抵御垃圾邮件需要更强的CAPTCHA验证

      过去两年里垃圾邮件发送者们已经攻破了一些网站的CAPTCHA验证码(Completely Automated Public Turing Test to Tell Computers and Humans Apart ，全自动区分计算机和人的图灵测试)，安全研究人员表示需要研究新的方法来对抗这些Spammer。微软公司也正在参与两项与CAPTCHA有关的研究项目。

　　2008年报告最多的安全趋势之一就是被黑客攻破的CAPTCHA系统(基于Web的电子邮件服务中的系统)，主要包括Yahoo和Gmail等电子邮件服务网站。

　　由于垃圾邮件发送者逐渐掌握对付这些安全防御系统的方法，对于安全研究人员而言，当前最重要的事情就是加强这些安全防御系统的“战斗力”，让垃圾邮件无机可乘。

　　通过绕过CAPTCHA测试(该测试旨在阻止自动机器答复)，垃圾邮件发送者们就可以利用免费的web电子邮件服务系统方便地发送垃圾邮件，因为这些有信誉的域名不太可能会被垃圾邮件过滤器拦截。根据MessageLabs(现在隶属于赛门铁克公司)去年年底的报告显示，从Webmail帐户发送的垃圾邮件数量占了2008年9月垃圾邮件总量的四分之一，平均为垃圾邮件年总量的12%。

　　垃圾邮件发送者们正在利用各种技术来实现滥发邮件的目的。有些垃圾邮件发送者利用“mechanical turks”来实现目的，该短语是指直接或者间接创建在线交易帐户的人。然而其他垃圾邮件发送者则依赖于某些破解CAPTCHA的工具，这也是CAPTCHA研究者们关注的领域。

　　目前，微软公司正在努力加强其CAPTCHA系统的防御能力，使之既能方便用户使用又能抵御自动攻击。他们的改进包括新的图象扭曲逻辑、重叠字体以及动态监控，以实时观察攻击以便作出必要的调整。

　　微软公司的研究人员同时在进行另外两项CAPTCHA相关的研究项目，其中一个名为Asirra，该测试要求用户辨别12张猫和狗的图片，这些图片来自Petfinder。另一个项目被称为Inkblot验证，其工作原理是要求用户利用随机生成墨迹型的图象形成语义词组，然后利用图象验证用户。

　　这些项目都还没有具体产品开发的时间安排，不过目前一些公司已经开始使用Asirra技术作为原型技术。

　　微软技术研究软表示，“对于那些不是CAPTCHA研究人员的人而言，设计有效CAPTCHA的主要挑战就是设计出方便人类使用同时阻止机器自动答复的测试。”

　　挑战是双重的，他说，首先，必须有一种能够生成独特的测试内容的技术。第二，必须让系统能够很容易识别用户的CAPTCHA回答是否正确，即使CAPTCHA很难让机器识别。

　　对于Asirra技术而言，目前数据库中大约存有4万张图片，包括所有曾经出现在Petfinder上的图片，而不仅仅是当前活跃的图片。

　　“目前研究原型仅使用了数据库图片的一半图片，部分是因为我们还没有部署所有我们为Asirra设计的安全功能。如果有人攻击我们的现有版本，我们就可以部署更多的安全功能并切换到另一半的数据库图片，而不需要花费太长时间。”Douceur表示。

　　另一种用于阻止垃圾邮件发送者的CAPTCHA测试利用的是动画文本，例如滚动的字母和数字等。

　　Gartner的分析师Andrew Walls表示，“复杂的CAPTCHA都没那么容易识别，但是其他非自动化技术能够很容易被攻破。”

　　“例如，在不同国家有很多提供CAPTCHA解决方案的外包商，”他补充说，“从好的方面来说，这样做增加了垃圾邮件发送者进行攻击的成本，从而加强了CAPTCHA机制的有效性。”

　　“这些供应商们拥有解决CAPTCHA问题的员工团队，而这些CAPTCHA都是通过自动方式转交给团队的，”Walls表示，“想要攻破CAPTCHA的垃圾邮件发送者可以将试图进入受保护网站的代码放在一起，然后利用代码将CAPTCHA的副本转交给外包商取解决，几秒钟就能得到解决方案，然而CAPTCHA被攻破，垃圾邮件发送者将继续滥发邮件。”

　　MessageLabs公司的高级分析师Paul Wood预测，在短期内大多数CAPTCHA技术还将保持不变，利用一些动画文字等方法。

　　“随着网站将添加越来越多更丰富的功能，网站也将吸引更多黑客，因为黑客们可以利用网站的功能来作恶，”Wood表示，“如果保护这些网站的唯一方法是CAPTCHA，那么人们必将花功夫来研究对付CAPTCHA攻击的技术。”

未经允许不得转载：DOIT » 抵御垃圾邮件需要更强的CAPTCHA验证