Когда-то CAPTCHA был простым и полезным способом аутентификации пользователей Web-сайтов. Теперь он превратился в столь же простой и полезный для спамеров и авторов вредоносных программ способ добиться своих неблаговидных целей.
CAPTCHA - то есть «полностью автоматизированный публичный тест Тьюринга для различения людей и компьютеров» (Completely Automated Public Turing Test to Tell Computers and Humans Apart) - для своего времени был неплохой идеей. Пользователю показывают специально запутанную строчку символов и просят расшифровать и ввести ее перед тем, как завести учетную запись на сервере электронной почты, социальной сети или получить возможность оставить комментарий на форуме.
Никаких особых трудностей для пользователей (хотя многие из них справедливо жаловались на то, что во многих шрифтах трудно отличить цифру 1 от строчной латинской буквы l) и уж точно никаких трудностей для администраторов сайтов. И вот так к 2007 году CAPTCHA превратился из несколько странной меры безопасности, изобретенной в 2000 году учеными из университета Карнеги-Меллона, в стандартную функцию большинства крупных сайтов электронной почты и многих других Web-сайтов. Yahoo Mail, Google Gmail, Microsoft Hotmail - все они использовали (и, собственно говоря, продолжают использовать) метод CAPTCHA, чтобы удостовериться в том, что регистрируют учетные записи и помещают сообщения только люди, а не автоматические программы.
Но это все уже в прошлом.
Год падения CAPTCHA
CAPTCHA на Yahoo Mail взломали к январю 2008 года. В апреле пал Gmail. В том же месяце вскрыли и Hotmail.
А потом появились настоящие проблемы.
В сети теперь можно найти программы, автоматизирующие атаки на CAPTCHA. Навыки взломщика больше не нужны. Все, что нужно - это желание рассылать спам, анонимно оскорблять в сети ваших врагов, распространять вредоносные программы - короче говоря, просто быть сетевым придурком.
Страдают от этого, между прочим, не только сайты бесплатной электронной почты.
Основатель сайта SiteTruth Джон Нэйгл, чей сайт специализируется на идентификации мошеннических предприятий и их Web-сайтов, в конце мая опубликовал на сайте Techdirt статью о спаме на популярном сервисе тематических рекламных объявлений Craigslist. Многие годы, как пишет он, спам здесь не представлял серьезной проблемы. Но в этом году спамеры начали побеждать и постепенно берут верх.
За деньги и без
"Администраторы Craigslist пытались остановить спам, отыскивая дублирующие друг друга сообщения, - пояснил Нэйгл. - Они пытались проверять, не идет ли с одного IP-адреса слишком много сообщений. Они требовали при регистрации пользователей наличия рабочего адреса электронной почты. Они добавили CAPTCHA для противодействия автоматическим средствам рассылки сообщений". Кроме того, пользователи сами могут отмечать на сайте сообщения, которые считают спамом.
«В настоящее время, - саркастически отмечает Нэйгл, - доступно уже несколько коммерческих продуктов, позволяющих преодолеть эти мелкие затруднения при массовом размещении сообщений. Один из таких продуктов носит название CL Auto Posting Tool. Он не только автоматически размещает сообщения на Craigslist, но и обладает встроенными методами обхода всех механизмов защиты от спама на Craigslist». И он такой не один. Есть, добавляет Нэйгл, и другие «программные продукты, например, AdBomber и Ad Master. Для спамеров, предпочитающих сервисно-ориентированный подход, есть ItsYourPost». Что в результате? «Оборона Craigslist прорвана. В некоторых категориях доля спама превышает 90%. Первыми пали секции личных объявлений, затем услуг и, недавно, предложений работы».
Разумеется, можно и не платить. В сети появились и бесплатные средства взлома CAPTCHA.
Телефонная линия фронта
Craigslist не сдается. Для некоторых объявлений они теперь используют проверку по телефону. Взломщики работают над преодолением и телефонной линии обороны Craigslist. Расходы на сражение растут, и непонятно, как Craigslist, который всегда был бесплатным сервисом, сможет поддерживать существование по модели без всяких видимых источников дохода.
