Борьба с DDoS – CAPTCHA и ее история

captcha

Одной из дополнительных функций системы глубокого анализа трафика (DPI) является защита от DDoS. Для этого используется один из самых простых, но эффективных способов –  тест Тьюринга (страничка с CAPTCHA).

Этот компьютерный тест определяет, кем является пользователь системы – человеком или компьютером. Если количество запросов к сайту превышает пороговое значение, активируется защита, и пользователю необходимо ввести информацию с CAPTCHA, чтобы доказать свою непричастность к ботнет-сети, и только после этого получить доступ к запрашиваемому ресурсу.

Сам тест CAPTCHA всем хорошо известен, однако его история имеет несколько интересных фактов, о которых стоит рассказать.

Удивительная история CAPTCHA

Слово CAPTCH – это аббревиатура английских слов «Completely Automatic Public Turing Test to Tell Computers and Humans Apart», что переводится как полностью автоматический публичный тест Тьюринга для различения компьютеров и людей. Он ставит задачу, которую человек может решить довольно легко, а вот искусственный интеллект (компьютер или бот) не может или почти не может.

Оригинальная система такой проверки была разработана в начале 2000-ых гг. инженерами университета Карнеги-Меллона (частный университет и исследовательский центр, расположенный в Питтсбурге, штат Пенсильвания, США). Команда под руководством Луиса фон Ана (Luis von Ahn, более известен как Большой Лу) искала способ отфильтровывать множественные автоматические регистрации и сообщения от программ-роботов (спам-ботов), которые выдавали себя за людей.

Luis von Ahn

Команда разработала программу, которая выводила пользователю форму с настолько искаженным текстом, что человек был в состоянии его понять, а компьютерный бот нет. Каждый, кто сталкивался с такой проверкой, должен был ввести в поле правильный текст, и только после этого мог отправить данные анкеты или написать сообщение.

Программа получилась настолько удачной, что стала активно применятся по всему миру.

К сожалению, инженеры забыли об одном важнейшем свойстве человека – желании заработать. Достаточно быстро в интернете появился дополнительный способ заработка – решение задач CAPTCHA, который стали спонсировать спамеры, генерирующие спам, флуд и взломы аккаунтов. Особенно такой доход стал популярен в бедных странах, где возможность получить пусть и минимальные деньги за тысячи решений CAPTCHA  очень актуальна.

Несмотря на это, сервис оставался очень популярным. Его разработчиков терзала только одна мысль – мысль о том, что они заставляют миллионы людей бессмысленно переводить изображения в текст, тратя свое время на манипуляции, от которых нет никакого толка кроме защиты.

В своем интервью для The New York Times в 2011 г. Фон Ан сказал, размышляя: «Можно ли сделать с этим временем что-то полезное?».

recaptcha

Спустя некоторое время была представлена новая версия – приложение reCAPTCHA, в основе которой все также лежала необходимость вводить в форму текст с картинки, но вместо случайного набора букв и цифр теперь пользователю необходимо было расшифровать реальный текст из архивных документов. Программное обеспечение достаточно хорошо способно распознавать печатные тексты, однако со временем чернила расплываются и компьютер уже не может определить те или иные слова, а вот человек с этим хорошо справляется.

Сначала распознаванию были подвергнуты архивные номера газеты The New York Times, а затем, после продажи сервиса компании Google в 2009 г., расшифровке подверглись старые книги. Получается, что каждый раз, вводя текст с reCAPTCHA, вы бесплатно выполняли работу на одну из этих компаний, а неразборчивые слова и выражения, не имеющие никакого смысла, были реальными фрагментами из архивных тестов.

Конечно, не каждый пользователь остался доволен своей «бесплатной» работой на Google, но reCAPTCHA все равно оставалась самым эффективным способом борьбы с ботами. Фон Ан был очень доволен новой версией программы, уверяя, что сервис будет жить очень долго, а печатного материла для распознавания в архивах предостаточно.

Однако в век высоких технологий, повсеместного и всестороннего развития интернета то, что сегодня кажется современным и прогрессивным, через несколько лет может прекратить свое существование. То же может произойти и с CAPTCHA.

В 2014 г. аналитики компании Google обнаружили, что искусственный интеллект может распознать и взломать даже самые сложные изображения CAPTCHA и reCAPTCHA с 99,8-процентной вероятностью, что снова сделало эти  сервисы практически бесполезными для защиты от интернет-ботов.

Для решения возникшей проблемы компания Google начала совершенствовать технологию, и  весной 2012 г. был запущен эксперимент по распознаванию изображений из Google Maps и Google Street View, фрагменты которых содержали номера заданий.

cat_captcha

В начале 2015 г. разработчики представили новую систему, которая не опирается на способность пользователя распознать слова или цифры с картинки, а анализирует его поведение на странице сайта до момента нажатия проверочного чек-бокса. Необходимо просто нажать кнопку «Я не робот» и продолжить работу.

Алгоритм анализирует действия, выполняемые пользователем, и на основе полученных данных делает вывод, человек это или бот. Если анализ не дал однозначного ответа, пользователю могут предложить пройти дополнительную проверку, например, выбрать из нескольких представленных картинок c животными только те, которые содержат кошек.

«Гонка вооружений» между специалистами по безопасности и спамерами никогда не закончится. Будут разрабатываться всё новые механизмы защиты, к которым будут применяться всё новые интеллектуальные способы обхода.

Сейчас технология reCAPTCHA является одним из самых надёжных способов борьбы с ботнет-сетями и успешно применяется в системе DPI СКАТ для защиты от DDoS атак, а постоянная разработка платформы и выпуск новых версий позволяет использовать актуальные механизмы защиты.

Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *