Težave in omejitve

Kljub svojim prednostim imajo implementacije tehnologije CAPTCHA več težav, medkaterimi izstopata dve. Prva je sam način varovanja, ki ga ponuja CAPTCHA. Orodje namreč vedno predvideva, da je udeleženec računalnik, kar vpliva na uporabnost spletnega mesta in je nadležno za uporabnike. Druga večja težava je dostopnost za osebe s hibami. Ker je večina zgodnjih implementacij testov CAPTCHA temeljila na besedilu ali slikah, so imele največ težav slabovidne osebe, ki posledično niso mogle uporabljati določenih storitev. Razvijalci so zato razvili izzive, temelječe na zvoku, ki imajo višje stroške implementacije (Keyvanpour & Moradi, 2015).

Orodja CAPTCHA so pogosta tarča napadov, pri čemer jih lahko razdelimo na napade z rabo računalniških zmogljivosti in napade z uporabo človeške delovne sile. V prvo skupino spadajo predvsem avtonomni računalniški programi, ki uporabljajo zraven preprostejših tehnik, kot sta na primer segmentacija ali napad s surovo silo (angl. bruteforce attack), tudi zahtevnejše tehnike, ki uporabljajo večje podatkovne zbirke in različne oblike umetne inteligence (Rajae, Large, & Bastian, 2017). Takšno vrsto napadov so naprimer uporabili za premagovanje tekstovne oblike CAPTCHA spletne strani Yahoo!(Gao, Wang, & Fan, 2012).

Napade z uporabo človeške delovne sile delimo na zavedne in nezavedne. Pod zavedne spadajo podjetja, ki najemajo poceni delovno silo za reševanje testov CAPTCHA in za to prejmejo plačilo, pod nezavednimi pa nepridipravi vsilijo reševanje testa posamezniku kot del drugega opravila (Motoyama, in drugi, 2010). Takšen primer je predstavila spletna stran Slashdot.com, kjer so zlikovci izdelali pornografsko spletno stran, za dostop do katere je bilo treba rešiti test CAPTCHA. Kot se je izkazalo, so teste v realnem času kopirali z registracijskega obrazca spletne strani Yahoo!, kar je nato omogočilo dostop zlonamernim programom (Stalke, 2004).

Ena od ključnih lastnosti vseh implementacij tehnologije CAPTCHA je robustnost. Številni akademiki vedno znova razvijajo nove oblike napadov na teste CAPTCHA, s katerimi preizkušajo omenjeno lastnost različnih orodij, pri čemer so pogosto preučevani napadina slikovne in zvočne teste (Zhu, in drugi, 2010; Tam, Hyde, Simsa, & von Ahn, 2009). Zaradi ranljivosti slikovnih in zvočnih testov so se na trgu pojavile naprednejše oblike orodja CAPTCHA, ki ne prikazujejo le izzivov, ampak spremljajo tudi gibanje uporabnikapo spletnem mestu, njegov IP-naslov in podobne druge podatke, ki so del glave poslane zahteve. Takšne oblike je mogoče premagati, pri čemer je treba pogosto vpeljati določeno obliko nevronske mreže (Zhou, Yang, Wang, & Boutell, 2018; Sivakorn, Polakis,& Keromytis, 2016).

 


[1] Gao, H., Wang, W., & Fan, Y. (2012). Divide and Conquer: An Efficient Attack on Yahoo! CAPTCHA. IEEE 11th International Conference on Trust, Security and Privacy in Computing and Communications, 9-16.

[2] Keyvanpour, M., & Moradi, M. (2015). CAPTCHAs, are those needed anymore? 5th International Conference on Computer and Knowledge Engineering, 137-142.

[3] Motoyama, M., Levchenko, K., Kanich, C., McCoy, D., Voelker, G., & Savage, S. (2010). Re: CAPTCHAs – Understanding CAPTCHA-Solving Services in an Economic Context.

[4] Rajae, O., Large, G. S., & Bastian, J. D. (2017). In-Depth Study of CAPTCHA.

[5] Sivakorn, S., Polakis, J., & Keromytis, A. (2016). I’m not a human: Breaking the Google reCAPTCHA.

[6] Stalke. (2004). Porn Rewards Users To Get Past Anti-Spam Captchas. Pridobljeno iz Slashdot:https://yro.slashdot.org/story/04/01/28/1344207/porn%E2%80%90rewards%E2%80%90users%E2%80%90to%E2%80%90get%E2%80%90past%E2%80%90anti%E2%80%90spam%E2%80%90captchas

[7] Tam, J., Hyde, S., Simsa, J., & von Ahn, L. (2009). Breaking AudioCAPTCHAs.

[8] Zhou, Y., Yang, Z., Wang, C., & Boutell, M. (oktober 2018). Breaking google reCaptcha V2. Journal of Computing Sciences in Colleges, str. 126-136.

[9] Zhu, B., Yan, J., Li, Q., Yang, C., Liu, J., Xu, N., . . . Cai, K. (2010). Attacks and Design of Image Recognition CAPTCHAs. Proceedings of the 17th ACM conferenceon Computer and communications security, 187-200.