Post on 26-May-2015
description
Czy aby na pewno jest Pan człowiekiem?człowiekiem?
UŜyteczność i dostępność CAPTCHA
A-Symetria marzec 2009Mariusz Dziechciaronek
Agenda
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 Mariusz Dziechciaronek 2
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 Mariusz Dziechciaronek 3
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.
Test Turinga
W 1950 roku angielski matematyk AlanTuring zaproponował rodzaj gry logicznej,której celem była próba odpowiedzi napytanie, do jakiego momentu moŜemytwierdzić, Ŝe dany układ logiczny jestinteligentny.
W swej podstawowej wersji Test Turinga
marzec 09 Mariusz Dziechciaronek 4
Pierwsza strona publikacji Computing Machinery and Intelligence A.Turinga http://www.jstor.org/pss/2251299
W swej podstawowej wersji Test Turingapolega na symulowaniu rozmowy międzytrzema podmiotami, z których jeden jestkomputerem. Jeśli po upływie określonegoczasu ludzccy rozmówcy nie będą w stanieokreślić, czy prowadzili rozmowę zczłowiekiem czy z maszyną, wówczasstanowić to będzie dowód na to, Ŝekomputer jest inteligentny.
Reverse Turing Test
CAPTCHA to skrót od: CompletelyAutomated Public Turing test to tellComputers and Humans Apart.
Test CAPTCHA w przeciwieństwie doTestu Turinga, ma sprawdzić czysystem ma do czynienia zkomputerowym botem, czy z ludzką
marzec 09 Mariusz Dziechciaronek 5
Luis von Ahn http://en.wikipedia.org/wiki/File:Wikipedia_luis.jpg
komputerowym botem, czy z ludzkąistotą.
Nazwę tą zaproponowali po razpierwszy Luis von Ahn, Manuel Blum,Nicholas J. Hopper z CarnegieMellon University.
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 Mariusz Dziechciaronek 6
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.
Czym jest CAPTCHA?
CAPTCHA to programgenerujący testy, celemidentyfikcji uŜytkownika ieliminacji dostępu do serwsiubota.
CAPTCHA to program mający
E-bay Polska CAPTCHA
marzec 09 Mariusz Dziechciaronek 7
CAPTCHA to program mającyzapewnić bezpieczeństwo,uchronić serwisy przed atakamibotów m.in przed zakładaniemnielegalnych kont pocztowych,rozysyłaniem spamu, dostępemdo forów, itp.
Myspace CAPTCHA
Sympatia.pl CAPTCHA
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 Mariusz Dziechciaronek 8
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów
Główne problemyKody CAPTCHA zawsze stanowią kompromis między bezpieczeństwem serwsiu,który musi być zabezpieczony przed atakami, a satysfakcją uŜytkownika, ktory musimieć relatywnie prosty dostęp do zasobów serwisu. Główne problemy to:
• niska rozpoznawalność przez uŜytkownika,• skomplikowanie samego kodu – zadania matematyczne, itp.,• problemy z odczytaniem kodu CAPTCHA przez osoby niepełnosprawne:
niewidzące, niedowidzące, głuche, cierpiące na inne problemy,• brak przycisku odświeŜ kod – automatyczne przeładowanie strony i utrata danych z
formularza,• brak informacji dlaczego naleŜy wpisać CAPTCHA,• brak przycisku Audio,• brak alternatywnej poza sieciowej identyfikacji uŜytkownika przez serwis – takie
usługi zapewnia Yahoo.
marzec 09 Mariusz Dziechciaronek 9
UŜyteczość CAPTCHA tekstowych
marzec 09 Mariusz Dziechciaronek 10
J. Yan, a. Ahmad, Usability of CAPTCHAs or Usability Issues in CAPTCHA Design; http://cups.cs.cmu.edu/soups/2008/proceedings/p44Yan.pdf
Autor: Christian, źródło:http://www.stickycomics.com
Zaburzanie elementów
• przemieszczanieelementów w górę iw dół,
• obroty elementów,• skalowanie
elementów,• gięcie elementów.
marzec 09 Mariusz Dziechciaronek 11
Zaburzanie elementów (2)
Microsoft w swoich wcześniejszychwersjach kodów CAPTCHA stosowałtrudne do rozpoznawania łuki, któremiały wprowadzać w błądoprogramowanie OCR, traktującezaburzające elementy (distortionclutter) jako elementy rzeczywistego
marzec 09 Mariusz Dziechciaronek 12
clutter) jako elementy rzeczywistegokodu.
J. Yan, a. Ahmad, Usability of CAPTCHAs or Usability Issues in CAPTCHA Design; http://cups.cs.cmu.edu/soups/2008/proceedings/p44Yan.pdf
CAPTCHA CONTENT
CAPTCHA matematyczne
• im większy element, tymwyŜsze zabezpieczenie przedatakiem,
• im większy element, tymwyŜsze prawdopodobieństwokłopotów z odczytaniem tekstu
marzec 09 Mariusz Dziechciaronek 13
Grono.net CAPTCHA
Sympatia.pl CAPTCHA
kłopotów z odczytaniem tekstupo jego przekształceniu,
• długie ciągi elemetówpowinny być opisane liczbąkoniecznych do wpisaniaelementów.
CAPTCHA CONTENT
• uŜywanie istniejących słówzwykle nie wpływa nabezpieczeństwo kodu,
• uŜywanie słów nieistniejących,odmiennych od obszaru
marzec 09 Mariusz Dziechciaronek 14
odmiennych od obszarukulturowego implikuje problemy zuŜytecznością,
• usuwanie słów obraźliwych z baz– z wyjątekiem reCAPTCHA.
