На ежегодной конференции хакеров Defcon участники
двух дискуссий, посвященных эффективности систем распознавания ботов CATCHPA
пришли к одинаковому заключению – взлом таких систем вполне осуществим.
Простейшим способом является составление таблицы возможных комбинаций символов.
Например, система автоматического менеджмента содержания PHP-Nuke использует
шестизначный тест CATCHPA, не предусматривающий случайного порядка расположения
цифр, что означает ограниченное число возможных вариантов.
Даже
использование генератора случайных чисел ненамного повышает эффективность
системы. Более серьезные системы используют тест, включающий не только цифры,
но и символы алфавита, что значительно увеличивает число возможных комбинаций.
Однако достаточно обширный ботнет, по мнению специалистов, может взломать такую
защиту за считанные часы. Хакер знакомый с понятием расстояния Хемминга может
создать программу, для которой будет уязвим CATCHPA-тест на основе аудио файла.
Также программы оптического распознавания текста значительно облегчают задачу
создателям ботов.
Однако еще один вид CATCHPA, основанный на понимании
культурной информации, делает взлом с помощью оптического распознавания
трудновыполнимой задачей. Некоторые тесты предлагают исключить одно изображение
из набора картинок объединенных по какому-либо признаку (например, изображения
разных видов животных). Здесь на помощь приходит грубая сила: специалисты
утверждают, что создать достаточно большую библиотеку изображений, которую бы
нельзя было полностью скачать с помощью ботнета, довольно сложно.
