Tutkija: Ääni-CAPTCHA on helposti murrettavissa
Kuva: Timo Jaakonaho / Käsittely: Digitoday
6.5.2008 07:00 Wintercore-tietoturvayhtiön mukaan Googlen käyttämät ääneen perustuvat CAPTCHA-tunnisteet eivät ole erityisen tehokkaita suojauksia.
Googlen palveluja suojaavat äänimuotoiset CAPTCHA:t ovat huonoja. Wintercore-tietoturvayhtiön Rubén Santamarta esittelee blogimerkinnässään tavan, jolla näkövammaisille tarkoitetut roskapostiestot saadaan ohitettua.
Santamarta löysi Googlen ääni-CAPTCHA:sta lukuisia heikkouksia. Ääni ei särje paljonkaan, yksittäiset fraasit on helppo erottaa koska ne ovat kaikki saman pituisia, ääni ei muutu, merkki kertoo mistä tunnistettava pätkä alkaa ja vastaus koostuu pelkästään numeroista.
Sivulla esitellään myös murtamisprosessin automatisoiva ohjelma, jota ei ole laitettu yleiseen jakeluun "ilmeisistä syistä".
- Lue myösBreaking Gmail’s Audio Captcha
Olli Sulopuisto toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 9.2. AllThingsD asettaa uuden iPadin maaliskuun alkuun
- 9.2. Siri opiskelee kiinaa ja venäjää
- 9.2. Peliskene poimi presidentin palkinnon
- 9.2. Google: Näytä surfailusi, saat rahaa
- 9.2. Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 9.2. Samsungilta ei julkistuksia Barcelonassa
- 9.2. Ciscon tulos parani reippaasti
- 9.2. Angry Birds laskeutui Helsinki-Vantaalle
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 9.2. Apple myy vihdoin iPhone 4S:ää Kiinassa
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 9.2. Windows 8:n testiversio ilmestyy karkauspäivänä
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Brittilehti sekaantui sähköpostien vakoiluun
- 8.2. Tieto etsii Nokialle korvaajaa Android-töistä
- 8.2. Xbox nousi vuoden ostetuimmaksi
- 8.2. @450-verkko vaihtaa tekniikkaa
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 7.2. Googlen Terminator-lasit täydentävät todellisuutta
- 7.2. Microsoft poistaa start-napin
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 7.2. Äidit käyvät imettämällä Facebookia vastaan
- 7.2. Intia perui toimiluvat, Telenor uhkaa lähteä
- 7.2. Nokia kertoo miten käy Salon tehtaan
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 7.2. Microsoft poistaa start-napin
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 7.2. Belle-päivitys tuli viimein Symbianiin
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Äidit käyvät imettämällä Facebookia vastaan 09:21
- Suosittu piraattisivusto antautui 13:02
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Lisää
Digiyesterday
Viisi vuotta sitten
Paperilla pelaamista
10.02.2007 Helmikuun ensimmäisenä päivänä sähköisessä postilaatikossamme kolahti. Vuokraemäntämme oli tiukkaan sävyyn perimässä vuokraamme, jonka oli pitänyt saapua hänen käsiinsä kyseisenä päivänä.
Kolme vuotta sitten
Verkkokauppa.com aloittaa omien kännyköiden myynnin
10.02.2009 Elektroniikkaketju tunkee edullisimpien matkapuhelinten markkinoille omalla Nu:fone-merkillään. Alle satasen puhelimia löytyy myös perinteisiltä valmistajilta.
Taloussanomat
- Vihdoinkin, Kreikka: Sopu säästöistä syntyi 16:50
- "Finnair hakee kumppania suuresta joukosta yhtiöitä" 14:43
- Tänne tulevat uudet Prismat 14:48
- Lopullista Kreikka-päätöstä tuskin saadaan tänään 19:18
- Lentoyhtiön konkurssi uhkaa suistaa Unkarin budjetin raiteiltaan 20:42
- Draghi: Epävarmassa taloudessa yhä riskinsä 17:15
- Tätäkö keskusta pelkää – turhaan vai? 15:47
- Hautala Ylelle: Valtio voi luopua enemmistöstä Finnairissa 17:11
- Italia ratsaa luksusautoilijoita – Ferrarin suosio romahti 21:17
- Pirate Bay uhmaa estoja – kutisti itsensä taskukokoon 20:18
- » Taloussanomat.fi
-
172 e
Lenovo ThinkCentre M81 TW (Core I5-2400, 2 GB, 320 GB, Windows 7 Professional), keskusyksikkö
-
56 e
Lenovo ThinkStation S20 (Xeon W3550, 4 GB, 500 GB, Win 7 Professional), keskusyksikkö
-
31 e
HP Workstation Z210 SFF (Xeon E3-1225, 4 GB, 500 GB, Win 7 Home Premium), keskusyksikkö
-
20 e
HP Compaq 8200 Elite SFF (Core i5-2500, 4 GB, 500 GB, Win 7 Professional), keskusyksikkö
-
20 e
Lenovo ThinkStation D20 (Xeon E5640, 8 GB, 500 GB, Windows 7 Professional), keskusyksikkö
-
-295 e
HP Z400 (Xeon W3565, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-216 e
HP Z600 (Xeon E5620, 8 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-108 e
HP Z600 (Xeon E5645, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-87 e
HP Z400 (Xeon W3550, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-76 e
Apple Mac Pro (Xeon 2.8 GHz, 8 GB, 2 TB, OS X), keskusyksikkö
Kommentit (9)
Googlen captchojen ei tarvitse olla mahdottomia murtaa, niiden täytyy vain olla vaikeampia kuin joidenkin muiden, että ne eivät olisi houkuttelevin kohde.
