Телефон: +7 (383)-202-16-86

Статья опубликована в рамках: II Международной научно-практической конференции «Физико-математические науки и информационные технологии: проблемы и тенденции развития» (Россия, г. Новосибирск, 08 мая 2012 г.)

Наука: Информационные технологии

Секция: Методы и системы защиты информации, информационная безопасность

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Маннапова Т.М., Исекетов Е.С., Кинцель Д.А. УСТОЙЧИВОСТЬ CAPTCHA К АВТОМАТИЧЕСКОМУ РАСПОЗНАВАНИЮ // Физико-математические науки и информационные технологии: проблемы и тенденции развития: сб. ст. по матер. II междунар. науч.-практ. конф. – Новосибирск: СибАК, 2012.
Проголосовать за статью
Дипломы участников
У данной статьи нет
дипломов

УСТОЙЧИВОСТЬ CAPTCHA К АВТОМАТИЧЕСКОМУ РАСПОЗНАВАНИЮ

Маннапова Торгын Мендикуловна

магистрант, СГТУ, г. Саратов

Е-mail: Mannapovatm@mail.ru

Исекетов Ержан Садыкович

магистрант, СГТУ, г. Саратов

Кинцель Дмитрий Александрович

науч. рук., канд.физ-мат. наук, доцент СГТУ, г. Саратов

 

В последнее время большинство интернет-сайтов используют CAPTCHA. Популярность CAPTCHA объясняется тем, что владельцам сайтов приходиться обеспечивать защиту от автоматической регистра­ции и рассылки спам сообщений. CAPTCHA (от англ. «Completely Automated Public Turing test to tell Computers and Humans Apart») представляет собой полностью автоматизированный публичный тест Тьюринга для различия компьютеров и людей. Основная идея теста: предложить пользователю такую задачу, которую с легкостью может решить человек, но которую несоизмеримо сложнее решить автомати­чески, программным способом. В основе таких задач чаще всего используются задачи распознавания символов или объектов на изображении.

Существует сервис «reCAPTCHA», который использует тест CAPTCHA не только для защиты от ботов, но и для оцифровки старых книг. reCAPTCHA — генерирует картинки, защищающие сайты от роботов. Эти картинки берутся из отсканированных страниц книг. Пользователи, регистрируясь на сайтах или оставляя комментарии, принимают участие в переводе старых книг в цифровой формат. Для определения корректности прохождения CAPTCHA пользователю дается на распознавание два слова — одно, распознано раннее, и другое, которое надо распознать. Если пользователь верно распознает проверочное слово, то второе автоматически также считается правильно распознанным [4].

Первоначальные версии CAPTCHA предлагали пользователю распознать набор символов из заранее известного числа символов, в тесте использовался единственный шрифт, сами символы не подвергались искажениям, шумы не накладывались. Достаточно быст­ро с помощью технологий автоматического распознавания OCR такие версии CAPTCHA перестали быть эффективными, так как перестали выполнять свою первоначальную задачу — борьбу с ботами.

Для противодействия системам OCRразработчики CAPTCHA подвергают распознаваемые символы искажениям: изменяя контраст­ность, размер используемых шрифтов, накладывая шум, используя размытие, геометрические преобразования и другое. Это в свою очередь привело к тому, что тесты стали настолько сложными, что рядовые пользователи сайтов с трудом справляются с ними. Появление таких слишком усложненных вариантов CAPTCHA раздражает пользователей и снижает привлекательность сайта. Разработчикам CAPTCHA приходится искать золотую середину: внести искажения настолько, чтобы с одной стороны максимально затруднить возмож­ность автоматического распознавания, с другой стороны, сделать тест максимально удобным для пользователей. Однако по мере развития технологий автоматического распознавания эффективность CAPTCHA продолжает снижаться. На сегодняшний момент существует много проектов занимающихся исключительно распознаванием CAPTCHA. Наиболее известными из них являются два: «UC Berkeley Computer Vision Group» и «PWNtcha». По оценкам исследователей, используе­мые решения позволяют верно распознавать более 90% тестов CAPTCHA построенных на распознавании символов.

Еще одной проблемой, с которой столкнулись разработчики CAPTCHA— это существование специализированных платных сервисов, предоставляющих услуги по распознаванию CAPTCHA с использованием низкооплачиваемого человеческого труда. Наиболее известными такими сервисами являются «antigate.com» и «captchabot.com». Принципработытаких сервисов заключается в том, что спам-бот, встречая CAPTCHAна атакуемом сайте, отсылает изображение CAPTCHAна сервер сервиса по распознаванию. Далее CAPTCHAпопадает одному из сотрудников сервиса, который распознает её вручную и отправляет результат распознавания в виде текста обратно программе спам-боту. Программа спам-бот вводит полученный текст в специальное проверочное поле экранной формы атакуемого сайта. Процедура такого «автоматического» распознавания обычно занимает не больше 40 секунд, а среднее время составляет порядка 12 секунд. Использование такого сервиса позволяет верно, распознавать символы с теста CAPTCHAоколо 95 % случаев. Благодаря удаленному использованию дешевой рабочей силы из Китая, Индии и других стран Азиатского региона стоимость распознавания 1000 тестов составляет всего лишь один доллар США. Кроме основной функции по распознаванию символов, сервисы предоставляют дополнительные услуги по сбору статистики, предоставлению прокси-серверов или огра­ничению пользователей по IP-адресам. Данные виды сервисов широко используются для рассылки спам-сообщений и автоматической регистраций на различных веб-ресурсах. Необходимо отметить, что дальнейшее усложнение CAPTCHAсвязанных с распознаванием символов на изображении не приведет к более высокой устойчивости CAPTCHAк автоматическому распознаванию, так как в конечном итоге тест проходит наемный сотрудник сервиса, а значит, он имеет такие же возможности как и рядовой пользователь сайта. В качестве защиты от использования таких сервисов можно использовать в тесте CAPTCHAнациональные символы той страны, пользователи которой являются основными посетителями сайта, но это подход тоже имеет недостаток. Данный способ защиты не позволит проходить CAPTCHAобычным пользователям, не имеющие на клавиатуре запрашиваемые националь­ные символы.

