雅虎邮箱账号防自动注册验证码系统被攻破

2008年02月28日 08:27  赛迪网
作者:Thomas Claburn 文/刘亚萌 译
 
如果一个新的应用软件被公布到网络上,它可能会迫使雅虎和其他公司花费更多资金,用在防御垃圾广告邮件的发送者上。
雅虎公司可能很快就会看到从雅虎的信箱账号里发出的汹涌而出的垃圾广告邮件。
自称是俄罗斯安全研究员的John Wane,已经公布了一个软件,他声称这个软件可以击败雅虎正在使用的,用来阻止免费雅虎信箱账号被自动注册的验证码系统。
验证码测试代表着完全自动化的,能够区分出计算机和人类的公众图灵测试。它是这样一种技术,它呈现出只能被人类识别而不能被机器识别的扭曲的图形文本。
如谷歌,微软和雅虎这样的大型电子邮件服务提供商,在用户申请新的信箱账号时提示验证码图形,以确定存在于注册信息后面的是一个真实的人。这些公司这么做是为了打击垃圾广告发送者,使他们不能使用自动程序来注册数以千计的免费在线账号来发送垃圾广告。
验证码测试同样被用在阻止博客里的和其他在线论坛里的垃圾广告,自动作弊投票的在线调查,和自动猜测密码的网络攻击中。
“几个月以前,我们收到信息,显示雅虎的验证码认证系统处在识别率大约30%的糟糕状态,”Wane在一篇发表出来的博客文章中说到。“所以我们决定进行几个实验。我们研究了雅虎的验证码系统,设计了一个相似的有着更好的识别率的系统(识别率约为35%)。”
有各种各样的自动方法可以用来击败验证码测试系统,但是被谷歌,微软和雅虎使用的验证码测试系统仍保留着使计算机难于击破它们的地方。
如果这个软件能够象广告中说的一样工作,虽然现在尚不清楚它是否能够做到,那么它就会迫使雅虎和其他的公司花费更多的资金在抵御广告垃圾上面。
“我们知道向着验证码图形的自动化解决方案的尝试,并继续为此以及其他防御方法的改进而工作着。”一名雅虎的发言人在一封电子邮件中声称。
IronPort公司的产品战略经理John Orbeton表示,如果该软件运行有成效,“它就可以用来使用在垃圾广告上。它还可以用在钓鱼式攻击上。这取决于攻击者的动机。”该软件声称的成功率为35%,他说,“这已经可以创建数量惊人的电子邮件账号了。”
这真是很讽刺,Orbeton补充道,正在被使用在防御目前产生的图片垃圾广告中的图形辨认技术,应该被广告垃圾制造者使用以创造更多的垃圾广告。
现在并不是因为现有的东西有什么缺陷。“在2007年我们看到垃圾广告量增加了百分之百,”Orbeton说。“现在整个地球上每个人每天能收到20个垃圾广告信息,不管他们有没有电子邮件信箱。”
(责任编辑:李磊)

你可能感兴趣的:(情感,职场,休闲,垃圾邮件,邮箱帐号)