Một nhà nghiên cứu bảo mật đã đưa ra lời cảnh báo rằng ông có thể bẻ khoá để vượt qua được hệ thống phòng chống đăng nhập tự động CAPTCHA của Yahoo. Hacker có thể tận dụng công cụ bẻ khóa này để phát tán thư rác với số lượng lớn.

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) là một hệ thống được sử dụng bở Yahoo, cũng như Google, Microsoft và nhiều nhà cung cấp dịch vụ khác nhằm ngăn chặn hacker đăng nhập vào hệ thống một cách tự động để gửi thư rác (spam) và ăn cắp password.

Hệ thống sẽ đưa ra một chuỗi các ký tự ngẫu nhiên dưới dạng hình ảnh mà các phần mềm nhận dạng hình ảnh không thể nhận ra. Chỉ có người sử dụng mới có thể đọc được và nhập những ký tự này để đăng nhập vào hệ thống.

Đã có nhiều cố gắng khác nhau để đăng nhập vào hệ thống CAPTCHA, phần lớn được thực hiện bởi các spammer, nhưng hệ thống CAPTCHA của Yahoo cho đến nay được xem là hệ thống khó bị xâm nhập nhất. Nhiều website cung cấp công cụ bẻ khoá CAPTCHA thông báo rằng Yahoo hầu như không thể bị bẻ khoá.

Tuy nhiên, trong tuần này, một lập trình viên với bút danh "John Wane" tự nhận là một nhà nghiên cứu bảo mật người Nga đã tung lên mạng mã của phần mềm bẻ khoá mà ông ta cho rằng tỉ lệ thành công khoảng 35%. Nhà nghiên cứu này nói ông đã cảnh báo tới Yahoo nhưng chưa nhận được hồi âm từ hãng này.

“Công cụ bẻ khoá này có thể được sử dụng bởi những kẻ gửi thư rác (spammer). Họ sẽ đăng ký những địa chỉ email chỉ nhằm mục đích gửi thư rác và vượt qua các hệ thống chống spam mà Yahoo cung cấp”, nhà nghiên cứu trên cho biết .

“Không cần thiết phải xây dựng một công cụ bẻ khoá hoàn toàn chính xác. Với một tỉ lệ chính xác khoảng 15% cũng đủ cho những kẻ tấn công, vì chúng có thể thử 100 000 lần trong một ngày”, ông cho biết thêm.

Trong một bài phát biểu, Yahoo cho biết họ đã nhận thức được sự nguy hiểm của những đợt tấn công từ bên ngoài vào hệ thống CAPTCHA, và đang cố gắng làm việc để cải thiện hệ thống này và nhiều công cụ bảo vệ khác.

Forrester nói rằng gần đây những spammer đang sử dụng nhiều hơn chiến thuật trí thông minh nhân tạo để gửi thư rác tới những nạn nhân. “Sự bùng nổ của đại dịch thư rác chỉ là phần nổi của tảng băng, khi mà những spammer sử dụng đến trí tuệ nhân tạo để gửi spam”, Forrester cho biết thêm.

Cách duy nhất để tránh những làn sóng lặp đi lặp lại của thư rác sử dụng trí tuệ nhân tạo là những nhà cung cấp dịch vụ và khách hàng của họ thay thế những bộ lọc nặng nề hiện nay bằng một chiến thuật mới đi từ phần gốc của vấn đề.

Minh Hữu (Theo ComputerWorld )



Bình luận

  • TTCN (1)
Hải Nam  30904

Trước đây gimpy của Yahoo! cũng bị vượt qua với tỉ lệ thành công đến 92% http://bit.ly/dCk2o8