Dúl a CAPTCHA-harc
A Google is folyamatosan fejleszti reCAPTCHA technológiáját a spamek és a robotok elleni védekezéshez. Eközben azonban komoly macska-egér harc alakult ki.A Captcha technológiák régóta velünk vannak annak érdekében, hogy a spammerek, illetve a robotok elleni küzdelemből kivegyék a részüket. Az évek során sokat fejlődtek, és az egyszerű, képfelismerésre épülő megoldásoktól eljutottak a háttérben futó, felhasználói viselkedésmintákat figyelő eljárásokig. A fejlesztéseknek alapvetően két célja van: egyrészt kényelmesebbé tenni a Captcha használatát, másrészt minél inkább megnehezíteni a védelmi mechanizmusok megkerülésére alkalmas technikák dolgát. Ez utóbbira különösen nagy szükség van, hiszen a Captcha megoldások fejlesztői folyamatosan harcban állnak a biztonsági kutatók, illetve a kiberbűnözők arzenáljaival. Amint megjelenik egy új Captcha technológia, azonnal támadások célkeresztjébe kerül.
A Google által fejlesztett reCAPTCHA egyik legnagyobb "kihívója" a Maryland Egyetem kutatói által készített unCaptcha rendszer, amelynek célja, hogy időről időre próbára tegye a Google technológiáját. Nem is sikertelenül teszi mindezt, ugyanis 2017 óta több esetben tudta áttörni a reCAPTCHA által biztosított védelmet.
Az unCaptcha a legnagyobb sikereit akkor érte el, amikor a reCAPTCHA hangalapú azonosítási funkcióját vette célba. A pontossága (hatékonysága) olyan szintre fejlődött, hogy az már a Google szemét is szúrta. Ezért a cég úgy döntött, hogy a korábbi, karakterenkénti hanggenerálást, kifejezés alapúra alakítja át. Az egyetem kutatói persze rögtön léptek, és ők is továbbfejlesztették a rendszerüket. Ekkor derült ki, hogy a védelem Google-féle megerősítése pont ellentétes eredményt hozott, mivel a kifejezés alapú azonosítás könnyebb terepet biztosított az ellenőrzés megkerülésére.
"A hangalapú technikában történő változtatásnak köszönhetően a ReCaptcha könnyebben áthatolhatóvá vált, mint korábban. Elég lett elküldenünk egy kérést egy ingyenes, nyilvánosan elérhető beszéd-szöveg konvertáló szolgáltatás felé, hogy körülbelül 90 százalékos pontosságot érjünk el" - vélekedtek az egyetem biztonsági kutatói.
Nincs megállás
A Google ismét lépett, és egyéb ellenőrzéseket is bevetett (például a kurzor pozíciójának figyelését), de az unCaptcha fejlesztői erre is találtak áthidaló megoldásokat. Ilyen például, hogy az unCaptcha felhasználói tevékenységeket utánzó műveleteket hajt végre, esetenként pixelek mozgatásával manipulál.
Az biztos, hogy a Captcha küzdelem idén is folytatódni fog. A Google jelentős előrelépést vár a korábbiaknál szofisztikáltabb eljárásokat alkalmazó, felhasználói viselkedésmintákat is elemző reCAPTCHA v3-tól. Azt azonban nem lehet tudni, hogy a kényelmi szempontból is előnyősebb 3-as verzió meddig lesz képes ellenállni a támadásoknak.
Fontos megjegyezni, hogy a fenti macska-egér harc nem kizárólag a Google reCAPTCHA ellen irányul, hanem számos, hasonló célokat szolgáló biztonsági technikát is próbára tesz. Az unCaptcha például a BotDetect, a Yahoo és a PayPal megoldásaival szemben is meglehetősen nagy pontosággal vethető be.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.