Читать «Эффект плато. Как преодолеть застой и двигаться дальше» онлайн - страница 82
Боб Салливан
До появления CAPTCHA киберпреступники создавали автоматизированные инструменты, позволяющие за несколько секунд перебрать тысячи различных паролей для вашего сайта или другого закрытого источника. После появления CAPTCHA процесс застопорился. Созданные преступниками роботы доходили до раздела сайта, где им нужно было догадаться, какое слово зашифровано в поле, а затем сдавались.
CAPTCHA менял правила игры для сайтов, изнемогавших от засилья спама или роботов, перебиравших пароли. Но давайте еще раз посмотрим на ситуацию с точки зрения киберпреступника. Очевидно, что CAPTCHA стал слишком узким местом.
Организованные преступные группы, работающие в интернете, инвестировали много времени и сил в написание инструментов для рекламы своих предложений и взлома аккаунтов. Им совершенно не нравилось видеть, что все эти усилия были потрачены зря и что они теряют доходы (особенно обидным было то, что причиной этого послужило несколько букв, написанных почерком пьяного любителя американских горок). И здесь мы можем видеть, насколько творческими могут оказаться усилия хорошо мотивированной группы по преодолению узких мест.
Первые попытки преодолеть CAPTCHA были исключительно технологическими. Плохие парни создали целый ряд программных инструментов для специальных целей, связанных с оптическим распознаванием (OCR) и помогающих компьютерам читать символы CAPTCHA. В некоторых случаях эти инструменты давали хорошие результаты, что заставило авторов CAPTCHA делать буквы еще менее читаемыми.
Следующий подход ко взлому CAPTCHA состоял в том, чтобы платить людям в странах с низкими доходами за разгадку зашифрованных надписей. За сотую долю цента нанимался человек, который внимательно смотрел, что именно написано на экране – Cat, Car или Let. Этот подход работал, однако оплата за каждую разгаданную надпись постепенно оказывалась слишком высокой. Представьте себе, что вы пытаетесь подобрать пароль к компьютеру другого человека. В некоторых случаях придется перебрать сотню тысяч различных комбинаций в поисках нужной вам. Даже если вы заплатите за эту работу десять долларов – не лучше ли купить за те же деньги десять украденных номеров кредиток?
А затем наконец наступил прорыв. Мошенники смогли использовать в своих интересах самую мощную силу в интернете. Именно эта сила заставила браузеры обновиться и начать показывать пользователям картинки. Именно этот джаггернаут позволил формату VHS одержать победу над Betamax. Это отрасль размером в миллиард долларов, породившая некоторые из самых прорывных достижений в технологии и производстве видео. Мы говорим о порнографии.
Банды киберпреступников начали создавать сайты с порнографией. Сами сайты были бесплатными – не нужно было ни регистрироваться, ни становиться членами сообщества. Все, что требовалось, – ввести несколько CAPTCHA, для того чтобы увидеть следующее изображение или видео. Схема была простой и гениальной. CAPTCHA брались с тех самых сайтов, которые преступники жаждали взломать. Как только их робот наталкивался на узкое место, связанное с CAPTCHA, он брал картинку с непонятным словом и размещал ее на заставке своего порносайта. На некоторых из этих сайтов даже существовало подобие контроля качества – они брали одну и ту же картинку CAPTCHA и показывали ее пяти различным охотникам за порно. Ответ считался правильным только тогда, когда все пять людей давали один и тот же ответ. По некоторым расчетам, на пике борьбы между порно и CAPTCHA за каждую пару минут ничего не подозревавшие и отлично мотивированные пользователи порносайтов решали до нескольких тысяч CAPTCHA. Такое решение позволило преодолеть узкое место. Причем оно актуально и сейчас – вне зависимости от того, насколько сложную CAPTCHA вы сделали, всегда найдется достаточно мотивированный человек, желающий бесплатно разгадать ее содержимое.