微軟的CAPTCHA機制被破解

今天,一個安全研究機構聲稱,垃圾郵件商正在使用一個自動程序避開微軟 Live 服務中設置的 CAPTCHA 機制,該機制為了防止垃圾郵件商在 Live Mail 中大量創建帳戶。這家叫做 Websense 的安全機構的副總裁 Dan Hubbard 說,這個安全程序的設計初衷是為了破解 CAPTCHA ,CAPTCHA 是 Completely Automated Public Turing Test to Tell Computers and Humans Apart 的簡寫,該機制使用一種失真,扭曲的字母組成的圖片讓用戶辨認,一般來說,人可以成功地辨認這些字母,而自動程序無法通過辨認測試,最終可以防止自動程序創建大量帳戶。

Hubbard 說,該自動程序抓取 CAPTCHA 圖片,并將該圖片傳送到垃圾郵件商設置的服務器,在那里,該 CAPTCHA 圖片通過某種途徑被辨認,并返回其原始的字符,這些原始字母再被傳送回 Live Mail 注冊現場,以順利完成帳戶的注冊。平均來說,該自動程序可以實現 30%-35% 的成功率,這是我們第一次看到能夠做到這些的自動程序。

該自動程序的具體機理還不清楚,Hubbard 承認,我還不清楚的是該程序在它自己的服務器上做了些什么。當 CAPTCHA 圖片被傳送回它們的服務器的時候,垃圾郵件商可能使用一種類似 OCR 的程序對該 CATPTCHA 圖片進行自動辨認,或者使用某些叫做 CAPTCHA 克星的程序進行辨認,或者,干脆找一些人在那里辨認這些 CAPTCHA 圖片,并將準確的字符記下來,傳回 Live Mail 注冊現場,當然最后一種情況應該不太現實。

Hubbard 說,垃圾郵件商對這些免費郵件帳戶的巨大胃口驅使他們設計了這樣一個程序,這些地址他們用過即扔,或者只用一兩天,一個垃圾郵件地址的生命周期也大約也就這么長,很快這些地址就會被關閉,或者被列入垃圾郵件地址黑名單。

Live Mail 以及其對手 Yahoo Mail 是垃圾郵件商的至愛,因為它們完全免費,而且它們的域名不會被列入垃圾郵件黑名單。他們所掌握的數百萬帳戶也讓他們易于藏身。Hubbard 說。這個自動程序的成功率說明,CAPTCHA 機制危機重重,不幸的是,目前還沒有更好的可以替代 CAPTCHA 的技術出現。我們需要一種技術,它對人來說必須足夠簡單,而對機器來說又必須足夠復雜。

事實上,Websense 的發現是近三周來第二次針對 CAPTCHA 的破解事件,上個月,一個俄羅斯的程序員發布了一個解碼器,以35% 的成功率破解了 Yahoo 的 CAPTCHA 機制。

只要你想做,就沒有做不了的事情,Hubbard 總結道。

本文國際來源:http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9061558&intsrc=hm_list,由35公里翻譯并發布在 COMSHARP CMS 行業新聞





評論
...
發表評論


用戶


評論(不超過1000字)


 5 + 6 = ? 請將左邊的算術題的結果填寫到左邊的輸入框  


  發送給朋友| 打印友好
7 x 12 小時服務熱線
0532 - 83669660
微信: comsharp
QQ: 13885509
QQ: 592748664
Skype: comsharp