Полный провал CAPTCHA

Определенно, 2008 год стал годом разочарований для технологии CAPTCHA («каптча» — автоматизированный тест Тьюринга для различения компьютеров и людей) – сначала в феврале была вскрыта такой тест в почтовой системе Google Mail, а следом в апреле, была вскрыта система Hotmail компании Microsoft. В итоге мы наблюдаем настоящую гонку вооружений между разными «каптча»-тестами и программами для их обхода. Тем не менее, различные уловки и новшества, которыми пользуются разработчики при создании систем типа «каптча», действуют только против программ-«ботов», но не против людей, которые решили встать на сторону взломщиков.

Корреспондент сайта ZDNet Данчо Данчев обнаружил новое явление в сфере борьбы с автоматическими регистрациями – индийские компании, которые предлагают массовый обход конкретных «каптча»-тестов за деньги, причем расшифровка кода осуществляется живыми людьми. Вскрытие (или «решение») «каптча»-тестов стало массовым и доходным бизнесом в Индии, где предприниматели имеют возможность недорого нанять множество людей с начальными навыками обращения с компьютером и поставить им задачу вскрытия «каптча»-тестов по запросу. Каждый «взломщик» получает от 0,1 до 0,125 цента за каждый решенный «каптча»-тест. Мощность подобных ферм составляет от 25-50 тысяч до 700 тысяч решенных «каптча»-тестов в день – во всяком, так пишут о себе компании, рекламирующие эти услуги. Кроме того, взломщики «каптча»-тестов обещают потенциальным клиентам минимальную задержку: так, расшифровку кода для регистрации в известной социальной сети MySpace взломщики обещают предоставить не позднее 20 секунд с момента обращения.

Поэтому, как видим, CAPTCHA-тест показал полнейший провал. И прежде всего смысловой, ведь если код заполняют живые люди — обход найти будет невозможно. То есть, нужно менять подход к защите на самом начальном уровне.