Самое горячее: Европа признала соцсети опасными (50); "Фобос-Грунт" уже не спасти (11); Мобильники убивают детей (26); ЕЩЕ >>
РАЗДЕЛЫ
Архив
« июнь 2020  
пн вт ср чт пт сб вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

Мыло против биороботов

Ноу-хау | 21.02.2008 01:15

На днях веб-почта Mail.ru ввела новую систему защиты от регистрации спам-ботов. Такую навороченную, что у некоторых граждан это вызвало удивление и даже усмешки. Поэтому мы решили рассказать о проблеме чуток подробнее.

Что думает Гуглобот

В начале этого года (на самом деле, еще в прошлом, но до СМИ дошло только в январе) спам-боты научились массово проникать в почтовые системы Yahoo, Microsoft Live и Google Mail, распознавая простые картинки-капчи, которые предлагаются на этих сайтах при регистрации, чтобы отличать роботов от людей. После публикации новости о взломе капчи на GMail мы попросили представителей Google Russia прокомментировать эту проблему. Вчера они наконец ответили:

"Наши инженеры знают об этой проблеме и работают над ее скорейшим разрешением. С момента запуска Gmail мы уделяем особое внимание безопасности системы, в том числе разработке инструментов для обнаружения спама и мер по предотвращению отправки и получения спаммерских сообщений. Мы неоднократно слышали мнения наших пользователей о том, что мощный спам-фильтр – это одна из тех вещей, которые им больше всего нравятся в Gmail".

Очевидно, нам ответил робот, который распознал наш вопрос, но сам не смог закосить под человека. А капча в Gmail так и не поменялась. Зато, когда наш главред получил этот ответ Гуглобота одновременно с сообщением о новой капче Mail.ru - он схватился за голову и сказал мне, что придется в конце концов написать про Mail.ru что-то хорошее. Что я и попробую сделать.

Человеческое звено

Для начала некоторые детали. О том, как распознавание простых картинок поставлено на поток, мы уже рассказывали. Спамерский бот распространяется как троян, то есть заражает компьютеры пользователей и оттуда атакует почту - скачивает капчу на вредноносный сервер, сервер распознает капчу и отдает боту, бот регистрирует ящик и начинает слать спам.

Но в этом описании не достает одного звена. Как именно происходит распознавание? Некоторые верят в супер-умные машинные алгоритмы. Но есть средство сильней и дешевле - тупая человеческая биомасса. Вот одно из типичных объявлений на форуме:

"Работа для студентов. Необходимы люди для распознования картинок, за каждые 1000 картинок платим 5$. По наблюдениям среднее время распознования 1000 картинок - 1 час, т.о. за день упорного труда вы можете заработать 60-70$".

На Западе подобная работа тоже рекламируется. Однако понятно, что для бедных россиян такие системы заработка более актуальны, и наши предприимчивые соотечественники пошли дальше Запада. В частности, на сайте www.look2earn.ru предлагаются программы, которые оптимизируют работу людей-распознавателей на сайтах Look2Earn.com, RabotaOnline.com, grand-sale-5.com и x999.info.

Более того, источники "Вебпланеты" сообщают, что как минимум один из этих сайтов напрямую связан с вышеупомянутым российским спам-ботом, который ломает капчи почтовых сервисов. Командный центр ботнета расположен на том же ресурсе, что и раздатчик заданий людям. Вот это и есть полная цепочка.

Головоломка от Mail.ru

В чем главная фишка, по-моему. Теперь для регистрации нового почтового ящика на Mail.ru требуется ввести не одно-единственное распознанное слово с картинки, а проделать целый ряд отдельных действий, выбирая значки из предложенной таблицы.

Еще граждане заметили, что значки похожи на знаки Зодиака или иероглифы, но это другая хитрость. Вообще, есть два разных тренда. Можно усложнять интеллектуальную задачу для пользователя - как сделали в Физтехе, где капча предлагает посчитать сопротивление небанальной цепи резисторов. Но механизм передачи ответа все равно остается простым - вбить одно число или слово в одну форму. Это значит, что при использовании распознавателей-людей систему все равно легко автоматизировать - достаточно передавать им одну картинку и получать в ответ одну строчку общеизвестных символов.

