Dúl a CAPTCHA-harc

A Google is folyamatosan fejleszti reCAPTCHA technológiáját a spamek és a robotok elleni védekezéshez. Eközben azonban komoly macska-egér harc alakult ki.
 

A Captcha technológiák régóta velünk vannak annak érdekében, hogy a spammerek, illetve a robotok elleni küzdelemből kivegyék a részüket. Az évek során sokat fejlődtek, és az egyszerű, képfelismerésre épülő megoldásoktól eljutottak a háttérben futó, felhasználói viselkedésmintákat figyelő eljárásokig. A fejlesztéseknek alapvetően két célja van: egyrészt kényelmesebbé tenni a Captcha használatát, másrészt minél inkább megnehezíteni a védelmi mechanizmusok megkerülésére alkalmas technikák dolgát. Ez utóbbira különösen nagy szükség van, hiszen a Captcha megoldások fejlesztői folyamatosan harcban állnak a biztonsági kutatók, illetve a kiberbűnözők arzenáljaival. Amint megjelenik egy új Captcha technológia, azonnal támadások célkeresztjébe kerül.
 
A Google által fejlesztett reCAPTCHA egyik legnagyobb "kihívója" a Maryland Egyetem kutatói által készített unCaptcha rendszer, amelynek célja, hogy időről időre próbára tegye a Google technológiáját. Nem is sikertelenül teszi mindezt, ugyanis 2017 óta több esetben tudta áttörni a reCAPTCHA által biztosított védelmet.
 
Az unCaptcha a legnagyobb sikereit akkor érte el, amikor a reCAPTCHA hangalapú azonosítási funkcióját vette célba. A pontossága (hatékonysága) olyan szintre fejlődött, hogy az már a Google szemét is szúrta. Ezért a cég úgy döntött, hogy a korábbi, karakterenkénti hanggenerálást, kifejezés alapúra alakítja át. Az egyetem kutatói persze rögtön léptek, és ők is továbbfejlesztették a rendszerüket. Ekkor derült ki, hogy a védelem Google-féle megerősítése pont ellentétes eredményt hozott, mivel a kifejezés alapú azonosítás könnyebb terepet biztosított az ellenőrzés megkerülésére.
 
"A hangalapú technikában történő változtatásnak köszönhetően a ReCaptcha könnyebben áthatolhatóvá vált, mint korábban. Elég lett elküldenünk egy kérést egy ingyenes, nyilvánosan elérhető beszéd-szöveg konvertáló szolgáltatás felé, hogy körülbelül 90 százalékos pontosságot érjünk el" - vélekedtek az egyetem biztonsági kutatói.  
Nincs megállás
 
A Google ismét lépett, és egyéb ellenőrzéseket is bevetett (például a kurzor pozíciójának figyelését), de az unCaptcha fejlesztői erre is találtak áthidaló megoldásokat. Ilyen például, hogy az unCaptcha felhasználói tevékenységeket utánzó műveleteket hajt végre, esetenként pixelek mozgatásával manipulál.
 
Az biztos, hogy a Captcha küzdelem idén is folytatódni fog. A Google jelentős előrelépést vár a korábbiaknál szofisztikáltabb eljárásokat alkalmazó, felhasználói viselkedésmintákat is elemző reCAPTCHA v3-tól. Azt azonban nem lehet tudni, hogy a kényelmi szempontból is előnyősebb 3-as verzió meddig lesz képes ellenállni a támadásoknak.
 
Fontos megjegyezni, hogy a fenti macska-egér harc nem kizárólag a Google reCAPTCHA ellen irányul, hanem számos, hasonló célokat szolgáló biztonsági technikát is próbára tesz. Az unCaptcha például a BotDetect, a Yahoo és a PayPal megoldásaival szemben is meglehetősen nagy pontosággal vethető be.