Избирането на всички мостове на снимката, след това на всички таксита, пожарни кранове, кучета и други може да бъде много досадно! Особено ако бързате. Решаването на CAPTCHA отнема няколко секунди, които се чувстват като цяла вечност! Сякаш в живота ни няма достатъчно досадни неща, така че имаме нужда от този тест постоянно. Защо уеб сайтовете ви притесняват с CAPTCHA, вместо да ви оставят на мира?
И да продължим темата! Как 90-годишен дядо може да мине CAPTCHA теста, а модерен и мощен бот не? Вече казахме, че е досадно, но хайде, колко трудно е да изберете всички пожарни кранове или да кликнете върху „Аз не съм робот“? Е, продължете да четете, за да научите повече за CAPTCHA и как този тест спира роботите да превземат света. Поне засега…
Какво е CAPTCHA?
CAPTCHA е тест тип предизвикателство-отговор, разработен, за да определи дали даден потребител е човек или робот. Това е акронимът на „Напълно автоматизиран публичен тест на Тюринг за разграничаване на компютрите и хората“ (Completely Automated Public Turing Test to Tell Computers and Humans Apart).
Изследователи от университета Карнеги Мелън са работили върху концепцията за CAPTCHA в края на 90-те години и терминът е бил измислен през 1997 г. Първата широко използвана реализация на CAPTCHA е била разработена през 2000 г. Тестовете CAPTCHA са били тези изкривени или затъмнени текстови изображения, с които в момента сте добре запознати .
С течение на времето са били създадени различни видове CAPTCHA тестове, включително тестове за текст, разпознаване на изображения, аудио базирани тестове и др.
Защо имаме нужда от CAPTCHA?
CAPTCHA тестовете са разработени за подобряване на сигурността в интернет (уебсайтове). По-специално за смекчаване на огромните злонамерени дейности, изпълнявани от автоматизирани ботове. Преди малко повече от две десетилетия това решение бива широко възприето за защита на уеб сайтове от:
- Създаване на акаунт и злоупотреба. Ботовете могат да създават безброй фалшиви акаунти в сайтове и онлайн услуги. Тези акаунти могат да се използват за разпространение на дезинформация, публикуване на фалшиви отзиви или участие в различни измами и форми на онлайн манипулация.
- Спам на онлайн формуляри. Ботовете могат автоматично да попълват онлайн формуляри на уеб сайтове. Те могат да го правят непрекъснато, което води до масивни потоци от спам съобщения, коментари или регистрации. Това може да затрупа собствениците и потребителите на сайтове с неуместно или неподходящо съдържание.
- Събиране на имейл адреси. Ботовете са умели в събирането на информация. Те могат да събират имейл адреси от сайтове, социални медийни платформи и форуми. Всички събрани имейл адреси често стават цели на спам или фишинг атаки.
- Събиране на данни. Тяхната способност за събиране се използва и за получаване на стратегически данни от уеб сайтове, като потребителска информация, интелектуална собственост, цени на продукти и т.н. Тези данни могат да се използват за конкурентен анализ, изнудване, кражба на съдържание или измама.
- Измамни кликвания. Автоматизираните ботове могат да симулират кликвания върху онлайн реклами, което води до завишени рекламни разходи за бизнеса.
- Атаки с груба сила (Brute Force Attacks). Ботовете могат да се опитат да получат неоторизиран достъп до потребителски акаунти или системи, като изпробват множество комбинации от потребителско име и парола, докато намерят правилната.
Както виждате, автоматизираните ботове, злонамерено програмирани, могат да бъдат истински кошмар за целия интернет и света! Ето защо са били създадени CAPTCHA тестове. Те са били смятани за решение за идентифициране на ботове и тяхното блокиране.
Как работят CAPTCHA тестовете?
Класическите CAPTCHA тестове изискват от потребителите да идентифицират правилно група от букви. Това, което го прави предизвикателство да се отговори, е, че буквите са изкривени. Потребителите имат мисията да идентифицират изкривените букви, след това да напишат всяка от тях в поле на формуляр и накрая да изпратят формуляра за оценка. Резултатът е ясен, ако има съвпадение, потребителят получава достъп до сайта и може да продължи процеса на вписване. Но ако буквите не съвпадат, потребителят няма да получи достъп и ще бъде поканен да направи нов опит. Виждали сте тези класически версии на CAPTCHA в онлайн анкети, банкови сайтове, формуляри за вход, страници за плащане при електронна търговия и т.н.
Тестовете първоначално са проектирани по този начин, защото ботовете не могат да интерпретират изкривените букви, освен ако не използват допълнителен инструмент. Ще говорим за това малко по-късно. Това не е проблем за хората, защото сме свикнали да дешифрираме букви в много различни контексти като ясен и неясен почерк, различни шрифтове и т.н. Ботовете от самото начало се опитват да преминат тестовете. Техният най-елементарен опит е бил чрез произволно въвеждане на букви, но те са били лесно заловени и блокирани от уеб сайтовете или приложенията.
Има и CAPTCHA тестове за разпознаване на изображения, при които получавате пълно изображение, разделено на различни квадрати или различни изображения във всеки квадрат. Обикновено те са от 9 и повече квадратни изображения. Там вие (потребителят) трябва да идентифицирате точните изображения, които съдържат конкретни обекти като улични знаци, превозни средства, светофари, животни и т.н. Ако отговорите правилно, преминавате теста, за да можете да влезете в уеб сайта или приложението. Ако не успеете, можете да опитате отново.
