Какие бывают проверки reCAPTCHA и как тест выбирает свою «жертву»
По данным исследователей компании Cloudfare, прохождение теста reCAPTCHA суммарно отнимает у пользователей интернета, которые с ним сталкиваются, около 500 лет жизни ежедневно. Среднестатистический человек проходит «капчу» около 30 секунд.
Сама технология — Completely Automated Public Turing Test to tell Computers and Humans Apart — появилась в далеком 2000 году. Уже тогда боты приносили немало проблем, особенно на форумах, поэтому специалисты американского университета Карнеги-Меллона написали скрипт-ловушку для ботов. Пользователю показывалось требование ввести символы с картинки зачастую искаженные: под разными углами, перекрытые помехами, искривленные, написанные разным шрифтом или регистром.
В отличие от человека, способного справиться с такой задачкой, боты не могли этого сделать, из-за отсутствия алгоритма работы со случайными искажениями.
Из технологии получилось извлечь максимум пользы. Одно время в качестве теста пользователям предлагалось ввести слово из неоцифрованного выпуска газеты. Каждый день количество расшифрованных слов достигало ста миллионов. Знакомые изображения автобусов, светофоров, тракторов, лодок, деревьев и гор были интегрированы в «капчу» только после 2007 года. Кадры, кстати, представляют собой отсканированные изображения, опубликованные в разных выпусках газеты New York Times.
У этого способа проверки есть свои минусы: иногда система просит найти трамвай, а на картинке — автобусы, крошечный кусочек светофора, оставленный в другом квадрате незамеченным, может заставить reCAPTCHA принять вас за злоумышленника. Необходимость проходить тест породила множество мемов и шуток среди пользователей социальных сетей.
С этической точки зрения считается, что сервис Google reCAPTCHA, в котором используются картинки и слова — возможность корпорации использовать пользователей в качестве бесплатной рабочей силы не только для оцифровки чего-либо, но и для обучения алгоритмов искусственного интеллекта. Например, решая ребус, где нужно выбрать из девяти квадратов все изображения светофоров, пользователь наверняка обучает систему автопилотов для автономных автомобилей.
Время от времени пользователи натыкаются на самый «совершенный» тест reCAPTCHA. Иногда достаточно проставить галочку в окошке «Я не робот», и система тут же отправляет вас на желаемый сайт без дополнительных ребусов. За такой проверкой скрывается искусственный интеллект, анализирующий движения вашего курсора. Боты по определению доведут курсор до окошка самым коротким способом из возможных, а человек — нет.
reCAPTCHA преследует вас по нескольким причинам. При частой смене IP-адресов требование подтвердить, что вы — не робот, будет появляться чаще. Некоторые расширения в браузере могут стать источником генерации подозрительного трафика с вашего устройства, который также не останется незамеченным «капчей».
Сейчас многие российские пользователи активно подключаются к VPN-сервисам, прежде чем выйти в интернет, что должно эффективно защитить вас от надоедливой просьбы отметить все картинки с котиками.
reCAPTCHA до сих пор остается самым дешевым способом защиты сайтов в интернете. Предположительно, в конце июня технология дала сбой
Руководитель группы по технической защите конфиденциальной информации Cross Technologies Раджабали Гаджиев объясняет, как именно CAPTCHA помогает защитить сайты от назойливых спам-ботов, которые могут принести много проблем как владельцам, так и посетителям этих сайтов.
Механизм позволяет избежать рассылки мошеннических сообщений/рекламы, публикации фальшивых отзывов, DDOS-атак, попытки взлома сайта с помощью подбора логина и пароля.
Эксперт подчеркивает, что, хотя разработчики и пытаются сохранить изначальный принцип «любой человек вне зависимости от возраста, образования, языка должен иметь возможность пройти reCAPTCHA», разгадывать подобные головоломки становится все сложнее. В то же время спамеры и хакеры при появлении нового вида капчи быстро находят способ обойти ее, используя алгоритмы машинного обучения и живых людей из развивающихся стран, которые за вознаграждение разгадывают ребусы весь день.
В 2014 году Google представила миру NO CAPTCHA reCAPTCHA, которая позволяет сократить взаимодействие пользователя и системы. Система анализирует поведение пользователя —перемещения мышки, куки, атрибуты браузера, закономерности трафика и другие факторы — чтобы определить, человек это или робот.
Часто пользователю даже не надо проходить подобный тест и кликать на картинки, потому что он уже выполнял его когда-то раньше и, если все описанные выше факторы не изменились, отпадает необходимость «мучить» посетителя сайта повторными тестами. «Данная тенденция набирает популярность, в отличие от усложняющихся тестов, так как разгадывание сложной reCAPTCHA отнимает больше нервов и времени, а роботы и спамеры ускоренно учатся обходить подобную защиту», — рассказывает Раджабали Гаджиев.
Юрий Акинин, СЕО Digex Co, объясняет сохраняющуюся необходимость в reCAPTCHA уязвимостями систем от автоматических агентов, имитирующих действия человека. Действия агентов могут проявляться в разных форматах: атаками на сервисы, алгоритмами перехвата заявок на биржах, попытками несанкционированно копировать информацию.
Методик эффективной борьбы с этим не так много. Пользователи входят в системы через программы и отличить человека от “робота” крайне тяжело. Наиболее дешевая с точки зрения соответствия цене качеству — семейство алгоритмов reCAPTCHA. Если в прошлом это было единственное средство проверки, сейчас — одно из многих.
С вводом reCAPTCHA пользователи сталкивались как в нулевые, так и в 2022 году. Кажется, что технологическое развитие, принципы машинного обучения и построения нейронных сетей должны быть превратить reCAPTCHA в пережиток, о котором могли бы помнить только интернет-старожилы. Тем не менее, ботов в сети не становится меньше, а нагрузка на различные базы данных растет пропорционально числу пользователей.
Об этом говорит Виталий Янко, управляющий партнер бюро ИТ маркетинга SoftwareLead.pro. По его мнению, команды разработчиков сайтов, чтобы защититься от атак, предпочитают использовать самый простой для них способ. Он подчеркивает, что в основе reCAPTCHA — алгоритм нечеткой отрисовки или озвучки несуществующих слов, сгенерированных компьютером, на сервисе хранения фото с образом определенных объектов.
Эксперт отмечает странную тенденцию: в конце июня сервис reCAPTCHA от Google временами не отвечал на запросы и не авторизовал пользователя, если речь шла об отправке коммерческих форм. «Даже отключение софта для приватного браузинга не помогает. Поэтому этот сервис перестал однозначно помогать разработчикам. Не все заявки проходят, не всех пользователей пускают в уже привычные им сервисы, защищённые reCAPTCHA».