Što je CAPTCHA? Kako zna da nisi robot?

Zašto web stranice koriste CAPTCHA? Odakle uopće dolazi ta zaštita? I zašto je to tako česta pojava?

Svaka web stranica može biti meta cyber napada, digitalnog zlostavljanja i botova koji prikupljaju osobne podatke posjetitelja u zlonamjerne svrhe. CAPTCHA je osmišljena za zaštitu od takvih zloporaba i napada robota.

Čak i u redakciji pri registraciji računalo provjerava jesmo li robot ili čovjek. Ponekad samo trebamo označiti okvir, a ponekad trebamo pronaći sve fotografije na ekranu s hidrantom ili nečim sličnim. Zašto ova razlika, saznat ćete u nastavku.

Što je uopće CAPTCHA?

CAPTCHA je akronim za "Potpuno automatizirani javni Turingov test za razlikovanje računala i ljudi". Jednostavno rečeno, to je nasumični test s izazovom i specifičnim rješenjem koje web stranice koriste za obranu od napada. 40 % cjelokupnog globalnog online prometa čine "botovi", tako da možete lako zamisliti štetu koju mogu napraviti. Ako ih prepoznate od samog početka i pustite samo ljude na web mjesto, možete si uštedjeti mnogo problema.

Kako se CAPTCHA tehnologija razvila?

Prvi CAPTCHA testovi pojavili su se krajem 1990-ih i sastojali su se od iskrivljenih slika s kombinacijom slova i brojeva. Tehnologiju je razvilo nekoliko različitih skupina s ciljem lakšeg suprotstavljanja botovima i hakerima. Sjećate li se tražilice AltaVista? Njihovi programeri željeli su spriječiti robote da dodaju zlonamjerne web adrese u bazu podataka.

Sam pojam CAPTCHA prvi put je korišten 2003. godine od strane grupe istraživača informatike sa Sveučilišta Carnegie Mellon. Poticaj njihovom razvoju dao je govor direktora tadašnjeg giganta Yahooa koji je govorio o problemima s paucima koji su kreirali milijune lažnih e-mail adresa.

Grupa istraživača napravila je računalni program koji je prvo generirao nasumični tekst, zatim generirao iskrivljenu sliku tog teksta (koja se zvala CAPTCHA) i na kraju tražio od korisnika da to riješi i klikne na "Nisam robot" okvir. U to vrijeme tehnologija optičkog prepoznavanja znakova (OCR) nije mogla dešifrirati ovu jednostavnu zagonetku, pa su roboti kao oklada pali na CAPTCHA testu. Ubrzo nakon toga, Yahoo je od svojih korisnika zahtijevao da prođu CAPTCHA test prije prijave na adresu e-pošte. Pad broja botova potaknuo je i druge tvrtke da uvedu CAPTCHA zaštitu.

Međutim, hakeri su neizbježno razvili algoritme koji su mogli pouzdano zaobići novu zaštitu. Ova bitka traje do danas.

reCAPTCHA v1 - nadogradnja koja nije uspjela zaustaviti botove

Godine 2007. Luis von Ahn, član izvornog tima koji je razvio CAPTCHA sustav, predstavio je reCAPTCHA v1, s kojom je želio otežati posao hakerima i poboljšati točnost optičkog prepoznavanja znakova koji se koristi za digitalizaciju tiskanih tekstova. Hakeri su došli do još iskrivljenijih slika, a ubrzo su i riječi prekrižene.

Poboljšao je OCR zamjenom jedne slike nasumično generiranog iskrivljenog teksta s dvije iskrivljene slike riječi koje su skenirane iz stvarnog teksta pomoću dva različita OCR programa. Prva riječ, ili kontrolna riječ, bila je riječ koju su ispravno prepoznala oba OCR programa; druga riječ bila je riječ koju OCR program nije prepoznao. Ako je korisnik ispravno identificirao kontrolnu riječ, program reCAPTCHA pretpostavlja da je korisnik čovjek.

