Gmail'in güvendiği CAPTCHA yerle bir oldu

Gmail'in sahte hesap yaratımını engellemek için güvendiği CAPTCHA yöntemi artık güvenli değil...

Okumak için: https://www.chip.com.tr/konu/Gmai ... bir-oldu_12358.html

Resimlerle: 10 ek hizmet ile çok daha güçlü bir Gmail

İstenmeyen e-postalar veya bilinen yaygın adıyla spam, çağımızın en büyük internet sorunlarından biri. Her gün milyarlarca spam gönderiliyor ve e-posta trafiğinin çok büyük bir kısmını oluşturuyorlar. Spam gönderen kişiler, filtrelere daha az takıldığı için Gmail gibi ücretsiz e-posta hesaplarını tercih ediyor. Gmail ise bu sorunla, yeni kullanıcı kaydında doğrulama gerektiren CAPTCHA metodu ile mücade ediyor.

Fakat yeni ortaya çıkan bir solucan, Gmail'in kullandığı CAPTCHA metodunu aşmayı başardı. W32.Gaptcha.Worm olarak adlandırılan solucan, kullanıcının bilgisayarına sızdıktan sonra bir Internet Explorer penceresi açıyor ve Gmail'in yeni hesap yaratma sayfasını yüklüyor. Bu sayfadaki bilgileri rastgele dolduran solucan, CAPTCHA ile karşılaştığında ise resmi kendi sunucusuna göndererek, metin karşılığını alıyor. Bu yöntemle bir bilgisayardan çok hesap yaratılınca Gmail otomatik olarak o bilgisayarı engelliyor ve solucan da bunun üzerine kendisini siliyor.

Daha sonra oluşturulmuş bu e-posta adres bilgilerini kendi sunucusuna gönderen solucan, buran spam göndermek için bu sahte e-posta adreslerini kullanıyor. Gmail yetkilileri şu ana kadar çok güvendikleri CAPTCHA yönteminin bu kadar basit bir şekilde geçilmiş olmasıyla ilgili henüz bir yorum yapmadılar ama sorunun büyümesi nedeniyle Google'dan yeni bir önlem gelmesi bekleniyor.

Tüm konu: Gmail'in güvendiği CAPTCHA yerle bir oldu

Resimlerle: 10 ek hizmet ile çok daha güçlü bir Gmail

Kaynak: www.chip.com.tr

Tartışıyoruz: Sizce CAPTCHA'dan daha güvenli bir yöntem kullanılabilir mi?

Ne kadar güvenlik olduğuna bağlı aslında. CAPTCHA oldukça can sıkıcı bir yöntem ama en basit insanın bile anlayabileceği bir sistem.

Daha güzel yöntemlerde var ama webmasterların düşünmesi gereken kullanıcı rahatlığı aynı zamanda.

Örneğin karşınıza basit bir sorular gelebilir.

"4 x 4" kaç eder? "Hangi para birimini kullanıyorsunuz" veya "8'de 3 çıkı kaç kaldı" gibi değişik soruların olduğu yöntemler mevcut.

Sonuçta bence ilkel bi yöntem zaten ama Selçuk abinin de bahsettiği gibi kullanıcı rahatlığını ön planda tutmak zorundalar webmasterlar.

Kendi mail adresine giden yolda,hackerlık oynamanın alemide yok.Sanırım bunuda iyi değerlendiriyorlar.

CAPTCHA biter MAPTCHA başlar."Kedi fare oyunu" gibi sürer durur.

AdRaMiTi

Aslında Çift aşamalı bir sistem olabilir.İzlekazan'da görmüştüm adamlar videoların başına ve sonuna kod özelliği getirmişler bitiminde hepsini birleştirip yazmanızı istiyor ve belli bir süre veriyor bunda.

Google'da böyle bir şey yapabilirim aslında ilk aşamada bir matematik işlemi sorar 19-9 = ?

İkinci aşamada ise belli bir karakter verip örnek : AdRaMiTi karakteri başa ilk aşamadaki işlem sonucu sona yazarak işlemi tamamlamasını isteyebilir.

AdRaMiTi10 Gibi =)

Güzel düşünceler Adramiti,
Ama sonu yok "kedi fare oyunu" devam ediyor.Sonuçta oraları sadece hackerlar yada kötü amaçlı insanlar değil,normal gündelik işerini yapmak isteyen kullanıcılarda kullanıyor.

Bence daha iyibişey olması lazım ne bilim;

Kullanıcılara digital imzalar türü gibi bişey birkere gircen
işlerini yapcan...Belki buda saçma oldu ama.

Zaten belki bi 3-5 sene sonra online göz taratması yaparsın
senin gözünse açar mailini.Hiç şaşırmam.

iyi de sonuçta google'ın captcha'sı kırıldıysa aynı yöntem daha pek çok sitede de işe yarar demektir yani şu an dünyada derin bir güven zaafiyeti var anlamına gelir bu...

Ben de şöyle birşey düşündüm. Sayfanın sol üst köşesinde veya sağda çıkacak şekilde her yeni hesap açımında background resim koysunlar. Kullanıcının girmesini istediği CAPTCHA background un içinde olsun. IMG yerine background daha güvenli olmaz mı?

en iyisi bankaların kullandıgı yöntem. Garantiye girmek için 3 defa şifre giriyorum.... Bazen sıkıyor ama güvenlik için iyi bir yöntem. Ayrıca resim dogrulama da var orda.
Resim dogrulama dedigim olay şu. İlk defa hesaba girerken yüzlerce ufak resim oluyor. Kendin bir tane resim seçiyorsun. Her girişte kendi resmini görmen gerekiyor.

Resim doğrulama olayının benzeri Yahoo Mail'de de var.

İyi de bu yöntemin aşılması zaten çok yeni ya da zor bir şey değil ki. Cryptload'da aşıyor Captcha'yı. Mesela MegaUpload kullanırken. Her zaman doğru tutturamasa da en fazla 3. denemesinde doğru kodu yazıp gönderiyor siz bilgisayarın başında değilseniz. Yoksa her seferinde sağ alt köşede resimle beraber tahmini yazdığı kod çıkıyor. O harfini 0 olarak algılama gibi hatalar yapıyor bazen. Siz düzeltiyorsunuz.

Belki evet,Belki hayır.

4 x 4" kaç eder? "Hangi para birimini kullanıyorsunuz" veya "8'de 3 çıkı kaç kaldı" gibi değişik soruların olduğu yöntemler mevcut.

ama bunun da kırılması kolay..

Matematiksel sorunun kırılması daha basit.

Karıştırılmış fontlarda bir yazı daha zor kırılır.

Sen şimdi resimde 4+4*5= ? ı mı rahatlıkla OSR den geçirirsin Yoksa orası burası karartılmış birleştirilmiş bir sistemi mi rhat geçersin.

ben matematikseli geçerim karmaşık olan daha zordur ama kırılır yinede.