Feltörték a Captcha védelmet
2007.07.11. 10:10 - hancu
Captcha, vagyis Completely Automated Public Turing test to tell Computers and Humans Apart. Még mindig nem dereng? A Captcha az az eltorzított, egymásra dobált, de még éppen olvasható betűket-számokat ábrázoló kép, amiről be kell másolnunk a tartalmat egy szövegmezőbe, amikor új emailcímet, fórumhozzáférést vagy hasonlót regisztrálunk az interneten. Eddig úgy tűnt, ez megfelelő védelem az automata hozzáférés-generáló scriptek ellen (amiket aztán jellemzően spamküldésre használnak a gazdáik) - a Bitdefender jelentése szerint azonban most feltűnt az első olyan vírus, a Trojan.Spammer.HotLan.A, ami megkerüli ezt a védelmet. A szakértők szerint a vírus egyetlen példánya óránként 500 Hotmail- és Yahoo-emailcímet generál, majd azokról küldözgeti a levélszemetet.
Kommentek
2007.07.11 10:41:05joestet
Az annyakenya!
2007.07.11 10:45:47xombat.com
A cim es a cikk is felrevezeto, pontatlan.
A cikk azt irja: percenkent 500+ uj azonosito kerul leterhozasra. Azt nem konkretizalja, hogy milyen azonosito (Hotmail, Yahoo vagy mas).
Szinten nem irja, hogy a spammerek MINDEN vagy csak egy konkret Captcha rendszert tortek fel. A Captcha ugyanis (ismereteim szerint) nem szabvany, konnyen elkepzelheto hogy egy adott megvalositas hianyossagait hasznaltak ki. Pl. ha az adott oldal tartalmazza valamilyen modon a megjelenitett kod titkositott formajat (session id, hidden value, field name), elegendo megfejteni a kodolo/dekodolo fuggvenyt es maris kesz a hack.
2007.07.11 10:48:08xombat.com
Bocs, en sem voltam pontos :(
javitas: "...A Bitdefender cikk azt irja..."
2007.07.11 10:48:39xombat.com
vagy valami hasonlo
2007.07.12 00:26:55Flex
Dehogy törték fel, csak át irányítja a virus a www.clickclickclick.com-ra a képet, a japók és a magyarok meg megfejtik, mert azt hiszik hogy ez egy verseny. :)
2007.07.12 03:11:26atleta.hu
Ez az index tech rovat ez valami ossznepi tarsasjatek? Ti bedobtok egy szenzaciohajhasz modon felreforditott cikket (amit talan nem is ertetek) aztan az olvasok meg majd kijavitgatjak? Kicsit gaz ez igy nem? Ez igy nem ujsagiras sracok.
A cikk csak azt irja, hogy abbol, hogy a trojai generalt accountokat hasznal _arra kovetkeztetnek_, hogy az iroi talaltak egy modot, amivel tuljutnak a CAPTCHA rendszereken. Nyilvan az emlegetett site-ok rendszerein.
Egyebkent elarulom, hogy mar eleg regen van ismert modszer arra, hogy hogy lehet a CAPTCHA rendszert megkerulni. Eloszor is eleg sok helyen nem eleg zajosak a kepek, kis szures/kepfeldolgozas utan siman elbanik veluk egy felismero algoritmus. Foleg, ha az kifejezetten az adott site captcha generalo algoritmusara van raallva (mondjuk csak 1-2 fajta betutipust hasznalnak, elforgatjak, eltoljak oket es zajt adnak a kephez).
De a megkerules sokkal egyszerubb, es okosabb: csinalj nehany nagy forgalmu site-ot, ahol valahogy raveszed az embereket, hogy CAPTCHA-kat fejtsenek meg neked. Te kapsz egy ilyen rejtvenyt a szolgaltatotol, ahova regisztralnal, tovabb passzolod egy weboldalon egy embernek aki megfejti, aztan a megfejtessel mesz vissza es folytatod a regisztraciot.
Hogy hogy lehet ravenni ilyenekre embereket? Hat a legegyszerubb az, ha egy ingyenes porno site-ba agyazod bele. Mondjuk minden N. kep megnezesehez elobb meg kell fejtenie egy CAPTCHA-t. Meg se lepodne rajta senki, azt gondolnak, hogy ott is a botokat akarjak kizarni.
De amugy tenyleg - uristen, feltortek! :)
2007.07.12 03:17:37atleta.hu
Ja, es meg valami - a CAPTCHA feltoresehez nem is kell tul jo l mukodnie az algoritmusnak - egyaltalan nem szamit, ha csak a kepek kis reszet ismeri fel. Mondjuk 10%-ot. Es az 500/oras eredmenybol latszik is, hogy ennel sokkal jobb arannyal nem dolgozhat az algoritmus. De hat kit erdekel? A virus irot biztosan nem, mert a programja kizarolag masok gepet es halozatat terheli.
Amugy, ha rakerestek arra, hogy 'break captcha', akkor egeszen sok talalatot kaptok. Pl. ezt, ahol 92%-os hatekonysaggal tordeltek egy felismero algoritmus segitsegevel.
5-10 perc plusz raforditassal ertelmes cikket is irhattatok volna :(