抵御垃圾邮件需要更强的CAPTCHA验证

      过去两年里垃圾邮件发送者们已经攻破了一些网站的CAPTCHA验证码(Completely Automated Public Turing Test to Tell Computers and Humans Apart ,全自动区分计算机和人的图灵测试),安全研究人员表示需要研究新的方法来对抗这些Spammer。微软公司也正在参与两项与CAPTCHA有关的研究项目。

  2008年报告最多的安全趋势之一就是被黑客攻破的CAPTCHA系统(基于Web的电子邮件服务中的系统),主要包括Yahoo和Gmail等电子邮件服务网站。

  由于垃圾邮件发送者逐渐掌握对付这些安全防御系统的方法,对于安全研究人员而言,当前最重要的事情就是加强这些安全防御系统的“战斗力”,让垃圾邮件无机可乘。

  通过绕过CAPTCHA测试(该测试旨在阻止自动机器答复),垃圾邮件发送者们就可以利用免费的web电子邮件服务系统方便地发送垃圾邮件,因为这些有信誉的域名不太可能会被垃圾邮件过滤器拦截。根据MessageLabs(现在隶属于赛门铁克公司)去年年底的报告显示,从Webmail帐户发送的垃圾邮件数量占了2008年9月垃圾邮件总量的四分之一,平均为垃圾邮件年总量的12%。

  垃圾邮件发送者们正在利用各种技术来实现滥发邮件的目的。有些垃圾邮件发送者利用“mechanical turks”来实现目的,该短语是指直接或者间接创建在线交易帐户的人。然而其他垃圾邮件发送者则依赖于某些破解CAPTCHA的工具,这也是CAPTCHA研究者们关注的领域。

  目前,微软公司正在努力加强其CAPTCHA系统的防御能力,使之既能方便用户使用又能抵御自动攻击。他们的改进包括新的图象扭曲逻辑、重叠字体以及动态监控,以实时观察攻击以便作出必要的调整。

  微软公司的研究人员同时在进行另外两项CAPTCHA相关的研究项目,其中一个名为Asirra,该测试要求用户辨别12张猫和狗的图片,这些图片来自Petfinder。另一个项目被称为Inkblot验证,其工作原理是要求用户利用随机生成墨迹型的图象形成语义词组,然后利用图象验证用户。

  这些项目都还没有具体产品开发的时间安排,不过目前一些公司已经开始使用Asirra技术作为原型技术。

  微软技术研究软表示,“对于那些不是CAPTCHA研究人员的人而言,设计有效CAPTCHA的主要挑战就是设计出方便人类使用同时阻止机器自动答复的测试。”

  挑战是双重的,他说,首先,必须有一种能够生成独特的测试内容的技术。第二,必须让系统能够很容易识别用户的CAPTCHA回答是否正确,即使CAPTCHA很难让机器识别。

  对于Asirra技术而言,目前数据库中大约存有4万张图片,包括所有曾经出现在Petfinder上的图片,而不仅仅是当前活跃的图片。

  “目前研究原型仅使用了数据库图片的一半图片,部分是因为我们还没有部署所有我们为Asirra设计的安全功能。如果有人攻击我们的现有版本,我们就可以部署更多的安全功能并切换到另一半的数据库图片,而不需要花费太长时间。”Douceur表示。

  另一种用于阻止垃圾邮件发送者的CAPTCHA测试利用的是动画文本,例如滚动的字母和数字等。

  Gartner的分析师Andrew Walls表示,“复杂的CAPTCHA都没那么容易识别,但是其他非自动化技术能够很容易被攻破。”

  “例如,在不同国家有很多提供CAPTCHA解决方案的外包商,”他补充说,“从好的方面来说,这样做增加了垃圾邮件发送者进行攻击的成本,从而加强了CAPTCHA机制的有效性。”

  “这些供应商们拥有解决CAPTCHA问题的员工团队,而这些CAPTCHA都是通过自动方式转交给团队的,”Walls表示,“想要攻破CAPTCHA的垃圾邮件发送者可以将试图进入受保护网站的代码放在一起,然后利用代码将CAPTCHA的副本转交给外包商取解决,几秒钟就能得到解决方案,然而CAPTCHA被攻破,垃圾邮件发送者将继续滥发邮件。”

  MessageLabs公司的高级分析师Paul Wood预测,在短期内大多数CAPTCHA技术还将保持不变,利用一些动画文字等方法。

  “随着网站将添加越来越多更丰富的功能,网站也将吸引更多黑客,因为黑客们可以利用网站的功能来作恶,”Wood表示,“如果保护这些网站的唯一方法是CAPTCHA,那么人们必将花功夫来研究对付CAPTCHA攻击的技术。”