Կիբերանվտանգության ոլորտի փորձագետները նախազգուշացնում են CAPTCHA-breaking ծառայությունների մասին, որոնք վաճառքի են ներկայացվում շրջանցող համակարգերի համար և նախատեսված են օրինական օգտվողներին բոտերի տրաֆիկից տարբերելու համար:
«CAPTCHA-breaking ծառայությունները չեն օգտագործում տեխնիկա կամ մեքենայական ուսուցման մեթոդներ, փոխարենը կոտրում են CAPTCHA-ները՝ CAPTCHA-breaking-ի առաջադրանքները փոխանցելով խնդրի իրական լուծողներին»:
CAPTCHA-ը՝ Completely Automated Public Turing test-ը գործիք է իրական մարդկային օգտատերերին ավտոմատացված օգտատերերից տարբերակելու համար` նպատակ ունենալով պայքարել սպամի դեմ և սահմանափակել կեղծ օգտահաշիվների ստեղծումը:
Արդյունքում, ամբողջ աշխատանքային հոսքը հասանելի է դառնում բոտի օպերատորներին՝ հնարավոր դարձնելով API զանգերի միջոցով ծառայության մատակարարին CAPTCHA in real-time փոխանցել, ինչն էլ հետագայում սկսում է պատասխաններն ուղարկել ծրագրով:
«Սա հեշտացնում է CAPTCHA-breaking ծառայությունների ավտոմատացման գործընթացը», – նշում է անվտանգության ոլորտի փորձագետ՝ Ջոյ Կոստոյան:
«Եվ քանի որ իրական մարդիկ լուծում են CAPTCHA-ների հարցը, այդ թեստերի միջոցով ավտոմատացված բոտերի տրաֆիկի զտման նպատակը անարդյունավետ է դառնում»:
«CAPTCHA-ները տարածված գործիքներ են, որոնք օգտագործվում են սպամի և բոտերի չարաշահումը կանխելու համար, սակայն CAPTCHA-breaking ծառայությունների ակտիվ օգտագործումը զգալիորեն նվազեցնում է CAPTCHA-ների արդյունավետությունը», – նշում է Կոստոյան:
«Թեև վեբ ծառայությունները կարող են արգելափակել չարաշահող օգտատերերի IP-ները, այնումենայնիվ proxyware-երի աճը այն դարձնում է նույնքան toothless, որքան CAPTCHA-երն են»:
Սպասվող ռիսկերը նվազեցնելու համար վեբ ծառայություններին խորհուրդ է տրվում անպայման լրացնել CAPTCHA-երն ու IP-ների blocklisting-ը:
Աղբյուրը՝ https://thehackernews.com/
