Netidők Blogtársaság

A múlt heti bejegyzésemben a clickjacking nevű átverésről írtam, amelyből kiderült, hogy ezzel a rafinált művelettel egy ártatlannak tűnő felületre való kattintással, nem kívánatos, kártevő folyamatok is elindulnak gépünkön, itt olvashatnak róla bővebben.

A keyjacking kicsit hasonló ehhez a jelenséghez, mert ez is átverés, tehát hivatalosan a scam (’átverés’) nevű kórokozó csoportba tartozik. A keyjacking lényege, hogy megjelenik a kijelző felületén egy látszólag captcha kódot bekérő felület (a captcha kifejezésről szóló bejegyzést lásd itt), ám ha begépeljük a kódot, akkor nem az általunk megkezdett folyamatra léphetünk tovább, hanem rögtön elindul egy állomány futtatása, amit mi nem láthatunk, mert bizonyos böngészőkben az állomány futtatására, mentésére vagy törlésére figyelmeztető párbeszédablakot letakarja a captcha kód ablaka. Az átverés lényege, hogy a feltűnő captcha ablak nem igazi, és valójában elég a megadott kód első betűkét beütni, és már fut is az elrejtet állomány. Mondanom sem kell, hogy számos módja van a védekezésnek: pl. csak azt töltsük le, csak oda kattintsunk, oda regisztráljunk, ahova tényleg muszáj, amit tényleg akarunk, és ne próbálkozzunk vagy kíváncsiskodjunk, mert könnyen pórul járunk, illetve érdemes figyelni a böngészők biztonsági figyelmeztetéseit, illetve hatékonyan tudnak védeni az akaratlan programfuttatástól a jobb fajta, frissen tartott internet biztonsági szoftverek.

A keyjacking összetétel szerkezete megegyezik a clickjackingével (hisz ennek a mintájára, analógiájára született), tehát az utótagja, a jacking az ’eltérítést’ jelenti, míg az előtagja a key alapjelentése a ’kulcs’, ’billentyű’, ám itt természetesen a ’kulcs’ metaforakörébe tartozik a ’kód’, ’valaminek a megoldása’. Közismert a key, magyarul kulcs kifejezés ebben a jelentésében a biztonságtechnikában a biztonsági kulcs vagy titkosítási kulcs szerkezetekben.

Bővebb információkat például az alábbi helyeken lehet olvasni

http://securitywatch.pcmag.com/security/313261-dial-r-for-a-keyjacking-running-malware-with-captcha

http://antivirus.blog.hu/2013/07/01/mai_szavunk_pedig_keyjacking

Bódi Zoltán

"Hello Capcha" - mondanám neki. "Hello"- köszönne vissza ő. Nézegetném és - ahhoz képest, hogy holmi betűkből áll, amik hol izegnek, hol meg mozognak - jóképűnek mondanám, na meg persze innovatívnak, ahogy ezt már az eFestival 2012 zsűrije is megállapította. A HelloCaptcha ugyanis egy olyan magyar újítás a Turing tesztek világában, amely felkavarta az állóvizet.

A szoftver rendkívülisége abban áll, hogy behozta új dimenzióként az időt. Az ötletgazda és egyben vezető fejlesztő, Grad-Gyenge László a sikert azzal magyarázza, hogy a módszer (a mozgás megjelenítése) egyrészt látványos, másrészt - és ez a fejlesztőket és weboldal tulajdonosokat jobban érdekelheti - sokkal nehezebben és lassabban törhető, hiszen már a capcha lejátszása is másodpereket vesz igénybe. Az emberi szemet és elmét azonban változatossága és mozgalmassága miatt nem fárasztja.

Biztos, hogy minden felhasználó találkozott már ezzel a biztonsági rendszerrel, amikor valahová regisztrálni akart, és rendszerint az utolsó lépésben, az oldal alján megtalálta azt a kis ablakocskát, ahova egy eltorzított betűket és karaktereket ábrázoló képről kellett bemásolni a karaktereket. Hogy mi ebben a biztonsági elem? Az, hogy elvileg csak az emberek képesen a megfelelően torzított karaktereket azonosítani, szoftverek, robotok (azaz botok) nem. Persze szerintem a technológia fejlődésével az illegális behatoló szoftverek is lépést tartanak. A CAPTCHA technológiája 2000-ben terjedt el, hisz akkor publikálták az eljárást.

Mindenesetre a CAPTCHA egy elmés megoldás, bár néha bosszantó, amikor én sem tudom elolvasni a karaktereket, mert annyira el vannak torzítva. Mint ahogy elmés maga a szó is. Ez ugyanis egy betűszó, amely egy hosszú szószerkezet elemeinek a kezdőbetűiből állt össze, pedig formájában, hangalakjában egész jól illeszkedne valamilyen idegen nyelvi környezetbe (hasonlít például az angol capture 'elfogás' szóalak kiejtéséhez). Tehát a CAPTCHA a Completely Automated Public Turing test to tell Computers and Humans Apart vagyis 'teljesen automatikus, nyilvános Turing-teszt a számítógép és az ember megkülönböztetésére'. Mint betűszó az angolban rendszerint csupa nagybetűvel szerepel, ám a gyakori használat miatt egyre inkább közszóvá válik. Ez mellesleg teljesen általános és törvényszerű jelenség. Nem kell tudni, hogy ez voltaképpen betűszó, csak érteni kell a jelentését.

A szerkezetben van egy kifejezés, a Turing-teszt. Ez egy olyan módszer, amely arra van, hogy segítségével el lehessen dönteni, hogy egy gép képes-e gondolkodásra, azaz intelligens-e. A teszt lényege, hogy a tesztelő személy a tőle elkülönített helyiségben szereplő vitapartnerekkel párbeszédet generál, és a válaszokból könnyű eldönteni, hogy melyik vitapartner ember, és melyik számítógép. A Turing-teszt elég érdekes módszer, amely abból indul ki, hogy csak emberi intelligencia képes kreatív interakcióra. Az elméletnek viszont vannak kritikusai is, hiszen nem egyértelmű, hogy az intelligencia megfelelő jellemzője a párbeszédképesség, illetve egy gép még lehet attól intelligens, hogy nem tud megfelelően párbeszédbe lépni.

A CAPTCHA mellett kifejlesztették a reCAPTCA módszerét is, amely technológiailag megegyezik a CAPTCHA-val, csak annyi a különbség, hogy nem értelmetlen, illetve véletlenszerű szavakat, karaktereket kell begépelni, hanem régi, még nem digitalizált könyvek beszkennelt (tehát még kép formátumban lévő) szövegének a szavait. Így a reCAPTCHA alkalmazói hozzájárulnak az írásos kultúra digitális megörökítéséhez.

Bódi Zoltán

| Még több lehetőség