Eräiden tietojen mukaan jotkut spämmerit ulkoistavat captchojen murtamista halpatyövoiman maihin, jolloin niitä ratkaisevat ihmiset, ja koko perusidea murtuu. Samoin kävisi ehdottamillesi kysymyksille (paitsi ehkä suomenkielisille, mutta ne myös rankasti rajaavat mahdollista laillista käyttäjäkuntaa).
Vähän ihmettelen miksei matkapuhelimen mahdollisuuksia hyödynnetä enemmän webbipalveluiden autentikoinnissa. Olen joitakin tällaisia nähnyt, esim. Fonekta joskus tarjosi pääsyn numerohakunsa webbiversioon tekstarina lähetetyllä salasanalla. Jos homma toimisi niinpäin että webbipalvelun koneelle pitää lähettää tekstarina captchan sisältö, se lannistaisi spämmereitä kahdella tavalla: tekstari maksaa jonkin verran, ja väärinkäyttäjiä on helpompi jäljittää.
Itse en tykkää puhelinnumerolla tunnistautumisesta. Rekisteröinpä tuossa joku päivä tilt.tv:n foorumeille (älkää kysykö miksi) ja siellä systeemi oli, että rekataan ja pyydetään maksullisella tekstarilla passua. No, tuota en tullut heti vaihtaneeksi ja seuraavana päivänä vahingossa viestin poistin, täytyypä joku päivä vilkaisemassa vaatiiko uuden tilaus taas tekstaria vai riittääkö maili.
Sen sijaan itse odotan suuresti VRK:n myöntämillä kansalaisvarmenteilla (aka. sirullinen henkilökortti) tunnistautumista palveluihin. Varjopuolena tässä siis palvelun ylläpitäjä voi nimimerkin aina yhdistää sinuun joten anonymiteetti katoaa, joten kaikkea en haluaisi tuon taakse. Isoveljeen luottamus ei kuitenkaan ole ihan 100%. Silti, luultavasti esim. hesarin sivujen keskustelun taso nousisi paljon jos kaikkien olisi pakko kommentoida asioita omilla nimillään. Myös käyttäjien permabanniminen helpottuisi.
Tekniikka on jo olemassa ja käytössä (esim. joillain pankeilla tai verovirastoilla), muttei laajassa yksityiskäytössä vielä, koska valtaosalla kyseisiä siruja ei ole. Hop hop, hankkimaan. ;) Kortinlukijakin maksaa pari kymmpiä verkkiksessä.
http://www.markopolojarvi.com/captcha-ja-miten-se-ohitetaan/
Tekniikka on jo olemassa ja käytössä (esim. joillain pankeilla tai verovirastoilla), muttei laajassa yksityiskäytössä vielä, koska valtaosalla kyseisiä siruja ei ole. Hop hop, hankkimaan. ;) Kortinlukijakin maksaa pari kymmpiä verkkiksessä.
Niinpä, tuossa pitäisi käytäjällä olla jo kaksi tavaraa joita useimmilla ei ole ja tuskin pitkään aikaan tulee olemaankaan: sirullinen henkilökortti ja kortinlukija. Ja tarvitaan vielä softa joka saa ne pelaamaan yhteen selaajan kanssa... Matkapuhelin sensijaan jo on lähes kaikilla. Tietenkään se ei ole yhtä varma kuin virallinen tunniste, mutta lienee riittävä tavanomaiseen foorumikäyttöön, jossa tavoite on vain karseimpien väärinkäytösten estäminen.