CAPTCHA kan omgås fra lidt over en øre

CAPTCHA er de løsninger man ofte ser i forbindelse med oprettelse som bruger på fora eller når man vil kommentere indlæg – bogstaver og tal der står hulter til pulter med sløret tekst på en knap så sløret baggrund og som skal indtastes korrekt for at ens input bliver accepteret.

(selv jp.dk‘s CAPTCHA gælder selvom det vist bare et lille antal let genkendelige billeder der bruges på skift)

Meningen er enkelt at gøre det vanskeligt for computerprogrammer (“bots”) at udfylde disse felter og at det derfor normalt kræver at der er et menneske der sidder og udfylder formularen. Og dermed at automatiserede spambots ikke fylder din hjemmeside med reklamer.

Jeg var ved at gennemgå en række gamle artikler og faldt igen over to gode eksempler på at CAPTCHA ikke er den endelige løsning men kun kan virke dæmpende på spam adfærden. Ligesom tyverialarmer ikke forhindrer indbrud og tyveri men i høj grad kan få tyvene til at vælge naboen i stedet.

Det første eksempel (der er en behandling af artiklen “Inside India’s CAPTCHA solving economy” på ZDnet) er en beskrivelse af de virksomheder der sælger udfyldelse af CAPTCHA felter for lidt over en øre pr. stk. Eller rettere, i 2008, $2 for hver 1.000 CAPTCHA.

Det andet eksempel er 4chan’s hack af Time Magazines “Time 100” afstemning i 2009 over årets mest indflydelsesrige personer. 4chan’s grundlægger, Christopher “moot” Poole, kom ind på førstepladsen takket være 4chan’s medlemmers intensive – og skal vi være ærlige, anarkistiske – arbejde med at få ham ind der. Og deres hack stoppede ikke der, de næste 20 på listen blev også sorteret så de 21 initialer blev referencer tilbage til 4chan og deres tidligere aktiviteter.

I starten var der ingen CAPTCHA på Time’s hjemmeside hvilket gjorde det relativt simpelt at afgive millioner af stemmer via automatik men selv efter Time reagerede ved at indsætte en CAPTCHA for stoppe 4chan’s medlemmer kan man se at de var i stand til at komme igen. Ikke ved at hacke CAPTCHA systemet men ved hårdt arbejde.

I 4chan vs. Time var der ingen penge involveret. Det var alene viljen til at hacke.

Dette indlæg blev udgivet i IT sikkerhed og tagget , , . Bogmærk permalinket.

4 svar til CAPTCHA kan omgås fra lidt over en øre

  1. Mikael Hewel siger:

    En anden mulighed istedet for “simpel tegn genkendelse”, kunne jo være at systemet kun kan oprette dig som bruge efter du har indtastet den kode systemet sender til dig i en SMS. Selvfølgelig skal der så være noget logik, så det samme nummer ikke kan bruges til at oprette flere brugere inden for en given tidsperiode (f.eks. et år)
    Så bliver det ikke så billigt / nemt, at oprette mange bruger konti.

    • Korrekt. Netop SMS ser jeg mere og mere optræde som en måde at knytte en bruger til en bestemt virkelig person, omend ikke nødvendigvis med personinformationer til systemet.
      Det kræver dog at du kan få dine brugere til at gennemgå en registreringsproces samt at de vil være villige til at overlade deres mobiltelefonnummer til dig.

  2. Innovation Lab har i øvrigt en artikel om 4chan der prøver at beskrive fænomenet 4chan i lidt flere detaljer.

  3. Pingback: Anonymous | Hennings blog

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s