Как показывает ситуация с Craigslist, рассылка злоумышленниками электронной почты - не единственная проблема, связанная со взломом CAPTCHA. Старший аналитик британской фирмы MessageLabs Пол Вуд (его фирма занимается безопасностью электронной почты) рассказал, что в MessageLabs уже знакомы с примерами использования спамерами, после преодоления CAPTCHA на Google и Hotmail, и других методов. Например, они создают документы со спамерским содержимым в Google Docs, а ссылки на них рассылают по электронной почте. Таким образом они обходят традиционные антиспамерские методы, зависящие от наличия в адресах ссылок известных спамерских доменных имен.
Из почты - в социальные сети
Пользователи социальных сетей тоже страдают от атак с сайтов, чьи CAPTCHA были взломаны, добавляет менеджер по исследованиям в области безопасности фирмы Websense Security Labs Стефан Ченетте.
«Новое поколение не использует для общения электронную почту, - пояснил Ченетте. - Они пользуются социальными сетями и не слишком озабочены раскрытием своей личной информации в сетях и блогах, где они оставляют сообщения вместо того, чтобы отправлять их по почте. Злоумышленник создает свой собственный публичный блог или регистрирует учетную запись, а потом публикует вредоносные ссылки. Он злоупотребляет доверием людей, входящих в это сообщество, и использует их для создания ботнетов и тому подобных вещей».
Поскольку социальные сети представляют собой «огромный плацдарм для атаки» и их пользователи «в отличие от опытных пользователей электронной почты и мгновенных сообщений, не чувствуют себя уязвимыми», их особенно легко эксплуатировать, считает Ченетте.
Как обманывают поисковики
Падение CAPTCHA вызвало появление и еще одного вектора атаки: быстрого создания фальшивых Web-сайтов. Как пояснил Ченетте, такие сайты наполняются содержимым, скопированным с законных Web-сайтов. Они максимально используют оптимизацию поисковых запросов и быстро набирают репутацию и аудиторию.
«Репутация для злоумышленника - это все. С точки зрения поисковой системы, главное - это содержимое. Злоумышленники вытягивают с сайтов все содержимое, внедряют его в свой сайт и получают высокий ранг в поисковой системе, а значит, и репутацию, - объясняет Ченетте. - Мы с недавних пор видим много подобного. Разумеется, метод отравления поисковой системы не нов, но сейчас целью становятся сайты с репутацией (например, Digg), где используется CAPTCHA»
Надежды нет
Итак, учитывая наличие всех этих проблем, всех этих новых способов атак на пользователей электронной почты, социальных сетей и блогов - остается ли надежда на CAPTCHA?
Вообще-то, нет.
«Моя точка зрения такова, что время нынешних систем CAPTCHA явно прошло, они уже не так эффективны, как были раньше, - считает Вуд. - Настоящим клиентам уже становится трудно их использовать, а давление со стороны спамеров будет все увеличиваться».
Ченетте идет в своих заключениях еще дальше: «CAPTCHA не работает уже года полтора. Эта технология не прогрессирует. Тесты стали чуть труднее, но хакеры создали программы, которые с ними легко справляются. Это касается и визуальных, и звуковых CAPTCHA. Все они тем или иным способом взломаны».
По мнению Ченетте, это фундаментальная проблема, которая не имеет простого решения. В конце концов, чем сложнее CAPTCHA, тем сложнее с ней справиться и обычным людям. "Возможно, частью решения станет сама идея CAPTCHA", - полагает он.
Защита станет трехмерной
Впрочем, одно подходящее для всех решение вряд ли удастся найти. «Каждому сайту выбрать свой вариант. Для сайтов финансового сектора, например, тесты будут труднее, чем для бесплатных социальных сетей», - считает Ченетте.
Вуд полагает, что методы CAPTCHA скоро станут другими. «На некоторых сайтах уже в начале будущего года введут новые методы на замену нынешним моделям CAPTCHA. Возможно, они будут связаны с трехмерным пространственным восприятием, наподобие теста, созданного SpamFizzle», - считает он.
А если и это, в свою очередь, будет взломано, всегда можно будет прибегнуть к методу CAPTCHA, который применяют сейчас на сайте Quantum Random Bit Generator Service.