Пользователи Интернета часто сталкиваются с «капчой». Например, вы регистрируете свой сайт в Google. Кроме URL и краткого описания вашего сайта, вам нужно -перед завершением регистрации - в специальное текстовое поле ввести цифры, изображенные на рисунке. Или, например, вы пытаетесь скачать нужный вам файл с файлообмеиного сервера. Для получения ссылки на файл, как правило, нужно ввести код, изображенный на картинке, и нажать кнопку «Далее».

CAPTCHA (от англ. Completely Automated Public Turing test to tell Computers and Humans Apart - полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей) - компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. Термин появился в 2000 г.

Технология САРТСНА была создана в 2000 г. учеными из университета Карнеги-Меллона (Carnegie Mellon University), ныне она применяется в WWW практически повсеместно.

Основная идея теста САРТСНА: предложить пользователю такую задачу, которую легко решает человек, но которую невозможно (или крайне трудно) решить компьютеру. Как правило, это задачи на распознавание зрительных образов.

САРТСНА чаще всего используется для предотвращения использования интернет-сервисов ботами, например, для предотвращения автоматической отправки сообщений, автоматической регистрации, автоматического скачивания файлов, автоматических массовых рассылок (спама)...

Что интересно: хотя САРТСНА предназначена для «отсеивания» компьютеров, тест проводит компьютер (точнее, программа, которая сравнивает ответ с правильным).

Варианты САРТСНА

В наиболее распространенном варианте САРТСНА от пользователя требуется ввести символы, изображенные на предлагаемом рисунке в искаженном виде (с добавлением «шума» или полупрозрачности).

Реже применяются САРТСНА, основанные на распознавании речи (как альтернатива для людей с нарушениями зрения).

Могут также применяться другие плохо алгоритмизуемые задачи, например: узнать, что находится на картинке, отметить все картинки с животными или ответить на вопрос, связанный со знаниями или менталитетом людей (например, «Сколько ног у курицы?» или «Как зовут российского президента?»).

Уязвимости защиты САРТСНА

При недостаточной квалификации веб-программиста ботнет может пройти тест САРТСНА без распознавания изображенных символов и картинок. В этом случае бот либо подменяет идентификатор сессии, либо по какой-либо информации, содержащейся на веб-странице, определяет, что изображено на картинке.

Если количество вариантов ответов невелико, ботнет может попытайся угадать ответ. Боты используют несколько параллельно выполняющихся потоков, благодаря чему производительность бота зависит только от полосы пропускания, отданной ему в распоряжение.

Если пользователь должен опознать картинку или ответить на вопрос, ботнет может попытаться каким-либо образом собрать базу данных всех имеющихся картинок (вопросов).

Существуют программы, распознающие конкретные реализации САРТСНА, к примеру PWNtcha. Кроме того, существует возможность подключать модули программ распознавания текста (например, FineReader) в программы для распознавания «картинок» САРТСНА.

САРТСНА различают по степени защиты: «сильная» САРТСНА и «слабая» САРТСНА. В числе «слабостей» - четкий фиксированный шрифт, фиксированное положение символов, отсутствие искажений, отделе-

ние символов от фона с использованием цветового ключа или размытия по Гауссу, легкое отделение символов друг от друга и т.д.

Иногда бывает, что «сильная» САРТСНА оказывается труднораспознаваемой и для человека. Иногда встречается САРТСНА, легко прочитываемая компьютером и нечитаемая человеком (например, САРТСНА с сильно размытой или неконтрастной картинкой).

Одним из методов обхода САРТСНА является сервис Captcha Exchange Server (запущен в марте 2007 г.). Этот сервис направлен на «обход» картинок САРТСНА, используемых файлообменными серверами. Принцип работы сервиса основан на системе баллов, которые пользователь может заработать, распознавая - в свободное время - картинки для других пользователей. Набранные баллы пользователь может потратить позже, запустив программу автоматического скачивания файлов с файлообменного сервера (при этом текущие «картинки» будут распознаны другими пользователями сервиса). Таким образом, пользователь может оптимизировать затраты своего времени (и денег), тратя набранные баллы в удобное время.

Несмотря на уязвимости, САРТСНА-защита очень популярна в Интернете.

Ну, а если мы проходим САРТСНА, значит, мы не роботы! Пока не роботы!..