Hlavní navigace

Nedokonalý captcha systém

 Autor: 29
Martin Klubal

Překonat tento způsob ochrany založený na Turingově testu bývá paradoxně v mnoha případech náročnější pro obyčejného člověka než robota, přesto se stal nedílnou součástí mnoha formulářů a jen tak z nich v nejbližší době nezmizí. Pojďme se nyní společně podívat na špatnou implementaci captcha systémů, která způsobuje jejich praktickou nefunkčnost.

Známe ji všichni. Znesnadňuje nám občas život a vyznat se v ní bývá v mnoha případech nemalý oříšek. Nemám na mysli ženu, ale obrázkový nebo zvukový kód zabraňující botům v provedení určité akce sloužící výhradně lidem, tzv. captchu. Cílem článku, který právě čtete, není již po několikáté řešit oblíbenost tohoto způsobu ochrany u uživatelů či úspěšnost botů v průniku skrz tyto systémy, rád bych v něm ale poukázal na případy, kdy špatná implementace captchy způsobí její naprostou nefunkčnost. Právě v takových případech totiž dochází k situaci, kdy je jediným posláním captchy obtěžovat lidi, přičemž boti si s ní hravě poradí.

Možná si teď říkáte, další článek o nějaké sofistikované OCR čtečce. Musím vás ale zklamat (nebo potěšit), o nich dnes řeč rozhodně nebude. Podíváme se na zoubek elegantnějšímu, ale přitom ne tak známému řešení a možná někteří z vás zjistí, že ani jejich captcha systém není neprůstřelný. Zaměříme se na mladými opěvované a skeptiky zavrhované PPC služby založené na systému BUX, neboť captcha se stala jejich prioritní a zároveň jedinou ochranou proti autoclickerům. Byl bych ale velice nerad, kdyby se diskuze pod tímto článkem zvrhla v hádku o smyslu zmiňovaných výdělečných systémů, neboť to v první řadě není cílem tohoto článku a za druhé se na podobných systémech dá opravdu vydělat nemalý obnos dolarů, rozhodně ne ale ručním klikáním.

BUX je oblíbený webový systém založený na principu PPC (Pay Per Click), tedy způsobu výdělku, při kterém je uživatel finančně odměňován za proklik reklamních odkazů. V různých úpravách jej využívají přední PPC servery zaměřené na tento druh komerce. Výdělky založené na výše uvedeném systému (nebo jeho obdoby) se staly doslova boomem posledních let, a to převážně mezi mladými lidmi. Jako u každého způsobu možného obohacení, i u PPC se ale postupem času našli lidé, kteří si chtěli tuto činnost usnadnit, nejlépe plně zautomatizovat, a tak se krátce po vzniku zmíněných systémů začaly přihlašovací formuláře opatřovat captcha obrázky, i když nutno dodat, že mnohé PPC aplikace (a tím zdaleka nemyslím jen ty malé) jimi nedisponují dodnes.

Podíváte-li se na žebříčky oblíbenosti jednotlivých BUX systémů, pak se dozvíte, že nejoblíbenějším serverem nabízejícím tento způsob výdělku je v současnosti bux.to disponující největším počtem reklam a tudíž i uživatelů. Nevšímejme si nyní skutečnosti, že i s jejich captchou by moderní OCR čtečka neměla větší problém a zaměřme se rovnou na chybnou implementaci způsobující její praktickou nefunkčnost.

Captcha1

Přihlašování tvoří klasický formulář vyžadující uživatelské jméno, heslo a kód zobrazené captchy, celkem běžná záležitost. Mimo to nám server při vstupu na tuto stránku přidělí i jedinečný identifikátor sezení PHPSESSID. Vyplňme nyní všechny údaje a přihlasme se. Server následně zkontroluje námi zadaná data a v případě úspěšné autentifikace a korektně opsaného captcha kódu jsme vpuštěni do systému a do našeho sezení je zapsána informace o platném opsání captcha znaků, jsme tudíž považováni za člověka a můžeme se s chutí pustit do vydělávání tvrdé měny. Možná si teď říkáte, že jste si ničeho nezvyklého, co by odporovalo bezpečnostním pravidlům, nevšimli, a přesto se tak stalo.

