• Thứ Tư, 02/11/2011 15:31 (GMT+7)

    “Xuyên thủng” CAPTCHA trên các trang web phổ biến

    Trần Dũng
    Công cụ mới có khả năng vượt qua cơ chế chống spam dạng CAPTCHA trên các trang Wikipedia, eBay, CNN và một số trang web phổ biến khác.

    Các nhà nghiên cứu tại đại học Stanford phát triển công cụ tự động có khả năng vượt qua cơ chế kiểm tra chống spam dựa trên đoạn văn bản, CAPTCHA, hiện được sử dụng trên nhiều trang web. Trong thử nghiệm, công cụ này vượt qua hầu hết CAPTCHA của các trang web phổ biến.

    Tại hội nghị bảo mật truyền thông và máy tính ACM diễn ra gần đây tại Chicago, Mỹ, các nhà nghiên cứu Elie Bursztein, Matthieu Martin và John C. Mitchel đã trình diễn và giới thiệu kết quả nghiên cứu này.

    Các trang web thường sử dụng CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) nhằm ngăn chặn các chương trình tự động thực hiện việc đăng ký tài khoản và đăng bình luận.

    Có nhiều loại CAPTCHA khác nhau như sử dụng âm thanh, công thức toán học, tuy nhiên CAPTCHA dạng văn bản được sử dụng trên hầu hết các trang web. Nhóm nghiên cứu đại học Stanford phát minh ra phương pháp giúp làm rõ đoạn văn bản mà CAPTCHA yêu cầu người dùng nhập, sau đó tách chuỗi văn bản dính chồng lên nhau thành từng ký tự riêng biệt, giúp chương trình nhận dạng ký tự dễ dàng hơn.

    Một số giải thuật vượt qua CAPTCHA của nhóm ngiên cứu được lấy cảm hứng từ khả năng robot có thể định hướng trong các môi trường khác nhau. Nhóm nghiên cứu đưa khả năng này của robot vào công cụ tự động Decaptcha của họ. Qua thử nghiệm, công cụ này vượt thành công CAPTCHA của 15 trang web phổ biến, cụ thể tỉ lệ thành công đối với cổng thanh toán Authorize.net của Visa là 66%, cổng thông tin World of Warcraft của Blizzard là 70%, Digg là 20%, CNN 16% và Baidu 5%. Với Wikipedia, thử nghiệm 4 lần thì có một lần thành công. Tỉ lệ số lần thất bại ở eBay là 43%. Các trang thử nghiệm CAPTCHA không bị xuyên thủng là Google và reCAPTCHA.

    Các nhà nghiên cứu đại học Stanford đã đưa ra một số khuyến nghị để cải thiện bảo mật CAPTCHA như nên dùng ngẫu nhiên chiều dài chuỗi ký tự, ngẫu nhiên kích thước ký tự, thêm hiệu ứng sóng đối với chuỗi ký tự và dùng nền dạng gãy vụn hay các dòng. Việc sử dụng các bộ ký tự phức tạp không đem lại hiệu quả cao, đôi khi gây rối rắm cho người dùng.

    Trước đây, nhóm nghiên cứu này cũng thành công trong việc vượt qua CAPTCHA dạng âm thanh trên các trang Microsoft, eBay, Yahoo, Digg, và đại diện nhóm cho biết họ sẽ tiếp tục cải tiến công cụ Decaptcha của họ trong thời gian tới.

    Nguồn: IDG News 1/11/2011