Группа исследователей из Стэнфордского университета разработала утилиту, позволяющую с высокой долей вероятности успешно обходить систему текстовой анти-спам защиты, широко используемую в Интернете. Результаты своего исследования механизма защиты от спама CAPTCHA, длившегося более полутора лет, ученые Эли Бурштейн, Мэтью Мартин и Джон Митчелл представили на конференции, посвященной компьютерной безопасности в Чикаго.

За понятием CAPTCHA скрывается набор алгоритмов, реализующих тест Тьюринга, позволяющий отличить действия выполняемые машиной от человеческих. Данный механизм широко используется в Интернете для блокировки спам-ботов, которые в автоматическом режиме запрограммированы на выполнение таких задач, как регистрация учетных записей, публикация комментариев и т.п.

Существует несколько типов реализации CAPTCHA: одни основаны на распознавании текста на слух, другие на решении математических задач, но наиболее часто используемые основываются на визуальном восприятии человеком искаженного текста с последующим его вводом с клавиатуры.

Команда из Стэнфорда разработала несколько методов очистки искаженного текста от посторонних элементов, осложняющих его восприятие, и применила ряд способов разбиения текста на отдельные символы для упрощения их распознавания. Данная методика известна как сегментация. Также в разработке нашли отражение и алгоритмы обхода CAPTCHA, основанные на поведенческих алгоритмах роботов, используемых ими для ориентации в различных сложных окружениях.

Все эти наработки были реализованы в виде отдельной утилиты, хорошо описываемой названием Decaptcha, результативность и эффективность которой была проверена на 15 популярных ресурсах.

Результаты теста показали, что система анти-спам защиты на странице авторизации Visa успешно обходится с вероятностью в 66 %, на странице известной MORPG от Blizzard World of Warcraft – 70 %.

Среди других протестированных ресурсов можно отметить следующие: eBay – 43 % вероятности обхода CAPTCHA и Wikipedia – 25 %. Более высокие результаты по степени надежности системы защиты показали Digg, CNN и Baidu с 20, 16 и 5 процентами соответственно.

Однако среди протестированных сайтов попались и такие, которые так и не удалось обмануть данной утилите. В первую очередь здесь стоит отметить сайты компании Google, для защиты от спам-ботов на которых используется технология reCAPTCHA. Данная технология была разработана в университете Carnegie Mellon и позднее куплена поисковым гигантом в сентябре 2009 года.

Что замечательно, так это то, что после проведения данного тестирования порталы Authorize.net (Visa) и Digg перешли на технологию reCAPTCHA. Об изменениях в системах защиты других ресурсов пока ничего не сообщается.

Группой исследователей из Стэнфорда также был разработан ряд рекомендаций, позволяющих улучшить эффективность CAPTCHA. Так, рекомендуется менять длину текстовых строк, варьировать размер шрифта, применять волновой эффект и прочие фоновые искажения. Еще одним интересным выводом, сделанным исследователями, является то, что применение сложных наборов символов на степень защиты никак не влияет, а только ухудшает восприятие для пользователей.