Obejścia zabezpieczeń
Według analiz przeprowadzonych ostatnio przez TrendLabs, laboratorium zajmującym się badaniem globalnych zagrożeń należącym do firmy Trend Micro, grupy przestępców działających w sieci zaczęły stosować nową, niezwykłą metodę obejścia zabezpieczeń typu Captcha. Przypomnijmy, że Captcha to całkowicie automatyczny, publicznie dostępny test Turinga służący do odróżniania ludzi od komputerów. Witryny WWW zazwyczaj wykorzystują testy Captcha, aby sprawdzić czy użytkownik jest osobą, czy programem komputerowym symulującym działanie człowieka uruchomionym w sieci połączonych ze sobą komputerów (botów),
zaprojektowanym do wysyłania dużej ilości spamu. Testy zabezpieczające typu Captcha okazały się skuteczną metodą powstrzymywania ataków tego rodzaju. Jednak według raportów Trend Micro w Indiach powstały wyspecjalizowane ośrodki, w których płaci się pracownikom za łamanie testów sprawdzających Captcha.
Tradycyjne metody polegające na wykorzystaniu sieci botnet do łamania testów sprawdzających umożliwiają przeprowadzenie prawidłowego procesu rejestracji w 30 do 35% przypadków. Skuteczność procesu, w którym uczestniczą ludzie, jest prawie stuprocentowa. Dzięki niemu przestępcy internetowi dysponują coraz większą liczbą kont, za pomocą których mogą prowadzić swoją destrukcyjną działalność.
Firma Trend Micro uzyskała informacje, z których wynika, że jeden z największych dostawców darmowych kont poczty elektronicznej (Google) padł ofiarą ataku spamerów i że zabezpieczenia wielu kont zostały złamane dzięki działaniom grup pracowników wyspecjalizowanych w łamaniu zabezpieczeń typu Captcha.
Proces ataku przebiega następująco:
1. Oprogramowanie typu bot odwiedza stronę rejestracji i wypełnia formularz rejestracji losowymi danymi.
2. W momencie wyświetlania zabezpieczenia typu Captcha oprogramowanie typu bot wysyła wiadomość do terminalu komputerowego w Indiach.
3. Pracownicy wpisują odpowiednią kombinację liter i cyfr, a następnie wysyłają informację zwrotną do programu.
4. Program wypełnia pole odpowiedzi i kończy proces rejestracji.
5. W ten sposób spamerzy uzyskują swobodny dostęp do kont użytkowników.
6. Z konta wysyłana jest niepożądana poczta elektroniczna do tysięcy legalnych kont poczty elektronicznej.
„Przestępstwa w sieci nie są już zajęciem pojedynczych osób. Działalnością na tym polu zajęły się zorganizowane grupy przestępcze dysponujące dużą ilością gotówki. Zatrudniając pracowników za 2 lub 3 funty dziennie, aby obejść problem zabezpieczeń typu Captcha, przestępcy działający w sieci uzyskują dostęp do milionów zarejestrowanych kont” — powiedział Rik Ferguson z firmy Trend Micro. „Konta te mogą być wykorzystane do wysyłania milionów niepożądanych wiadomości mających na celu zainfekowanie użytkowników różnymi szkodliwymi programami, takimi jak programy do rejestrowania naciskanych klawiszy służące do zbierania poufnych informacji bankowych i haseł”.
Poprzednio stosowany system łamania zabezpieczeń typu Captcha wykorzystywał wirtualną striptizerkę, która zdejmowała kolejne części garderoby w zamian za wpisanie tekstu wyświetlanego obok na ekranie.
---
O CaptchaCAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) - rodzaj techniki stosowanej jako zabezpieczenie w formularzach na stronach WWW. Dla przesłania danych konieczne jest przepisanie treści z obrazka (zazwyczaj losowo dobranych znaków bądź krótkiego wyrazu). Obrazek ten jest prosty do odczytania przez człowieka, jednakże odczytanie go przez komputer jest, przynajmniej w założeniu, bardzo trudne.
Technika ta chroni:
* portale - przed zakładaniem kont przez automaty,
* fora dyskusyjne - przed spamem,
* usługi Whois - przed automatycznymi zapytaniami.
Odmianą CAPTCHA jest system Asirra (en) - na którym należy spośród zdjęć różnych zwierząt wybrać np. kota.
CAPTCHA ma zarówno zwolenników, jak i przeciwników. Ci drudzy uważają, że CAPTCHA jest utrudnieniem dla użytkowników i barierą dla osób niewidomych, a także tych, które mają wyłączone wyświetlanie obrazków w swoich przeglądarkach, względnie dla użytkowników przeglądarek tekstowych (np. Links, Lynx). W ostatnim czasie, w odpowiedzi na zarzut nie przyjazności CAPTCHA dla osób niewidomych bądź niedowidzących, niektóre serwisy pozwalają odsłuchać treść kodu (odtwarzając plik dźwiękowy).
Typowym błędem technicznym CAPTCHA jest taka konstrukcja obrazów, że są one trudne albo nie zawsze możliwe do odczytania przez ludzi, mimo że czasami nie ma to wpływu na komputery (na przykład: niski kontrast, zbliżone kolory, nieregularne odstępy między literami).
Bezpieczeństwo
Na systemy CAPTCHA zostały opublikowane liczne ataki, począwszy od technologicznych (np. PWNtcha), w przypadku których zademonstrowano podatność wielu popularnych CAPTCHA na OCR, po socjotechniczne (wykorzystywanie użytkowników witryn kontrolowanych przez atakującego - np. serwisów o treściach erotycznych - do odczytywania treści z obrazków serwowanych przez atakowane serwisy).
|
