копирования и защиты онлайновых транзакций. Norton 360 помогает защитить потребителей от интернет-угроз, онлайнового мошенничества и кражи персональной информации, оберегая важные докум
- Объявлена программа московской конференции Cisco Expo-2007 (14:04) 26.09.200716-18 октября в московской гостинице «Рэдиссон САС Славянская» пройдет уже восьмая по счету ежегодная конференция по информационным технологиям Cisco Expo. На сей раз она будет посвящена инновационным разработкам Cisco в области сетевых технологий, меняющих способы человеческого общения, связи и сотрудничества.По традиции форум откроет вице-президент Cisco по странам СНГ Роберт Эйджи. Затем слово будет предоставлено представителям компаний-спонсоров конференции: PANDUIT (з
- Объявлена программа московской конференции Cisco Expo -2007 16-18 октября в московской гостинице "Рэдиссон САС Славянская" пройдет уже восьмая по счету ежегодная конференция по информационным технологиям Cisco Expo. На сей раз она будет посвящена инновационным разработкам Cisco в области сетевых технологий, меняющих способы человеческого общения, связи и сотрудничества. По традиции форум откроет вице-президент Cisco по странам СНГ Роберт Эйджи. Затем слово будет предоставлено представителям компаний-спонсоров конференции: PANDUIT (золотой спонсор),