Kolorowe sny CAPTCHA
Peb Forum CAPTCHA
• jeśli nie jesteś ekspertem wzakresie budowy kodu, uŜywajkoloru rozsądnie, nie twórzmozaiek,
• stosuj przynajmniej dwa kolory
marzec 09 15
Atrakcyjneksiazki.pl CAPTCHA
Sympatia.pl CAPTCHA
• stosuj przynajmniej dwa koloryjeden jako tło drugipierwszoplanowy,
• uŜywanie koloru jakozabezpieczenia przedsegmentacją OCR jest zwyklemało skuteczne.
Mariusz Dziechciaronek
Audio CAPTCHA
• moŜliwość odsłuchania CAPTCHA to warunek dostępności,
• zaburzenie tła dźwiękowego musi być ograniczone, przykład audio CAPTCHA Google:
marzec 09 16
audio CAPTCHA Google:https://www.google.com/accounts/DisplayUnlockCaptcha
• obecność znaczka audio/niepełnosprawni,
• rozsądane stosowanie javascrpit i flash.
Mariusz Dziechciaronek
Google CAPTCHA
reCAPTCHA
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 17
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.
Mariusz Dziechciaronek
Jak moŜna złamać CAPTCHA• wykorzystanie oprogramowania OCR (Optical Character Recognition),• analiza statystyczna – słów i obrazów z bazy danych CAPTCHA,• sieci neuronowe, znacznie lepsze od klasycznych podejść algorytmicznych w rozpoznawaniu
kształtów,• farma Turinga, czyli zatrudnienie w jakimś kraju Trzeciego Świata setek ludzi, którzy będą
rozwiązywali przedstawiane im CAPTCHA,• farma porno Turinga – czyli spamer zakłada stronę „tylko dla dorosłych”, w której warunkiem
obejrzenia pornograficznego obrazka jest zdekodowanie CAPTCHA pochodzącej z innej strony.
marzec 09 18
Przykład farmy porno Turinga: http://www.heise-online.pl/security/Striptizowy-trojan--/news/item/1781Działanie farmy porno Turinga;
http://pandalabs.pandasecurity.com/archive/A-new-way-of-social-engineering.aspx:
Mariusz Dziechciaronek
Jak moŜna złamać CAPTCHA (2)
Przykłady odpornych jeszcze do niedawna na ataki (Google) kodów CAPTCHA.
marzec 09 19Mariusz Dziechciaronek
CAPTCHA KAPUT
marzec 09 20
KaŜde CAPTCHA da się w końcuzłamać, bez konieczności ponoszenianakładów, niewspółmiernych dopotencjalnych zysków ze złamaniakodu.
McAfee:http://vil.nai.com/images/FP_BLOG_081008_1.jpg
J. Yen, A. Ahmad, A low cost attack on a Microsoft CAPTCHA: http://homepages.cs.ncl.ac.uk/jeff.yan/msn_draft.pdf
Mariusz Dziechciaronek
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 21
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.
Mariusz Dziechciaronek
Jak powinno wyglądać dobre CAPTCHA• dobre CAPTCHA to takie, które zapewnia bezpieczeństwo serwisu i nie jestjednocześnie utrapieniem dla uŜytkowników,
• powinno zapewniać dostęp do serwisu uŜytkownikom niepełnosprawnym,
• powinno zawierać przycisk odświeŜ,
marzec 09 22
• powinno informować o ilości koniecznych do wpisania elementów,
• powinno odzwierciedlać specyfikę kulturową,
• powinno zawierać informacje dlaczego naleŜy je wpisać,
• powinno dawać moŜliwość dodatkowej np. telefonicznej weryfikacji uŜytkownika,
• powinno podlegać czasowym ewaluacjom bezpieczeństwa.
Mariusz Dziechciaronek
• człowiek, a maszyna, trochę historii,• czym jest i do czego słuŜy CAPTCHA,• problemy uŜyteczności i dostepności CAPTCHA,• kwestie bezpieczeństwa i metody łamania kodu,
marzec 09 23
• kwestie bezpieczeństwa i metody łamania kodu,• czym jest dobre CAPTCHA?• reCAPTCHA i nowe modele kodów.
Mariusz Dziechciaronek
Re....CAPTCHA....• pozwala digitalizować stareksiąŜki i dokumenty,
• działa na zasadzie czytaniaprzez OCR starych druków iprzesyłania nieczytelnych słówdo uŜytkowników w postaciCAPTCHA,
marzec 09 24
CAPTCHA,
• uŜytkownicy wpisują dwasłowa: jedno zabezpieczająceoraz drugie stanowiącezagadkę dla OCR, pomagająprzenieść do sieci milionyksiąŜek.
Mariusz Dziechciaronek
Niecodzienne rozwiązania
marzec 09 25
Geometryczne CAPTCHA – dla wyjątkowo wytrwałych downloader’ów ☺
Wyjątkowe matematyczne CAPTCHA – segregacja juŜ na wejściu, pozwala na precyzjny dobór uŜytkowników ☺
Mariusz Dziechciaronek
Niecodzienne rozwiązania (2)
marzec 09 26
Drag & Drop CAPTCHA - ciekawe rozwiązanie szczególnie z pkt. widzenia bezpieczeństwa.
Graficzne CAPTCHA – jego siła zaleŜy od ilości kombinacji przedstawianych uŜytkownikowi.
Mariusz Dziechciaronek
Niecodzienne rozwiązania (3)
Kolejne CAPTCHA graficzne, stanowiące raczej zabawny element strony niŜ realne zabezpieczenie przed botami.
marzec 09 27Mariusz Dziechciaronek
Dziękujęhttp://www.symetria.plhttp://www.symetria.pl
marzec 09 Mariusz Dziechciaronek 28