По описанным выше причинам владельцы сайтов отказываются от классических вариантов тестов CAPTCHAв пользу других разновиднос­тей теста. Примером такой разновидности может служить аудиоверсия CAPTCHA, которая состоит из проговариваемых цифр, как правило, с варьируемой тональностью, паузами и фоновыми шумами. Преиму­щество у аудио-CAPTCHA в том, что на такой вопрос сможет ответить пользователь с нарушениями зрения. Недостатки — посетитель должен иметь на компьютере оборудование для воспроизведения звука. К тому же реализация звуковых искажений довольно требовательна к ресурсам сервера. Это ведет к тому, что аудио-CAPTCHA применяется довольно редко и только как альтернатива для слепых пользователей. Так, напри­мер аудио-капчи сервисов eBay, Yahoo, Digg, Authorize.net, Live.com и reCAPTCHA используют один или несколько голосов, произносящих последовательность фиксированного количества цифр или же цифр с буквами. Американские исследователи из Стэндфордского (Stanford) и Тулейнского (Mane) университетов продемонстрировали возможность взлома аудиоверсии системы Captcha. Эффективность новой разработки оценивается достаточно высоко и, со слов руководителя исследователей, их алгоритм смог успешно обойти аудио CAPTCHA от Microsoft и Yahoo почти в половине всех случаев. В связи с этим Microsoft перешла на другой тип CAPTCHA, которую алгоритм все еще может обойти, правда, только в 1,5 процентах случаев. [1]

Представителем еще одного нового направлением является тест «NuCaptcha» — это видеоверсия CAPTCHA, в которой технологии анимации призваны затруднить спам-роботу процесс декодирования символов. NuCaptcha предлагает подвижное изображение, вместо статической картинки. На фоне одного из нескольких доступных коротких видеофрагментов волнами проплывает бегущая строка, из которой необходимо ввести только три последних символа, при этом символы наплывают друг на друга. Создатели данного теста утверж­дали, что NuCaptcha обеспечивает самый высокий уровень безопасности и удобства из всех тестов CAPTCHA, присутствующих на рынке. Но, по словам исследователя из Стэнфордского университета Эли Бурштейна, это не совсем так. Начиная с октября 2010 года, Бурштейн вместе с другими исследователями анализировал безопасность NuCaptcha и в конечном итоге нашел способ, позволяющий преодолевать защиту в 9 случаях из 10. [2]

Примером устойчивой на сегодняшний момент к автоматическому распознаванию CAPTCHA является тест IMAGINATION, который сос­тоит из двух частей. Вначале испытуемому предлагается выбрать одну из нескольких цветных фотографий, воспроизведенных с частичным наложением границ, и кликнуть «мышью» на ее геометрический центр. Комбинированное изображение имеет большой объем, в картинки вне­сены произвольные цветовые, текстурные и контурные искажения. Пос­ле успешного прохождения первого этапа на экране возникает другое либерально «зашумленное» изображение, надо подобрать из приведен­ного списка определяющее слово. [3]

Новым направлением в тестах CAPTCHA являются тесты, построенные на интерактивном взаимодействии с пользователем. Интерактивная защита— довольно новое и пока малораспространенное решение, смысл его — интерактивное взаимодействие пользователя с каким-то объектом. Ярким представителем такого класса является сервис «KeyCAPTCHA». Идея теста: пользователю предлагают привести некоторый объект в порядок, например, правильно сложить картинку из нескольких частей.

Надежность любой системы безопасности в значительной степе­ни зависит от качества ее реализации. У практических решений есть уязвимости, которые могут быть использованы злоумышленниками. В полной мере это правило применимо и к системам, использующим CAPTCHA. Технологии распознавания образов, текста, звука развиваются параллельно с увеличением вычислительной мощности компьютеров, что существенно снижает эффективность классических тестов CAPTCHA. Поэтому для повышения устойчивости CAPTCHA к «взлому» необходимо использовать новые направления тестов CAPTCHA, в частности интерактивные варианты тестов и тесты, основанные на использовании абстрактного мышления человека.

 

Список литературы:

  1. Аудиоверсия CAPTCHA взломана — Режим доступа — URL: http://cyberattack.ru/post_1309335066.html (29 июня, 2011).
  2. Видеоверсия CAPTCHA взломана — Режим доступа — URL: http://www.osp.ru/news/articles/2012/08/13012862/ (24 февраля, 2012).
  3. CAPTCHA, которая требует воображения — Режим доступа — URL: http://www.securelist.com/ru/blog/28872/ (28 апреля,2008).
  4. reCAPTCHA — Режим доступа. — URL: http://ru.wikipedia.org/wiki/ ReCAPTCHA (16 марта, 2012).
Проголосовать за статью
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий