Captcha!

Често научавам разни интересни и полезни неща месеци след като са се случили. Всеки път си казвам: “Мамка му, защо ли трябваше да го науча последен!” И всеки път установявам, че други хора още не са го научили, и някои няма да го научат никога – а други пък твърде късно, и на свой гръб.

Какво бихте направили, ако след стартирането на верния Интернет Експлорер на екрана ви се появи полугола мацка, която ви обещава да се покаже напълно съблечена, ако въведете правилно думата, изписана по труден за разчитане начин на картинка, показана под нея? И ако го направите, си спази обещанието – след което ви обещае нова поза, и покаже нова дума? Доста мъже биха го направили. Без дори да се запитат що за игра е това.

А играта е проста. Сигурно сте виждали подобни картинки, когато се опитвате да си регистрирате нов е-майл адрес, или да пуснете коментар в някои блогове или форуми, и още на куп места. Именно тя се нарича “captcha”. Откакто Yahoo въведе идеята преди 6 години, тя се оказа изключително ефективна срещу спамери, и стана страшно популярна. Ботовете на практика не могат да използват OCR с толкова добри качества, колкото е човешкото око.

Затова някои ботове използват друг вид разчитащ елемент – задклавиатурно устройство, известно под кодовото наименование “помощ, идиот на компютъра!”. При стартиране “мацката” се свързва със системи, които изискват такава проверка, и им подава заявка за е-майл адрес, пускане на пореден е-майл / коментар / запис (спам, естествено), и след като получи картинката за разчитане, я показва на наивника. Той я разчита, получава поощрение в стил Павлов за изпратения спам, и следващата задача…

(Ей, жените, не се подсмихвайте! Вас е още по-лесно да зариби човек, въпрос на обещания е. Хем и по-рядко си задавате въпроси като “откъде се взе тая готина игричка с дрешките и парфюмите”…)

Историята ми напомни случка от опита ми. Преди години работех в хай-тек фирма, в която един ден администраторите разпратиха до всички спешно предупреждение. Имало нов вирус, който още никакви програми не ловели. Повреждал работата на Windows с дълги файлови имена. Записвал се на диска като файл с еди-какво си име; ако го намерите, изтрийте го… Като гърмян заек, прегледах най-внимателно въпросния файл, не открих в него нищо вирусоподобно, и отказах да го изтрия. Съответно, администраторите ме изключиха от мрежата, за да не заразявам другите компютри, и се оплакаха от мен на началството. А на другия ден цялата фирма се извървя да си взима обратно въпросния файл от мен – бях останал единственият във фирмата, който го имаше.

(Ако някой не е разбрал – въпросният файл е библиотеката на Windows за работа с дълги файлови имена. Вирусът всъщност е самото съобщение за вирус; поврежда софтуера ви и се разпространява през дупки в защитата на задклавиатурното устройство. Казано простичко – използва социално инженерство, точно както случая с captcha-та.)

Трети пример беше румънският анти-манеле вирус. (“Манеле” се нарича румънската чалга.) Той претърсва диска за песни от най-популярните румънски изпълнители на чалга, и ги трие. Само след седмица по румънските форуми се предлагаха пари за копие от него, пишеха се благодарности от сърце до автора, предлагаха му се сериозни суми, за да добави още изпълнители, или защита срещу чистене от антивируси… Социалното инженерство отново беше влязло в ход, подсигурявайки широка база от защитници на вируса.

(Силно се изкушавам да впиша в този списък и Windows Vista. По-полезен е от анти-манеле вируса, но и вредата от него е повече – превръща и най-мощния компютър в “охлюв”; разликата в производителността често се измерва в сериозни суми. Примерът за него би включвал социално инженерство чрез издирване на подкупни и продажни правителствени служители…)

Стара истина е, че най-слабото звено в защитата на компютъра е операторът му. Едва напоследък обаче потенциалът на експлоатирането на това звено почва да се използва широко. И параноята се превръща от болест в професионално изискване не само за системните администратори, но и за обикновените компютърни потребители…

Уффф. Отплеснах се. Готин номер е това с мадамата и думите, нали? Поучителен…

11 thoughts on “Captcha!