Другое дело, если предложить пользователю проделать несколько действий, да еще и с необычными объектами (а не с известными цифрами-буквами). Тогда спам-боту нужно будет имитировать всю последовательность, передавая туда-сюда все объекты и все ответы. А можно ведь еще замерять время между действиями - еще один критерий отлова роботов.

Почему же такие многоступенчатые тесты до сих пор не применялись? Очевидно, потому, что бизнес массовых сервисов требует роста аудитории. А это значит - вход должен быть легким. Теперь ситуация будет меняться, и новую капчу Mail.ru можно считать первой ласточкой.

Впрочем, это только мои домыслы. Вот что рассказал "Вебпланете" директор по проектам Mail.Ru Олег Ильичев:

- Новая капча - это ваша собственная разработка? Кто-нибудь еще из крупных веб-почт использует такую продвинутую систему?

- Разработка наша собственная. Нам неизвестны прямые аналоги. Однако о революционности идеи говорить мы бы не стали. По сути разница лишь в том, что человек набирает символы на виртуальной клавиатуре. Что дает возможность использовать в капче нестандартные символы. В остальном принцип "распознай и вбей" не изменен.

- Некоторые говорят, что вашу новую капчу не всякий человек сможет распознать. Тестировалась ли она на пользователях?

- Конечно. Было предварителное тестирование. Но самый главный результат - это статистика текущих регистраций, которую мы сейчас внимательно изучаем. Количество реальных, то есть выполненных людьми регистраций с внедрением капчи не изменилось.

- Насколько эта система защищена от передачи "третьей стороне" для распознавания и возврата? Помогает ли то, что в ней нужно передать передать не просто одно слово, а целую сессию действий?

- Наиболее важным в данной капче является не механизм ее обработки, а то, что мы имеем возможность использовать любой алфавит. Распознавание буквенно-цифровой капчи - проблема хорошо изученная. Существуют даже специальные сайты, готовые принять картинку и выдать ответ.

У нас же алфавит фактически бесконечен. За несколько минут мы можем заменить его на греческие буквы, изображения животных или, скажем, дорожные знаки. И над каждым таким символом спамерам придется поработать.

Технологические изменения тоже всегда идут на пользу. Ведь злоумышленникам надо адаптировать механизм регистраций, обучить систему, проапдейтить свои сети. На это уходит время.

- Помимо ботов, есть специальные люди, которые за деньги распознают множество картинок. Существуют ли альтернативные способы борьбы с такими "распознавательными социальными сетями"? Например, блокировка распознавальщиков по IP?

- Блокировка по IP конечно же есть. Но ничто не мешает злоумышленникам применять комплексные системы из людей и ботов. На долю людей приходится только распознавание, остальное все делает машина с помощью сети завирусованных и подвластных ей компьютеров в Интернете.

Мы не можем полностью побороть это зло. Если где-то есть человек, готовый регистрировать ящики, он конечно же это сделает.

Но "ручная работа" всегда дороже. Наша задача - не сделать лже-регистрации невозможными в принципе (это утопия), а сделать их как можно более дорогостоящими. Чтобы бизнес спамеров с использованием нашей системы стал неэффективным.

Могу добавить, что текущая версия капчи не является окончательной, пока она работает в тестовом режиме, мы смотрим на отзывы и на реакцию пользователей. Пока жалоб, кстати, просто мизерное количество.

Собственно, защита от автоматических регистраций, как борьба со спамом - это постоянный процесс. До введения этой версии капчи мы, например, пробовали использовать капчу, срок жизни которой был ограничен от момента начала ввода.

Другие ноу-хау

Последние комментарии
об издании | тур по сайту | подписки и RSS | вопросы и ответы | размещение рекламы | наши контакты | алфавитный указатель

Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.

хостинг от .masterhost