Captcha

Hoe past dit in het plaatje? http://blog.fili.nl/articles/the-anti-captcha-challenge/ http://blog.fili.nl/articles/wordpress-plugin-anti-captcha/
Hanno Wupper → Capita selecta Informatiekunde	Remove this comment when resolved!

Lead

Heeft u wel eens een aantal bijna onleesbare letters van een plaatje moeten overtypen voordat u een bericht kon plaatsen op het internet? Dan bent u mogelijk al bekend met de zogenaamde captcha's. Deze captcha's voorkomen onder andere dat online fora vol komt te staan met spamberichten. Zijn er misschien betere alternatieven dan het overtypen van tekst van bijna onleesbare plaatjes?

Achtergrond

Hackers kunnen computerprogramma's maken die acties kunnen uitvoeren die normaal door mensen worden gedaan. Een dergelijk computerprogramma kan bijvoorbeeld eenvoudig en snel duizenden reclameberichten plaatsen op diverse websites. Om de websites hiervoor te beschermen zijn captcha's uitgevonden. Het idee is dat je eerst een testje moet doen die een mens wel, en een computerprogramma niet of moeilijk op kan oplossen. Zo wordt er voor gezorgd dat deze computerprogramma's van hackers niet meer werken.

Het loont voor hackers om de computerprogramma's aan te passen zodat deze het testje ook kunnen doorstaan. Hackers kunnen namelijk geld verdienen met het plaatsen van spamberichten. In deze berichten staat vaak een link naar website waar je iets kunt bestellen. Als iemand de link aanklikt en daar iets besteld, dan krijgt de hacker geld. Als 1 op de 1000 mensen een spambericht aanklikt en vervolgens een product besteld loopt de hacker al binnen.

De captcha's worden steeds ingewikkelder om er voor te zorgen dat ze niet meer door programma's te lezen zijn. Het nadeel hiervan is dat ze hierdoor ook vaak moeilijker door mensen te lezen zijn. Zijn er geen betere methodes dan moeilijk leesbare tekst over te typen om een onderscheid te kunnen maken tussen mensen en computerprogramma's?

De klassieke captcha

Op internet zijn er verschillende soorten captha's te vinden. Een groot deel hier van is een eigen implementatie van een captcha, zoals de captcha van phpBB en de "officiële" captcha van captcha.net.

De eerste vorm van captcha begon in eerste instantie in de vorm van een aantal letters die over moesten worden genomen in een invoerveld. Soms waren deze letters echter dermate moeilijk te lezen, dat de betreffende dienst voor mensen soms ontoegangelijk werd. Ook moeten de visueel gehinderde mensen niet vergeten worden. Hiervoor moet ook een oplossing bedacht worden. Daarom is later de "Audio challenge" toegevoegd aan veel van de captcha's. De audio challenge neemt een deel van het probleem weg voor mensen die de captcha moeilijk of niet kunnen lezen. Bij de audio challenge wordt een geluidsfragment afgespeeld met een bepaalde zin. Het doel is dat de gebruiker de zin die wordt voorgelezen invoert. Helaas blijkt deze manier ook niet dé oplossing voor dit probleem te zijn, omdat een groot deel van de zinnen erg slecht kan worden verstaan. Daarnaast wordt er bij deze audio challenge (nog) geen rekening gehouden met verschillende talen. De audio challenge kampt eigenlijk met dezelfde problemen als de normale visuele challenge.

Nadat de eerste captcha's waren gekraakt en ze steeds ingewikkelder en moeilijker leesbaar werden, is men alternatieven gaan zoeken.

Alternatieve methoden

Logische vragen

Bij een dergelijke captcha krijg je tekstuele vragen waarbij de gebruiker een simpele rekensom, bestaande uit een tweetal getallen optellen, aftrekken of vermenigvuldigen, moet oplossen. Het resultaat van de som moet worden ingevuld. Denk bijvoorbeeld aan "Wat is vier plus zeven?".

Een anders simpele vraag is "Dinsdag, geel en paars: hoeveel kleuren in de lijst?", waar de gebruiker antwoord op moet geven. Voor de gebruiker is dat gemakkelijk te doen, maar een computerprogramma moet echter deze vraag juist interpreteren om de vraag te kunnen beantwoorden.

