Jeden z Czytelników Dziennika Internautów poinformował o pojawieniu się w polskiej sieci serwisu, który pomaga pokonać stosowane przez Google zabezpieczenia. Komentarza w tej sprawie udzielili współpracujący z DI prawnik i konsultant ds. bezpieczeństwa.
reklama
Sporym utrudnieniem dla spamerów chcących zautomatyzować proces zakładania kont pocztowych jest CAPTCHA, czyli funkcja sprawdzająca, czy formularz na stronie WWW wypełnił naprawdę człowiek (ang. Completely Automated Public Turing Test to Tell Computers and Humans Apart). Aby przesłać dane, trzeba poprawnie przepisać treść z wygenerowanego przez skrypt obrazka. W założeniu grafika ta ma być łatwa do odczytania przez człowieka, przez automat - bardzo trudna lub wręcz niemożliwa.
W ubiegłym roku Dziennik Internautów informował o powstaniu pornograficznych stron pomagających spamerom w pokonywaniu tego zabezpieczenia. Podobne rozwiązanie zostało już przeniesione na polski grunt. Jeden z Czytelników Dziennika Internautów napisał:
Zauważyłem w Google Adsense reklamę strony www.Ankieta1.plfot. DI - Zrzut ekranu strony głównej serwisu
o treści "Wypełnij ankietę a dostaniesz 50pln na komórkę".
Sprawa już wygląda podejrzanie. Po wejściu na stronę
http://ankieta1.pl/?id=1# okazuje się, że każde przejście do kolejnego pytania wymaga odczytania CAPTCHA z GOOGLE. Zapewne autorzy tego serwisy wykorzystują w ten sposób nieświadomych internautów do włamywania się do kont GMAIL. Proszę, aby DI sprawdził, kto stoi za tym procederem.
Z pewnością warto będzie zgłosić sprawę na policję.
Przed wypełnieniem ankiety użytkownik musi podać numer telefonu, który chce doładować. Strona główna serwisu informuje: "jeżeli nie posiadasz telefonu na kartę w zamian możesz zlecić przelew kwoty 50 zł na wybrane przez Ciebie konto". Ankieta ma "ustalić poziom świadomości Polaków na temat działalności Wojska Polskiego", ale nie jest zbyt rozbudowana. Przykładowe pytania zawarte w kwestionariuszu:
Olgierd Rudak - prawnik współpracujący z Dziennikiem Internautów - przypomniał, że ustawa o świadczeniu usług drogą elektroniczną "nakłada obowiązki w zakresie wskazania przedsiębiorcy i jego adresu na stronie (art. 5 ust. 2), pod rygorem grzywny z art. 23 ustawy. Podobne obowiązki spoczywają na przedsiębiorcy, który świadczy usługi na odległość (dodatkowo powinien podać numer NIP - art. 21 ustawy o swobodzie działalności gospodarczej)".
Do czego może się przydać CAPTCHA?
O wypowiedź w tej kwestii Dziennik Internautów poprosił konsultanta ds. bezpieczeństwa Piotra Koniecznego. Potwierdził on nasze podejrzenia, że właściciel strony wykorzystuje technikę tzw. human computingu, aby umożliwić sobie płynne założenie wielu kont pocztowych. "Zapewne chodzi o wykorzystanie usługi GMail do wysyłania spamu - adresy z domeny gmail.com z reguły nie są odfiltrowywane przez administratorów poczty. Z drugiej strony, żeby spamować z GMaila potrzeba wielu kont, ponieważ Google nakłada ograniczenia na liczbę wysyłanych wiadomości na godzinę" - powiedział Konieczny.
Wykluczył on hipotezę, jakoby serwis działał w celu umożliwienia ataku brute force na konta Google. Parę błędnych prób wpisania hasła w GMailu skutkuje pokazaniem CAPTCHA dla kilku kolejnych prób, potem następuje odcięcie od serwisu na godzinę - tego typu zabezpieczenie skutecznie utrudnia atak siłowy.
Konieczny podkreślił, że human computing to nie nowość, nie jest to również jedyny sposób na pokonanie CAPTCHA. Dowiedzieliśmy się od niego, że "w Indiach istnieje kilka firm, które za pomocą specjalnie do tego celu zatrudnionych ludzi (sic!) rozwiązują CAPTCHA w cenie ok. dolara za tysiąc kodów. W internecie krąży również całkiem niezły program do rozwiązywania CAPTCHA (w tym także Googlowych), napisany przez naszych sąsiadów z Ukrainy - widać autorzy serwisu ankieta1 albo na niego jeszcze nie trafili, albo nie potrafią go obsłużyć ;)".
Jako ciekawostkę warto dodać, że Google również stosuje human computing do osiągnięcia wymiernych korzyści. Udostępniona przez tę firmę popularna gra Image Labeler wykorzystuje graczy do wykonywania darmowej pracy na rzecz wyszukiwarki. "Grając, tagują oni zaindeksowane przez Google zdjęcia, co oczywiście przekłada się na lepsze rezultaty wyszukiwania obrazków w usłudze Google Image Search" - wyjaśnił Konieczny.
Co na to prawnik?
Olgierd Rudak, redaktor naczelny czasopisma internetowego Lege Artis, stwierdził: "Bez wątpliwości zakładanie masowych kont pocztowych stanowi naruszenie warunków korzystania z tej usługi, zatem Google Inc. przysługuje ewentualne roszczenie odszkodowawcze względem osoby, która dopuściła się takiego czynu. Zasadniczą sprawą będzie jednak wykazanie poniesionej szkody (jej wartość) przez Google Inc."
Dziennik Internautów zwrócił się do rzecznika prasowego polskiego oddziału Google z pytaniem o ewentualne działania firmy względem opisanej na naszych łamach strony. Nie otrzymaliśmy jeszcze w tej sprawie odpowiedzi.
"Można też się zastanawiać, czy takie działanie nie stanowi czynu nieuczciwej konkurencji" - powiedział Rudak, zastrzegając jednak, że pełniejszej odpowiedzi można udzielić dopiero po upewnieniu się, że mechanizm służy do zakładania kont pocztowych oraz po sprawdzeniu, jaki jest cel zakładania tych kont.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*