Dvije godine kasnije, Google je intervenirao, kupio novu tehnologiju i upotrijebio je za digitalizaciju tekstova za Google knjige i licencirao je drugim tvrtkama. Istodobno, razvoj OCR tehnologije bio je na mlin hakerima, koji su njome marljivo razvijali napredne algoritme koji su počeli uspješno rješavati nove reCAPTCHA izazove. Godine 2012. pojavili su se problemi s reCAPTCHA slikom koji bi mogli prevariti OCR, a istovremeno bili prilagođeniji mobilnim uređajima.

reCAPTCHA v2 - bolja, ali invazivna za korisnike

Druga verzija (reCAPTCHA v2 ili bez CAPTCHA reCAPTCHA) potpuno je eliminirala izazove vezane uz tekst i slike. Umjesto toga počeo se koristiti jednostavni potvrdni okvir "Nisam robot", a iza scene reCAPTCHA v2 analizira interakcije korisnika s web stranicama, koliko brzo korisnik tipka, a također analizira kolačiće, povijest uređaja i IP adresu . Također prati pokrete miša. Korisnici kojima je sustav sumnjiv dobivaju CAPTCHA izazov, dok ostali mogu nastaviti s pregledavanjem.

Ova novija zaštita ima nekoliko nedostataka. Budući da se uvelike oslanja na kolačiće, prijateljskiji je prema korisnicima preglednika Chrome i onima koji su prijavljeni s Google računom. Na primjer: korisnici Firefoxa (ili Brave, Opera...) koji su isključili kolačiće trećih strana imaju veće šanse dobiti CAPTCHA izazov.

Međutim, s napretkom umjetne inteligencije, botovi mogu riješiti čak i najnaprednije reCAPTCHA izazove. Zlonamjerni ljudi također si mogu pomoći s ovim CAPTCHA farmama, koje su automatizirana usluga u kojoj programeri botova koriste jeftinu ljudsku radnu snagu za rješavanje CAPTCHA izazova.

Bilo je više nego očito da postojeća zaštita nije dostatna.

reCAPTCHA v3 – još veće oslanjanje na AI

Treća nadogradnja u potpunosti uklanja potvrdni okvir "Nisam robot" i još se više oslanja na umjetnu inteligenciju i njezinu sposobnost analize čimbenika alarma. reCAPTCHA v3 integrira se s web stranicom putem JavaScript API-ja i radi u pozadini. Ocjenjuje korisnike na ljestvici od 0 (bot) do 1 (ljudi) na temelju njihovih radnji na mreži. Vlasnici ili administratori web stranica mogu postaviti automatske radnje koje se pokreću ako reCAPTCHA prepozna potencijalnog bota. Na primjer, može zahtijevati višefaktorsku autentifikaciju prije prijave na profil, komentar na forumu prvo mora odobriti moderator i tako dalje.

Metoda je više prijateljska prema korisnicima koji niti ne znaju da se ova vrsta zaštite implementira u pozadini. No, pitanje privatnosti ovdje je uvijek prisutno, au isto vrijeme s novom generacijom više posla imaju web administratori koji moraju odlučiti gdje je prag za određeni odgovor.

Za što se koristi CAPTCHA?

• Sprječavanje lažnih registracija koje botovi iskorištavaju sustav za slanje neželjene pošte, zlonamjernog koda i drugih cyber aktivnosti.
• CAPTCHA se na nekim mjestima koristi za zaštitu od sumnjivih transakcija. Prije mnogo godina imali smo krizu čipova, koju su botovi iskoristili, primjerice, za kupnju većih zaliha grafičkih kartica koje su onda prodavali po skupljim cijenama.
• Online ankete, biračka mjesta, ankete često su meta botova koji žele iskriviti rezultate.
• Prevaranti i kibernetički kriminalci često koriste komentare i recenzije proizvoda za širenje prijevara i malwarea ili za umjetno podizanje ranga određenog proizvoda u online trgovini (Amazon, eBay...).

Primjera korištenja je mnogo, no zajednička im je borba s botovima, koje zlobnici koriste jer se žele okoristiti na račun online posjetitelja. CAPTCHA nije neprobojna zaštita, ali je bez sumnje važna za integritet weba i njegovih posjetitelja.