Deze captcha's zijn echter makkelijker te kraken dan de klassieke variant en moet dus alleen gebruikt worden als een eerste beveiligingslaag.^[1]

Bewegende beelden

Israëlische onderzoekers hebben geprobeert verbeterde captcha's te ontwikkelen door gebruik te maken van bewegende beelden. Je ziet in de beelden bijvoorbeeld een simpel getekend paard en het beeld wordt opgevuld met ruis. Een toepassing van deze vorm captcha zou bijvoorbeeld kunnen zijn dat de gebruiker moet omschrijven wat hij of zij in het filmpje waarneemt. Op een individueel plaatje zie je alleen maar ruis, maar als je de beelden achter elkaar zet is te zien dat er een paard door het beeld loopt. Hier wordt gebruikgemaakt van de unieke eigenschap van het menselijk brein dat uit ogenschijnlijk onsamenhangende delen een samenhangend geheel kan worden herkend.^[2] Dit is erg moeilijk na te bootsen in een computerprogramma.

Een voorbeeld van het omzetten van een 3D-object naar een dergelijke captcha. Dit is slechts één beeld van een filmpje die wordt omgezet. Uit het laatste beeld valt moeilijk af te leiden dat het om een tijger ging, maar als men de omgezette beelden achterelkaar plakt, kunnen we met enige moeite waarnemen om wat voor een 3D-object het in eerste instantie om ging: een tijger in dit geval. De gebruiker zal dus het woord tijger in moeten vullen in een tekstvak om te bewijzen dat we niet met een computerprogramma te maken hebben.

Technische oplossingen

Er zijn ook een aantal technische oplossingen beschikbaar. Een van de betere oplossingen op dit gebied zijn de zogenaamde "Honeypots"^[3]. Het idee van deze oplossing is dat er een aantal verstopte velden aan een formulier worden toegevoegd. Een bot zal alle of een deel van deze velden invullen, een mens echter niet omdat de velden zijn verstopt. Als de velden zijn ingevuld kunnen we de conclusie trekken dat we mogelijk met een bot hebben te maken.

Juridisch

Naast alle mogelijke technische oplossingen, kan men ook op een ander niveau de oplossing zoeken: op juridisch niveau. Sinds 1 juli 2009 mag er in Nederland geen spam meer worden verstuurd naar bedrijven^[4]. Er was al eerder een verbod voor het spammen van consumenten. Met deze nieuwe wetgeving wil de regering het spammen van zowel bedrijven als consument tegen gaan. Mocht men toch spam versturen, dan kan de verzender van de spam berichten een aanzienlijke boete verwachten.

Recentelijk is zelfs een Hyves gebruiker een aanzienlijke boete opgelegd, omdat deze gebruiker spam verstuurde via Hyves aan andere Hyves gebruikers^[5].

Op dit gebied kan er ook een oplossing worden gevonden voor het spammen van bijv. fora, gastenboeken, etc. Het is niet ondenkbaar dat er in de toekomst een dergelijke wet word aangenomen aangezien spam steeds minder getolereerd word.

Helaas kunnen we dit niet mondiaal afdwingen, de Nederlandse wetgeving geld niet in het buitenland. Mocht er vanuit India spam worden verstuurd, dan kan de Nederlandse regering hier op juridisch vlak vrij weinig tot niets aan doen. Dit kan worden vergeleken met de torrentsite The Piratebay. Zowel in Zweden^[6] als in Nedereland^[7] werd de site aangeklaagd wegens het vertrekken van koppelingen naar illegale media. In Nederland moest een advocaat de Piratebay vertegenwoordigen, anders zou de eis van Brein direct worden ingewilligd.

Ideale methode

De alternatieve methode moet voldoen aan een aantal eisen.

• Een mens in staat zijn om een bepaalde taak uit te voeren die moeilijk of bijna niet op te lossen is voor een computer
• De taak moet binnen 10 seconden uit te voeren zijn
• De taak moet in 99% van de gevallen de eerste poging slagen
• Er moet rekening worden gehouden met de toegankelijkheid van de captcha. Mensen die audio- of visueelgehinderd zijn, moeten ook toegang kunnen krijgen tot de betreffende dienst.