  1. pierrot

    Принципа на стадото 🙂 С риск да те повторя, няма да забравя като си махнах Уин-а, първото нещо което разбрах е, че аз съм най – големият проблем за моят комп. И още не мога да си оправя бакиите…

    Reply
  2. Георги

    “Captcha + Social Engineering” беше голям хит, когато се появи. Странното обаче е кои са тези индивиди дето се хващат при всичките тия сайтове в нета 🙂

    Reply
  3. Eneya

    Ее, това е адски любопитно и честно казано, ме разсмя с глас.
    Откъде ги анмериаш тези, не знам, но статията е чудесна и много… показателна.
    Колкото до часта с “помощ, идиот зад компютъра”, винаги се сещам за онези чудесни клавиатури, мишки и дори монитори, които са равни и бели. Т.е. дурако-устойчиви. 😉

    Reply
  4. suncho

    Е не мога да се сдържа да не се изхиля в тектовото поле 🙂
    Иначе google image labeler е подобна идея, която даже не ползва порно снимки в процеса.

    Reply
  5. Йоана

    Хахахаха
    ААААххаха
    Супер:)

    А как трябва да е термина за обратното на malware, мисля че анти-чалга вируса заслужава да се измисли специлен термин, който да го опише:)
    На мен само goodware ми хрумва, но не ми звучи добре.

    Reply
  6. suncho

    “Beneware” (ср. malevolence/benevolence 🙂 )
    На второ мислене, не може ли да се надхитри процеса? Хем да видим дупето на момичето, хем да не станем съучастници на спамерите? Примерно, аз пиша каптча софтуер, и го правя така, че ако въведен думата отзад-напред също връща успешен резултат, но вдига специален флаг за проследяване на току що създадения акаунт. После, пропагандирам широко (и дълго:) ) в интернет въпросната задна вратичка в софтуера.
    1) Създателите на социални анти-каптча скриптове нищо не могат да направят, понеже няма как да отгатнат изпратената дума в коя посока (предна или задна:) ) е написана. Ако можеха, нямаше да ползват скрипт поначало.
    2) Чекидж… хм, хакерите (все едно) с още по голямо удоволствие почват да събличат мадами, тъй като хем си задоволяват любопитството, хем помагат да въде изловен (филтриран, banned) въпросния скрипт.
    3) Процеса замира, което е прекрасен пример за анти-мема и работи по същият начин както Godwin’s law.
    4) Здрасти, Анри!

    Reply
  7. Mitsy

    Наистина поучително :). Покрай използването на ‘предклавиатурните устройства’ винаги се кефя на проекта Recaptcha (http://recaptcha.net/). Интересен е 😉

    Reply
  8. Григор Post author

    @suncho: Малко сложно ми се вижда, но сигурно има ефект. А сигурно има и как да се подобри – например като под изображението в captcha-кутията се напише с обикновен текст: “Добавете преди въведената дума еди-какво си, а след нея еди-какво си”, или “пропуснете третата и четвъртата буква”. Оттам нататък, флагът се вдига за тези, които са въвели думата точно. (Което също ще се дъни много – две неща на света са безкрайни… (продължението го знаеш)

    МД, къде видя тук Анри? Бих се радвал много, ако го видя и аз…

    @Mitsy: Наистина е интересен. 🙂

    Reply
  9. suncho, имаше такава игра - Simon

    @Григор

    “Здрасти, Анри” е стара шега от фидото. Намека е, че Анри чете всичко което пиша, въпреки че се прави на нечел. И си помислих, ако го напиша и тук, и Анри го види, тогава вече ще е наистина забавно. Така и така, следите остават.
    Оригиналния мсг се пази тук:
    http://groups.google.com/group/soc.culture.bulgaria/browse_thread/thread/4706522e34d19d2/b7fac0cf714f0fe9?lnk=st&q=%D0%B7%D0%B4%D1%80%D0%B0%D1%81%D1%82%D0%B8%2C+%D0%B0%D0%BD%D1%80%D0%B8#b7fac0cf714f0fe9

    Reply
  10. Григор Post author

    @suncho: Помня намека, но не вярвах, че ти го помниш 🙂 – и помислих, че знаеш нещо конкретно за Анри… Дължа ти едно пиене за подценяването. 🙂

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *