Трохи про історію CAPTCHA

Системи глибокого аналізу трафіку мають додаткову захисну функцію. Мова йде про захист від DDoS. Для цього використовується один із самих популярних і ефективних способів — CAPTCHA, або повністю автоматизований публічний тест Тюрінга для розрізнення комп'ютерів і людей.

Сам по собі тест досить відомий, проте в його історії і еволюції є кілька цікавих фактів, про яких ми хочемо сьогодні розповісти.


/ Flickr / F▲IL / CC

Оригінальна система була розроблена на початку XXI століття інженерами з Університету Карнегі — Меллона, США. Команда під керівництвом Луїса фон Ана (Luis von Ahn) шукала спосіб фільтрації реєстрацій на сайтах, виконуваних автоматичними програмами та спам-ботами.

Команда розробила систему, що показує користувачеві сильно спотворений текст, який неможливо розпізнати програмними алгоритмами. Роботу з ресурсом можна було продовжувати тільки після того, як коротке слово було коректно введено в намічене полі. Рішення вийшло настільки вдалим, що стало активно застосовуватися по всьому світу.

Однак це швидко призвело до появи нового виду заробітку в інтернеті — вирішення завдань CAPTCHA. Спамери почали платити людям за enter контрольної фрази». Такий дохід став популярний в бідних країнах, де можливість отримати хай і мінімальні гроші за тисячі рішень CAPTCHA досить приваблива.

Незважаючи на це, сервіс не втратив популярності, навпаки, розробників почала непокоїти думка, що вони змушують мільйони людей безглуздо переводити зображення в текст, даремно витрачаючи час і зусилля, не приносячи ніякої практичної користі. Тому Луїс задався питанням: «Можна зробити з цим часом щось корисне?».


І знайшов на нього відповідь, представивши додаток reCAPTCHA через деякий час. Воно раніше було «зав'язано» на введення зображень з картинки, але замість випадкового набору символів користувач повинен був «розшифрувати» реальний текст з архівних документів. Програмне забезпечення того часу вже було здатне розпізнавати друковані тексти з досить високою точністю, проте все одно в книгах з часом чорнило розпливаються, що заважало комп'ютерів визначити деякі слова. Людина з цим справляється без особливих проблем.

Першими у черзі на розпізнавання виявилися архівні номери газети The New York Times. Після цього, коли в 2009 році сервіс купила компанія Google, розшифровці зазнали старі книги. Виходить, що кожен раз, вводячи текст reCAPTCHA, ви розбираєте фрагменти з реальних архівних текстів. Луїс фон Ан був дуже задоволений новою версією програми, запевняючи, що сервіс проживе дуже довго, оскільки друкованого матеріалу в архівах предостатньо.

Подібні експерименти були проведені і з розпізнавання зображень з Google Maps і Google Street View. Однак незабаром аналітикам компанії Google довелося шукати відповідь на успішні спроби автоматизації «взлома» навіть самих складних зображень з ймовірністю, що перевищує 90%.

Для вирішення цієї проблеми Google почали вдосконалювати технологію, і в 2015 році інженери компанії представили нове рішення, яке не зобов'язувало користувача розпізнавати символи. Нова система аналізувала поведінку користувача на сайті до моменту натискання цієї кнопки «Я не робот», а потім робила висновок: людина це чи бот.

Якщо аналіз не давав однозначної результату, то користувачеві пропонувалося пройти додаткову перевірку, наприклад, вибрати з декількох картинок, на яких зображені дерева.

Інші CAPTCHA та інші рішення
Крім найпоширеніших систем від компанії Google, сьогодні є й інші рішення, спрямовані на розрізнення людини і машини. Так, розробники сервісу TextCAPTCHA пропонують користувачам відповідати на прості логічні питання. Наприклад, про те, яка буква в слові «автомобіль» стоїть на третьому місці.

Вважається, що таких заплутаних формулювань буде достатньо, щоб обдурити «автомат», а конкретні питання набагато простіше в плані сприйняття людиною. Також деякі розробники тестів Тюрінга дотримуються думки, що краще просити користувачів вирішувати нескладні математичні рівняння.

Ще одне цікаве рішення було запропоновано Facebook в січні 2011 року. Компанія експериментувала з так званої соціальної аутентифікацією. За словами представників компанії, ідея полягала в тому, щоб показати користувачеві кілька фотографій його друга і попросити назвати його ім'я.

Фахівці Facebook були впевнені в тому, що недоброзичливці можуть бути ледь знайомі з вашими друзями і не стануть збирати всю інформацію про вас колі спілкування, що в цілому досить спірне твердження.

Також різними онлайн-сервісами використовуються і інші методи «фільтрації» користувачів, які дають ще один рівень захисту. Вони замінюють або доповнюють CAPTCHA.


/ Flickr / Tarek / CC

Honeypot. У 2007 році Філ Хаак (Phil Haack) запропонував цікавий метод визначення ботів. Він отримав назву Honeypot. Його особливість полягає в додаванні додаткового поля при заповненні онлайн-форми, яку було б невидиме для користувача-людини. Бот не здатний зрозуміти, мабуть це поле чи ні, бо заповнює його «по інерції», що дозволяє адміністратору заблокувати реєстрацію як спам.

Тимчасові обмеження. У середньому, скільки часу вам потрібно на заповнення онлайн-форми з 10 полями? Більшість людей витрачає на це кілька хвилин, у той час як боти роблять це практично миттєво. Ідея рішення полягає в тому, щоб відзначити як підозрілі все реєстрації, поля форми під час якої були заповнені швидше певного проміжку часу. Цей спосіб добре працює до тих пір, поки спамери не зрозуміють, що такий часовий поріг існує, після цього вони вчать свої системи заповнювати поля введення повільніше.

Цікаві і прості ігри. Використання ігор у боротьбі проти спаму стає зростаючою тенденцією. Замість того щоб вводити капчу», компанії просять користувачів зіграти в невелику гру, щоб довести свою «людяність». Ігри можуть бути самими різними: невеликі платформери (по типу Маріо) або ж аркади, наприклад, з ракетою в космосі, яку потрібно провести через метеоритний пояс. Крім стандартних функцій захисту від ботів, таке рішення додає у досить рутинну операцію трохи веселощів.

Аудиокапчи. Це альтернатива візуальної CAPTCHA. Сервіс сам «говорить» слова, які потрібно ввести. І хоча це рішення в теорії виглядає ефективним, на практиці все впирається в якість колонок комп'ютера користувача. А якщо в доступності у користувача немає акустичної системи або навушників, то він не зможе користуватися сервісом.

«Гонка озброєнь» між фахівцями з безпеки і спамерами ніколи не закінчиться. Тому постійно будуть розроблятися нові механізми захисту та їх обходу. Але незважаючи на це технологія reCAPTCHA залишається одним з найнадійніших способів боротьби з ботнет-мережами і успішно застосовується в системі DPI СКАТ для захисту від DDoS-атак. Постійна розробка платформи і випуск нових версій дозволяє використовувати актуальні механізми захисту.

Якщо цікаво
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.