Rol van informatiekundigen

De klassieke captcha's die nu nog overal gebruikt worden om de haverklap gekraakt.^[8] Er is een constant gevecht gaande tussen makers en de krakers van de captcha's. Door dit gevecht worden de captcha's steeds ingewikkelder gemaakt en worden ze ook steeds moeilijker voor de gebruikers om ze in te vullen. En toch blijven captcha's nodig om spam te voorkomen. Dat is een conflict waar wij als informatiekundigen een grote rol kunnen hebben in het oplossen van het probleem. Wij zitten als informatiekundigen tussen de gebruikers en de technici in, een ideale plek, aangezien we kennis hebben van beide werelden.

Als informatiekundige zouden we naar nieuwe oplossingen kunnen zoeken die voorkomen dat onze diensten onder worden gespamd. We kunnen niet alleen op technisch niveau kijken wat de mogelijheden zijn, maar ook op juridisch niveau. Er worden steeds nieuwere methoden ontwikkeld om spammers buiten de deur te houden, daarintegen worden er ook nieuwe methoden ontwikkeld om dergelijke systemen te omzeilen. Dit zal altijd een tweestrijd blijven tussen beide partijen.

Er zou een onderzoek kunnen worden gedaan naar hoe effectief het email spamverbod uiteindelijk is geweest met de juridische gevolgen die dit voor een spammer heeft. Schikt dit de spammer af en heeft dit tot gevolg dat de spammer minder tot geen spam meer verstuurd? Wat als we de juridische gevolgen internationaal door gaan voeren, wat voor een effect heeft dit? Mocht dit toch effect hebben op het versturen van dergelijke berichten, dan is het misschien mogelijk om deze juridische gevolgen ook aan het spammen van fora's e.d. te hangen waardoor de captcha misschien wel overbodig word.

De focus van de informatiekundigen ligt op dit gebied voornamelijk naar het onderzoeken van zowel technische als niet technische oplossingen en met name een les trekken uit reeds bestaande oplossingen tegen spammen. Waarom werken dergelijke methoden nu juist wel of niet?

Er is al veel onderzoek gedaan naar captcha's. Er zijn dan ook een aantal veelbelovende nieuwe vormen bedacht. Toch gebruiken de grote bedrijven (Google, Microsoft) nog allemaal de klassieke captcha, waarvan ze weten dat deze al gekraakt is of binnen afzienbare tijd gekraakt wordt. Het wordt tijd dat veelbelovende nieuwe captcha's uitgebreider en op grote schaal onderzocht worden. Als duidelijk is dat mensen de captcha eenvoudig kunnen oplossen en het voor computerprogramma's moeilijk is, zal uiteindelijk een groot bedrijf de stap moeten nemen om het te implementeren. Eigenlijk is ook vreemd dat bijvoorbeeld Google niet begint met een nieuwe vorm van captcha (al zijn ze wel met onderzoek bezig). Bij webmailprovider Gmail van Google worden door programma's nieuwe gebruikers geregistreerd die vervolgens spam versturen. Genoeg motivatie voor Google zouden we zeggen...

Een permanente oplossing is eigenlijk niet mogelijk, het spammen en het spam vrijhouden van diensten blijft altijd een tweestrijd op technisch niveau. Om een permanente oplossing te vinden moet met op verschillende niveau's onderzoeken wat de mogelijkheden zijn. Aangezien een informatiekundige niet jurdisch geschoold is, zou er een onderzoek door een rechten stundent gedaan kunnen worden om dit probleem op juridisch niveau aan te pakken. De informatiekundige zou in de tussentijd kunnen onderzoeken welke captcha's het meest effectief en gebruiksvriendelijk zijn. Er zijn op dit moment erg veel ideeën over hoe de nieuwe captcha vormgegeven moet worden, maar welke methode is het meest gebruiksvriendelijk en is het meest bestand tegen spammers.

Beeld

Bovenstaand een afbeelding, waarvan de eerste zin is gescand uit een boek. Vervolgens probeert de computer door middel van Optical Character Recognition (OCR), de zin te lezen en de karakters om te zetten in tekst. In de bovenstaande afbeelding leest de computer de tekst in als: "niss aged pntkm at society were distinguished frow.". Als wij de zin lezen, dan gebruiken we onderandere onze kennis van een taal om de zin te begrijpen en om te zetten naar tekst, wij zetten de tekst om in: "This aged portion of society were distinguished from". Dit is voor ons een relatief makkelijke klus, terwijl de computer de zin verkeerd om zet in tekst.