Podívejte se nyní na přidělená cookies. Zmíněná informace o korektním opsání kódu z captchy nacházející se v sezení totiž není nijak spjata s právě použitými přihlašovacími údaji, ty se nacházejí každá ve vlastním cookie, čehož se dá samozřejmě snadno zneužít a boti tak nemilosrdně činí. Stačí totiž použít identifikátor sezení obsahující informaci o regulérním překonání captchy i pro pozdější autentifikaci, a to k libovolnému účtu, opisovat captchu v následujících přihlašovacích procesech tak nebude nutné a boti mají doslova zelenou, zatímco lidé se otrocky trápí při opisování captcha obrázků. Navíc lze při takto nevhodně implementovaném bezpečnostním prvku zajít ještě dál a v našich požadavcích vedle uživatelského jména a hesla hashovaném algoritmem MD5 jednoduše identifikátor sezení vůbec neodesílat, pak dojde rovněž k úspěšnému přihlášení, aniž bychom kdy opisovali jakýkoliv kód z obrázku. Tato chyba je typická především pro systémy, kde byla ochrana captchou implementována teprve později a není tak svázána s procesem přihlašování.

Captcha2

Pokud jste někdy listovali ve fóru PPC serverů threadem s palcovým titulkem „Security“, možná jste zamáčkli slzu nad naivitou majitelů a v první řadě tvůrců těchto systémů. Snaha najít sofistikované řešení, které by vyřešilo problém automatických botů, je jistě chvályhodná, otázkou však zůstává, zda by nebylo rozumnější příliš nepřemýšlet nad komplikovanými algoritmy a soustředit svoji pozornost spíše na kvalitní 3D captchu svázanou s přihlašovacími údaji a pouze jedním procesem autentifikace. Přinejmenším současné technologie, a tudíž i všichni boti, by byli vůči takovému zabezpečení bezzubé. Přitom samotná implementace by nezabrala déle než několik minut a uživatelé rozdíl v podstatě nikterak nepocítí.

Schopnosti jednotlivých internetových botů se přímo odvíjejí od stupně univerzálnosti, kterým je program vybaven. Čím širší okruh využití, tím menší stupeň úspěšnosti a naopak, přičemž v případě botů vybavených OCR čtečkou to platí dvojnásob. Automatizace v čele s roboty se navíc stává boomem posledních let, lze tedy předpokládat, že se s podobnými systémy na principu Turingova testu budeme v budoucnosti setkávat ještě častěji.

Captcha je vůbec zvláštní druh zabezpečení, navíc se u uživatelů netěší přílišné oblibě, neboť obtěžuje právě je, ale přitom chrání majitele nabízených služeb. V posledních měsících jsme měli možnost slyšet postupně o prolomení captchy gigantů jako Google či Microsoft a ani nejznámější internetová peněženka PayPal si s propracovanou captchou hlavu neláme. Registrační formulář je opatřen snadno prolomitelným obrázkem a v případě alternativního formuláře je možné se zaregistrovat dokonce bez čtení jakékoliv captchy, ta na primárním registračním formuláři tak postrádá jakýkoliv smysl. Rozhodnete-li se tedy pro zabezpečení svých služeb formou captchy, vyvarujte se její chybné implementaci, která více než botům znepříjemňuje život regulérním uživatelům.

Anketa

Jaký je váš názor na captcha?

Našli jste v článku chybu?

19. 8. 2008 13:51

Velmi se mi osvědčuje metoda založená na prostém používání session. Na stránce s fomulářem je inkludovaný obrázek, který nastaví v session nějaký příznak a po odeslání formuláře se otestuje, jestli je příznak nastaven.

Drtivá většina (neoptimalizovaných) spamovacích robotů přes to neprojde, protože A) nestahují obrázky B) neimplementují cookies.

Podobně lze využít například javascript atp. Pochopitelně to předpokládá, že nad mými formuláři se nevyplatí někomu bádat...



14. 2. 2012 23:18

xpblaha (neregistrovaný)

Na získání cen od Ryanairu který loni zavedl recaptchu pro můj vyhledávač letenek http://azair.cz používám

http://deathbycaptcha.com

DigiZone.cz: Placené VoD a obsah zdarma

Placené VoD a obsah zdarma

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách