Американская компания заявила о взломе «капча»-теста

Александр Панасенко 29 Октября 2013 - 16:18

...

Американская компания Vicarious заявила о создании алгоритма, который способен справиться с 90 процентами заданий, входящих в CAPTCHA, — автоматизированный тест Тьюринга, позволяющий отличить программу от человека. О методе уже написали в ScienceNow, Forbes и MIT Technology Review.

Автоматизированный тест Тьюринга, он же CAPTCHA, представляет собой набор заданий, который призван отличить зашедшего на сайт человека от вредоносной программы («робота»). Наиболее распространенным, хотя и не единственным вариантом «капчи» является изображение букв или цифр, которые надо правильно распознать и ввести в контрольное поле. Система используется в сервисах онлайн-отправки SMS, интернет-магазинах и на сайтах, подразумевающих возможность отправки комментариев, сообщает lenta.ru.

По словам авторов алгоритма, им удалось найти общий способ работы с наиболее распространенной текстовой разновидностью теста. Разработчики программы утверждают, что она успешно справляется с распознаванием изображений на текстовых CAPTCHA. Усиление искажений и добавление на картинки "шума" не влияет на результат. Демонстрация работы программы приводится в видеоролике, но технических подробностей относительно работы алгоритма представители Vicarious не приводят.

Новая программа пока не может справиться с тестами на основе кириллицы и других нелатинских символов. Также она не способна распознать изображения на шахматном фоне.

По словам создателя CAPTCHA, Луиса Ван Анна, «это примерно пятидесятое заявление подобного рода. Но даже если они и научились распознавать текст, то мы просто перейдем на картинки иного рода».

Текстовые CAPTCHA имеют несколько альтернатив: от простой галочки «я не робот» до перечня картинок, из которых нужно выбрать правильную (например «укажите Эйнштейна»). В свою очередь злоумышленники умеют обходить автоматизированные тесты методом переноса кода на другой сайт с большой посещаемостью. Пользователи самостоятельно распознают изображение, после чего правильный ответ используется на интересующем злоумышленников сайте — в данном случае тест Тьюринга бесполезен в принципе. Такой способ взлома капчи известен уже около десяти лет.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 12 Сентября 2025 - 13:52

Бэкдоры Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare использует цепочку бэкдоров в атаках на компании РФ и Беларуси

Кибергруппа Head Mare снова напомнила о себе — и на этот раз с обновлённым арсеналом. По данным «Лаборатории Касперского», летом 2025 года они провели новую волну атак на российские и белорусские компании.

Главное отличие от мартовских кампаний — теперь злоумышленники не ограничиваются одним бэкдором, а устанавливают целую цепочку.

В ход идут PhantomRemote, PhantomCSLoader и PhantomSAgent. Иногда к этому добавляются и SSH-туннели, чтобы закрепиться в инфраструктуре и держать удалённый доступ под рукой. По сути, логика проста: если один инструмент заметят и удалят, остальные останутся работать.

Атака по-прежнему стартует со стандартного сценария — рассылки писем с вредоносным вложением. В этот раз это был PhantomRemote, через который можно выполнять команды на заражённой машине.

Дальше в систему подтягиваются дополнительные компоненты — PhantomCSLoader и PhantomSAgent. Они написаны на разных языках, похожи по принципу связи с командным сервером, но отличаются внутренними механизмами. Такая комбинация усложняет задачу защитникам.

Хорошая новость в том, что продукты «Лаборатории Касперского» детектируют всю эту цепочку и способны блокировать атаки Head Mare.