Emergence

Bronnen

Artikel 1

Bron: RotCaptcha

Abstract
"We present a novel CAPTCHA which requires users to adjust randomly rotated images to their upright orientation. Previous research has shown that humans can achieve accuracy rates above 90% for rotating high resolution images to their upright orientation, and can achieve a success rate of approximately 84% for thumbnail images [27]. However, rotating images to their upright orientation is a difficult task for computers and can only be done successfully for a subset of images [15][19]."

Relevantie

• Onderzoek van Google, naar een nieuwe vorm van Captcha
• Deze Captcha lijkt totaal niet op de Captha's die we tot nu toe zijn tegen gekomen
• Deze vorm is erg gemakkelijk op te lossen door mensen, moeilijker voor computers
• Bijzonder bij deze vorm is dat er in het onderzoek is nagedacht over het gebruik op mobiele telefoons

Artikel 2

Bron: http://graphics.stanford.edu/~niloy/research/emergence/emergence_image_siga_09.htm| Emergence

Abstract
"Emergence refers to the unique human ability to aggregate information from seemingly meaningless pieces, and to perceive a whole that is meaningful. This special skill of humans can constitute an effective scheme to tell humans and machines apart. This paper presents a synthesis technique to generate images of 3D objects that are detectable by humans, but difficult for an automatic algorithm to recognize. The technique allows generating an infinite number of images with emerging figures. Our algorithm is designed so that locally the synthesized images divulge little useful information or cues to assist any segmentation or recognition procedure..."

Relevantie

• Totaal andere vorm van Captcha
• De haalbaarheid van deze implementatie moet nog worden getest. Deze vorm zou bijvoorbeeld moeilijk toegepast kunnen worden op mobiele telefoons

Artikel 3

Bron: http://www.captcha.net/

Abstract
"A CAPTCHA is a program that protects websites against bots by generating and grading tests that humans can pass but current computer programs cannot."

Relevantie

• Dit is dé "officiële" Captcha site. De uitvinder demonstreert hier zijn eigen implementatie

Artikel 4

Bron: http://www.nytimes.com/2002/12/10/science/human-or-computer-take-this-test.html?sec=technology

Abstract
"His concern was more than academic. Rogue computer programs masquerading as teenagers were infiltrating Yahoo chat rooms, collecting personal information or posting links to Web sites promoting company products. Spam companies were creating havoc by writing programs that swiftly registered for hundreds of free Yahoo e-mail accounts then used them for bulk mailings..."

Relevantie

• Interresant artikel waarom de Captcha is ontwikkeld door zijn grondleggers op de Carnegie Mellon University

Artikel 5

Bron: http://www.groundreport.com/Business/Protect-your-users-with-CAPTCHA-codes_1/2911889

Abstract
"By adding a CAPTCHA code to your website, you would essentially be adding an element that makes an automated attack impossible. Since CAPTCHA codes cannot be processed mechanically, all automated attacks would fail and the restricted content is safe from illegal access..."

Relevantie

• Uitleg van de werking en het doel van een Captcha

Artikel 6

Bron: http://webwereld.nl/nieuws/48466/hackers-gebruiken-striptease-om-captcha-s-te-kraken.html

Abstract
"Beveiligingsbedrijf Panda Security ontdekte afgelopen week een nieuwe vorm van social engineering die inspeelt om de primaire driften van de man..."

Bron: http://webwereld.nl/nieuws/52541/bendes-outsourcen-ook-kraken-captcha-s.html

Abstract
"Beveiligingsbedrijf Panda Security ontdekte afgelopen week een nieuwe vorm van social engineering die inspeelt om de primaire driften van de man..."

Relevantie

• Nieuwe manier om de Captcha te omzeilen die erg moeilijk is te omzeilen

Voorbeelden van moeilijk oplosbare Captha's

• http://blog.fili.nl/articles/the-anti-captcha-challenge/
• http://blog.fili.nl/articles/wordpress-plugin-anti-captcha/
• http://www.manolith.com/2009/11/10/17-awesome-captchas/

Referenties