Lőttek a Yahoo védelmi eszközének?
Hír küldése
Biztonsági kutatóknak sikerült megtalálniuk a Yahoo egyik webes védelmi eszközének ellenszerét.
A CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) rendszerek évek óta használatosak, és különböző támadások valamint kártékony tevékenységek ellen igyekeznek védelmet nyújtani. Ezek közé tartozik például a spammelés valamint a blogokban és a fórumokon való automatizált üzenetküldés is. Lényege, hogy a felhasználónak meg kell adnia egy karaktersorozatot, mielőtt elküldené az üzenetét, vagy jóváhagyna egy webes űrlapot. A bekért karaktereket a rendszer a weboldalon úgy rajzolja ki, hogy az az emberek számára olvasható legyen, viszont informatikai eszközökkel nehezen legyen felismerhető.
Mivel a CAPTCHA hatástalanításával vagy megkerülésével a spammerek komoly előnyre tehetnek szert, ezért a védelmi megoldás folyamatosan a támadók célkeresztjében áll. Sok CAPTCHA rendszert sikerült is már kijátszani. Így például az Interneten beszerezhető (vásárolható) olyan eszköz, amely az eBay által alkalmazott CAPTCHA törésére képes. A napokban azonban a biztonsági szakértők figyelme a Yahoo CAPTCHA-ra irányult, ugyanis egy John Wane álnéven tevékenykedő, orosz programozó elkészített egy olyan dekódoló alkalmazást, amely képes a Yahoo védelmi eszközének az eddigieknél nagyobb hatékonyságú visszafejtésére.
A hírek szerint a dekódolás 35 százalékos pontossággal működik, ami első hallásra talán nem tűnik soknak. Azonban ha figyelembe vesszük, hogy egy spammer - automatizált eljárások bevetésével - naponta akár 100 ezer kérést is küldhet egy CAPTCHA-val védett weboldal felé, akkor a 35 százalékos pontosság mindjárt felértékelődik.
Az új dekódolási módszert a Yahoo szakemberei is vizsgálják, de egyelőre konkrétabb információkkal nem szolgáltak. Mindössze annyit közöltek, hogy folyamatosan dolgoznak a CAPTCHA rendszer és az egyéb védelmi megoldásaik fejlesztésén.
Hozzászólások