Większość internautów spotkała się z testem CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), którego zadaniem jest chronienie stron WWW przed infiltracją przez spamujące boty (umieszczające niepożądane treści, reklamy itp.). Aby dowieść, że jest się człowiekiem, a nie maszyną należy wpisać ciąg znaków widniejących na wygenerowanym, statycznym obrazku.

Wraz ze wzrostem popularności CAPTCHA i rozwojem rozwiązań próbujących pokonać ten test, zaczęły powstawać ulepszone wersje tego mechanizmu. Nieruchome grafiki mogą być obecnie zastąpione przez testy audio lub klipy wideo, znacznie utrudniające penetrację danego serwisu przez boty.

Zobacz również:

• Sprawdzone sposoby na ochronę służbowej skrzynki pocztowej
• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

W systemie NuCaptcha ciągi znaków pojawiają się w postaci ruchomego obrazu (animacji). Jego twórcy od początku uważali, że jest to najlepsza i najbardziej bezpieczna implementacja CAPTCHA.

Polecamy Jak zatrzymać cyberprzestępczość? Podążać za pieniędzmi

Elie Bursztein z Uniwersytetu Stanford przekonuje, że nie jest to do końca prawdą. Bursztein, wspierany przez kilkuosobową grupę naukowców, od października 2010 r. zajmował się analizowaniem bezpieczeństwa NuCaptcha. Wynikiem prac zespołu jest metoda pozwalająca złamać zabezpieczenia systemu. Jej skuteczność oceniana jest na ponad 90%.

Doniesienia Burszteina dodatkowo wzmacnia fakt, że sposób obejścia NuCaptcha znany był już po dwóch miesiącach pracy. "Najtrudniejszym wyzwaniem wcale nie było opracowanie samej metody złamania zabezpieczeń. Jej główne założenia znane mi były już w grudniu 2010 r. Zdecydowanie więcej pracy zajęła analiza tego, czy animowane obrazy są lepszym zabezpieczeniem od swoich statycznych odpowiedników." - twierdzi Bursztein, publikując jednocześnie na swoim blogu szczegóły pracy nad złamaniem NuCaptcha.

Naukowcy już wcześniej stworzyli narzędzie Decaptcha, które używa specjalnych algorytmów do pokonania tradycyjnej implementacji CAPTCHA (polegającej na generowaniu statycznych obrazków z ciągiem liter i cyfr). Jak przyznaje Bursztein, opracowanie analogicznej aplikacji dla NuCaptcha wydaje się być trudniejsze, choć w pewnych aspektach może okazać się zupełnie łatwe.

Polecamy SpamFlow - nowatorska metoda wykrywania spamu

Największym problemem jest oddzielenie faktycznego ciągu CAPTCHA od całości animowanego obrazu. Wymaga to użycia analizatorów ruchu i zaawansowanych algorytmów badających przepływ danych. W NuCaptcha zawarte są metody mające zabezpieczyć mechanizm przed taką analizą (m.in. tła, dodatkowe znaki, które nie są ciągiem weryfikacyjnym).

W standardowym wydaniu, NuCaptcha wyświetla napis "Type the code:" (wpisz kod), po którym występują cztery, losowo generowane litery. Oddzielenie tych właściwych liter od polecenia wpisania kodu jest technicznie najbardziej skomplikowaną procedurą, którą należy opracować.

Kolejne kroki są już zdecydowanie łatwiejsze. W pewnych elementach wydają się nawet prostsze od tych potrzebnych do złamania statycznego CAPTCHA. W wersji wideo jest więcej ramek do analizowania, więc łatwiej można odróżnić te znaczące od całego zbioru nieistotnych.