Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Intelligenta algoritmer och dumma människor » Kryptoblog

Intelligenta algoritmer och dumma människor

November 13th, 2007 by Joachim Strömbergson Leave a reply »

Jag har tidigare skrivit om CAPTCHA - Completely Automated Public Turing test to tell Computers and Humans Apart, dvs automatiserade tester avsedda att särskilja människor och maskiner.

Syftet med CAPTCHA är att kunna blockera maskiner från access till olika resurser, exempelvis diskussionsforum eller nätspel, men samtidigt inte hindra mänskliga besökare. Ofta är CAPTCHA:n utformad som en förvrängd bild där människans förmåga att tolka bilder utnyttjas:

Typisk CAPTCHA.
(Typiska CAPTCHA-bilder lånade från Wikipedia.)

CAPTCHA och intresset för att komma åt de tillgångar CAPCTHA-tekniken skyddar har lett till ett ställningskrig mellan de som utvecklar CAPTCHA-algoritmer och de (typiskt SPAM-troll) som försöker hitta på algoritmer för att knäcka CAPTCHA-algoritmerna. Men om man nu tycker att det är svårt att hitta på smarta algoritmer för att attackera CAPTCHA kan man istället ta till dumma människor.

Computerworld hade för ett tag sedan en artikel om hur spammare använder access till porr för att locka användare att tolka CAPTCHAs plockade från webbplatser spammarna vill få access till:


Spammers are using a virtual stripper as bait to dupe people into helping criminals crack codes they need to send more spam or boost the rankings of parasitic Web sites, security researchers said today.

A series of photographs shows “Melissa,” no relation to the 1999 worm by the same name, with progressively fewer clothes and more skin each time the user correctly enters the characters in an accompanying CAPTCHA (Completely Automatic Public Turing Test to Tell Computers and Humans Apart), the distorted, scrambled codes that most Web mail services use to block bots from registering hundreds or thousands of accounts. Spammers rely on Web e-mail accounts because they’re disposable; by the time filters have blocked the address, the spammers throw it away and move on to another.

The CAPTCHAs that Melissa feeds to users are, in fact, legitimate codes snatched from Yahoo Mail’s signup screens, said analysts at Trend Micro Inc. The hackers, frustrated at their inability to come up with a way to automate account registration, are getting users to do their dirty work.

“They’re using human beings in semi-real time to translate CAPTCHAs by proxy,” said Paul Ferguson, a network architect at Trend Micro. “You have to give them this, it’s clever.”

Each time the user correctly decodes the CAPTCHA, a new Melissa photo is revealed, pulled from a hacker-controlled server in Israel, according to Symantec Corp. The plain-text decodes are sent to that same server, where they are presumably banked for future use in generating large numbers of Yahoo Mail accounts.

På Wikipedias sida om CAPTCHAs finns även en länk till en sida med information om där människor anställts för att sitta och lösa CAPTCHAS, på liknande sätt som folk anställs för att träna upp karaktärer i spel som World of Warcraft. (Den sidan kallar fenomenet Turing farm.)

Jag vill ändå separera dessa två typer av attacker mot CAPTCHAs där människor plockas in som beräkningsenheter. I det förra fallet handlar det om att på olika sätt lura och locka folk att hjälpa till med något de annars inte hade ställt upp på. Och frågan är hur man skyddar sig mot detta. Finns det bra sätt att tekniskt stoppa denna typ av attack?

Dels kan man försöka stoppa möjligheten att skicka CAPTCHAn vidare, vilket i sig inte är helt lätt. Men frågan är om CAPTCHA-tekniken i sig går att förändra? Jag bloggade för ett tag sedan om knäppa CAPTCHAs, men det kanske är så att för vissa webbplatser är CAPTCHAs med domänspecifik semantisk koppling lösningen.

Matte-CAPTCHA.
(Matte-CAPTCHA.)

Dvs bara användare som verkligen är intresserade av access till webbplatsen är kapabla att lösa CAPTCHAn… Med konsekvens att Internet blir än mer slutet och fragmenterat. Men knäppa CAPTCHAs är kanske inte så knäppt i alla fall.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

3 comments

  1. Robert Andersson says:

    Matte-Captcha? Det är väl bara att be användaren att skriva ned tecknen i vilket fall varefter ett matematikprogram får räkna ut svaret. I så fall är det bättre att använda gåtor.

  2. Joachim says:

    Aloha!

    Möjligtvis ställer matteprofessorn frågan: “vad skall du med svaret till?”, och svaret “för att titta på porr!” kanske gör att han inte vill lösa problemet. 😉
    (Eller så är det därför han gör det…)

    Men visst har du antagligen rätt: Kan problemet ställas så att en människa är tänkt att lösa det (vilket är själva poängen med CAPTCHA) kan man säkert hitta en människa som går att korrumpera.

    Livet är inte så lätt…

Trackbacks /
Pingbacks

  1. más información

Leave a Reply

You must be logged in to post a comment.