Проблемът е, че ботовете могат да бъдат обучавани. С течение на времето се полагат големи усилия да се обучат ботовете как да преминат тези тестове, което означава, че ги програмират да постигнат тази цел. Сега ботовете могат да използват машинното обучение, за да идентифицират типа изкривени букви, които споменахме преди. Това кара разработчиците да направят по-сложни тестове за защита на уебсайтовете от ботове.
Със сигурност сте опитвали онези тестове, които представят кутийка с твърдението „Аз не съм робот“. Единственото нещо, което трябва да направите е да щракнете върху квадратчето и това е! Може би сте си помислили „Колко лесно този сайт ми се доверява“. Е, съвсем не така! Той оценява всеки ваш ход, докато доближава курсора до квадратчето за отметка.
Това, което измерва, е точност на микроскопично ниво. Бот ще поеме по най-прекия път, за да стигне до квадратчето за отметка, без да се колебае. Това правят машините. Те са програмирани да бъдат по-ефективни от хората. Ако програмирате бот да достигне конкретна точка на уеб страница, той ще отиде направо до точните на оста X и Y. Разбира се, чрез кодиране е възможно да се добави някои инструкции за него, за да забавят движението до квадратчето за отметка, някаква допълнителна траектория, за да се прикрие самоличността му, но експертите уверяват, че все пак не могат да имитират тази произволност или липса на точност при нас, хората показват, когато местим курсора.
И има още! За да увеличи сигурността и да направи теста по-ефективен, когато стигнете до повечето страници с теста „Аз не съм робот“, той проверява много повече информация, отколкото си представяте от вашия браузър, като например вашето местоположение (IP адрес), вашата часова зона и час, време за зареждане на страницата, кой браузър използвате, плъгини, бисквитки, разделителната способност и размера на екрана ви, дори броя кликвания, превъртания и натискания на клавиши, които сте направили. Звучи толкова инвазивно, колкото е!
Защо роботите не могат да преминат CAPTCHA теста?
Роботите не могат да преминат тестове CAPTCHA, защото са предназначени да демонстрират чисто човешки характеристики, които машините не могат да възпроизведат, или поне засега Нека не го приемаме като комплимент, защото на първо място нашата липса на точност и нашите грешки са това, което лесно ни отличава от машините.
Освен това, ние сме свикнали да разпознаваме образи, следователно можем да дешифрираме изкривени знаци. Контекстуалното разбиране също е обичайно за нас, можем да идентифицираме обекти върху изображение въз основа на контекста, а не само буквално, както правят ботовете. Имаме по-задълбочено разбиране на езика, което ни помага да дешифрираме базирана на текст CAPTCHA или аудио CAPTCHA. Само си помислете с колко хора (различни гласове) общувате ежедневно, чрез мобилен телефон, видео разговори, физически, във всякакви шумни среди (ресторанти, улици, автогари и др.). Ние сме добре обучени, но познайте какво? Роботите стават все по-добри и могат да развиват тези умения с помощта на машинно обучение.
Вършат ли работа CAPTCHA тестовете все още?
CAPTCHA тестовете все още откриват и блокират ботове. Но през всички тези години от създаването им ботовете са станали по-умни, а хората не. Със сигурност сте виждали колко трудни са станали някои CAPTCHA тестове напоследък. Преди това бяха прости математически въпроси като колко е 1+1 или 4+11, но сега трябва да дешифрирате много нечетлив текст. W или VV ли е? Започвате да се съмнявате дали сайтът наистина иска да ви пусне. Решаването им отнема повече време, по-досадно е за обикновените потребители и е кошмар за потребителите с увредено зрение!
С всеки по-умните ботове, CAPTCHA тестовете трябва да бъдат по-сложни, за да постигнат целта си. В наши дни кибер сигурността се занимава с CAPTCHA ферми, по-мощни ботове, зловреден софтуер и техники за дълбоко обучение. В този сценарий CAPTCHA не е толкова ефективен тест, колкото беше преди. За защита на сайт е необходима комбинация от различни технологични решения. Един единствен метод няма да успее да спре всички съществуващи кибер заплахи, като ботове.
Предстоят предизвикателства за оцеляването на CAPTCHA. Сега някои собственици на уеб сайтове търсят други мерки за сигурност, тъй като CAPTCHA тестовете дразнят прекалено много потребителите (потенциалните клиенти). Да, разработчиците създадоха нови версии на CAPTCHA, които намаляват намесата на потребителите до минимум. Например квадратчето, върху което щракнете веднъж, за да заявите „Аз не съм робот“. Ако веждите ви се повдигнат, да, значи сте го разбрали! Потребителите плащат висока цена за този вид лесен и по-малко времеемък тест.
За да ви дам кратък контекст, reCAPTCHA е CAPTCHA системата на Google. Технологията е създадена в университета Карнеги Мелън, за да замени предишната CAPTCHA система и е закупена от Google (2009 г.). От версия 3 reCAPTCHA теста не ви прекъсва, а се изпълнява автоматично и просто осъществява достъп до хронологията на браузъра ви и анализира вашето местоположение, бисквитки, взаимодействие с други уебсайтове, броя кликвания и натискания на клавиши, които сте направили, и т.н. Ако това не ви харесва, то трябва да знаете, че сте се съгласили още когато сте приели правилата и условията на Google.
Заключение
Ботовете учат с бързи темпове благодарение на други технологии, така че те са реална и голяма заплаха. Много е важно да ги идентифицираме и блокираме, за да предотвратим вреда както за уеб сайтовете, така и за потребителите. Представете си, ако се научат да ви имитират и нищо не ги спира. Умножете ситуацията с милиони потребители в световен мащаб. Решенията за сигурност като CAPTCHA трябва да се развиват и да вървят поне няколко стъпки пред престъпниците, за да бъдат полезни. Залогът е прекалено голям, за да не опитате! Не мислите ли така?