微软的CAPTCHA机制被破解
作者: its
|
发布: 2008/2/8 (16:55)
|
阅读: 47741
|
评论: 1
|
静态地址
|
内容源码
今天,一个安全研究机构声称,垃圾邮件商正在使用一个自动程序避开微软 Live 服务中设置的 CAPTCHA 机制,该机制为了防止垃圾邮件商在 Live Mail 中大量创建帐户。这家叫做 Websense 的安全机构的副总裁 Dan Hubbard 说,这个安全程序的设计初衷是为了破解 CAPTCHA ,CAPTCHA 是 Completely Automated Public Turing Test to Tell Computers and Humans Apart 的简写,该机制使用一种失真,扭曲的字母组成的图片让用户辨认,一般来说,人可以成功地辨认这些字母,而自动程序无法通过辨认测试,最终可以防止自动程序创建大量帐户。
Hubbard 说,该自动程序抓取 CAPTCHA 图片,并将该图片传送到垃圾邮件商设置的服务器,在那里,该 CAPTCHA 图片通过某种途径被辨认,并返回其原始的字符,这些原始字母再被传送回 Live Mail 注册现场,以顺利完成帐户的注册。平均来说,该自动程序可以实现 30%-35% 的成功率,这是我们第一次看到能够做到这些的自动程序。
该自动程序的具体机理还不清楚,Hubbard 承认,我还不清楚的是该程序在它自己的服务器上做了些什么。当 CAPTCHA 图片被传送回它们的服务器的时候,垃圾邮件商可能使用一种类似 OCR 的程序对该 CATPTCHA 图片进行自动辨认,或者使用某些叫做 CAPTCHA 克星的程序进行辨认,或者,干脆找一些人在那里辨认这些 CAPTCHA 图片,并将准确的字符记下来,传回 Live Mail 注册现场,当然最后一种情况应该不太现实。
Hubbard 说,垃圾邮件商对这些免费邮件帐户的巨大胃口驱使他们设计了这样一个程序,这些地址他们用过即扔,或者只用一两天,一个垃圾邮件地址的生命周期也大约也就这么长,很快这些地址就会被关闭,或者被列入垃圾邮件地址黑名单。
Live Mail 以及其对手 Yahoo Mail 是垃圾邮件商的至爱,因为它们完全免费,而且它们的域名不会被列入垃圾邮件黑名单。他们所掌握的数百万帐户也让他们易于藏身。Hubbard 说。这个自动程序的成功率说明,CAPTCHA 机制危机重重,不幸的是,目前还没有更好的可以替代 CAPTCHA 的技术出现。我们需要一种技术,它对人来说必须足够简单,而对机器来说又必须足够复杂。
事实上,Websense 的发现是近三周来第二次针对 CAPTCHA 的破解事件,上个月,一个俄罗斯的程序员发布了一个解码器,以35% 的成功率破解了 Yahoo 的 CAPTCHA 机制。
只要你想做,就没有做不了的事情,Hubbard 总结道。
本文国际来源:http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9061558&intsrc=hm_list,由35公里翻译并发布在 COMSHARP CMS 行业新闻
|