CAPTCHA er ikke noe problem for juksemakere!

Maskiner er gode til å bevise at de er mennesker!

Skrevet av: Morten Tollefsen, 13.4.12

MTB: Dette er min personlige blogg, og artiklene er mer løse i stilen enn på f. eks medialt.no.

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) brukes for å avgjøre om du er et menneske eller en maskin. Jeg har skrevet litt om hva dette innebærer av utfordringer for meg som blind i: Jeg kan ikke bevise at jeg er et menneske! Den vanligste formen for CAPTCHAer er utfordrende for mange andre enn blinde også: dyslektikere, mennesker med nedsatt kognitiv funksjonsevne, ... For å si det rett ut: CAPTCHA er noe dritt! Som forsker innen IKT vet jeg en god del om juks og fanteri! Jeg pleier imidlertid aldri å oppfordre til bruk av kodeknekkere, lisensjuks - og alt det andre som tenkes kan! Nå er jeg imidlertid så sur at jeg i det minste vil gi de som har samvittighet til det en liten pekepinn på hvordan CAPTCHAer kan knekkes. Om ikke annet, så fører det kanskje til mindre bruk!

Norsk tipping innviterte til "Gi drømmen en sjanse". Jeg var dum nok til å melde meg på! Da avstemningen startet oppdaget jeg at en CAPTCHA ble brukt for å avgi stemme. Dermed var både jeg og mange i mitt nettverk forhindret fra å stemme! Norsk tipping har senere beklaget, men jeg synes med  respekt å melde at aktører som har monopol på spill har et ansvar for å holde seg litt oppdatert om tilgjengelighet (vi har jo lovfestet dette i Norge til og med). Uansett jeg mobiliserte i øst og vest, og veldig mange stemte på drømmen min. Når resultatet kom var det imidlertid en annen kandidat som vant med over 67000 stemmer. De ni andre kandidatene (og mange av disse mobiliserte nettverket sitt) fikk under 30000 stemmer til sammen! Norsk tipping sier at leverandøren garanterer at resultatet er riktig, men det tror jeg absolutt ikke noe på! Det at et ønske som ikke er helt spesielt appellerende til folket får 20-30 ganger stemmene til gjennomsnittet av alle de andre er rett og slett utenkelig! Jeg vet konkret at det er jukset i tilsvarende avstemninger, men skal ikke spre detaljer om dette (mulig det blir noen sure miner på Vestlandet, da, hehe)!

CAPTCHA-knekking er ikke rakettforskning!

Prøv f. eks å søke på Google med "captcha cracker". Jeg prøvde nå og fikk: "Omtrent 33 300 000 resultater" Dette er altså ikke noe ukjent begrep!

Selv har jeg testet noen løsninger for å sjekke sikkerheten med CAPTCHA sammenliknet med andre autentiseringsmetoder. I en åpen blogg av denne typen har jeg ikke lyst til å si hvilke løsninger. Jeg var imidlertid så heldig at jeg fikk en kopi av en epost sendt til nettopp Norsk tipping. Her er et lite utdrag:

Man kan eksempelvis ta utgangspunkt i Iopus (http://www.iopus.com/imacros/). Når man lager dette programmet, så kan man legge inn en kode, som gjør at man meget enkelt kan benytte seg av forhåndskjøpt dekryptering (f.eks http://.www.deathbycaptcha.com) eller ett program som dekrypterer sømløst sammen med programmet man lagde med Iopus. (http://captchasniper.com).
En noe mer avansert metode kan være å bruke proxyservere(http://hidemyass.com/vpn/) som gjør at datamaskinen innenfor ønsket "delay" skifter ip-adresse, som gjør at det ser ut som hver stemme kommer fra forskjellige ip-adresser. Så hvis man da har en dedikert maskin til dette, som stemmer 4 ganger i minuttet, fra forskjellige ip-adresser, så kan man få 40320 stemmer på en uke som ser ut som unike stemmer.

For det første er det altså relativt enkelt å pøse på med stemmer der CAPTCHA er eneste kontroll (det er bare litt mer hassel enn om du hadde hatt kun en stem-knapp), og for det andre er det rimelig vanskelig å avdekke fusk (i alle fall dersom proxy benyttes). Skal fusk avsløres må det i alle fall finnes temmelig gode logger etc.

Dårlig taper, jeg?

Tja, det er jeg nok også, men dette er skrevet på oppfordring fra andre i tillegg til at jeg selv ønsket å gi de som blir utsatt for CAPTCHAER (særlig blinde og andre som faktisk ikke kan bruke kodene) ideer om hva som kan gjøres. Flere av de ni taperne har reagert på akkurat den samme måten som meg, og for alt jeg vet kan de til og med ha klaget til arrangøren? Selv var jeg ikke engang i nærheten av å prøve noe slikt i Norsk tippings konkurranse. Jeg antar at fokus på juks og fanteri er stort akkurat i Norsk tipping, og vi får håpe at sikkerheten og rettferdigheten er bedre i andre deler av virksomheten deres.