エログリッド・コンピューティング::CAPTCHA破れたり::CSRF対策関連

CSRF対策とCAPTCHAの利用

CSRF対策としてCAPTCHAの導入のみで済まそうとすることは危険です。

2006/03/18追記::金床さんからご指摘がありました。CSRFと下記のCAPTCHA破りの件は無関係でした。ご指摘有難うございます。

さて、CAPTCHAが破られたというのは

  • botが自動的に(あるいはエログリッドのように半自動的?に)画像の文字を読みとることができるようになった

ということです。しかしCSRFの観点で考えれば、正規ユーザのブラウザに送られたCAPTCHA画像は攻撃者の手には渡りません。ですから、この画像に隠されている文字列が自動的に判別できようができまいが関係ありません。つまり、依然としてこのCAPTCHA

  • ・チケットとして正しく動作

するので、CSRFは防げます。

追記終わり。

CAPTCHAは既に安全性が高いとは言えない状況になっています。deqさんの記事から引用させて頂きます。

MoriらはIEEE CVPR'03において 最も有名なCaptchaの一つのEZ-Gimpyを打ち破る手法を詳述した論文を発表し, その手法は92%の的中率であると検証されました。 また,より複雑であまり広く普及していないGimpyプログラムが,同じ手法により33%の的中率で打ち破られました。 しかし,彼らのアルゴリズムが"野生で"実装されて存在しているかどうかについては,現時点でははっきりしていません。

エログリッド・コンピューティング

以下、上記とは別口ですのでお間違いないように。

以前deqさんから当日記にコメントを頂いておりまして、エログリッド・コンピューティングというものがあるのだと知りました。昨日実際にどのようなものなのかについて、ようやくわかりましたので以下にメモさせて頂きます。deqさん有難うございました。

まず、生真面目な表現から。上記deqさんの記事から再び引用です。

無料メールプロバイダの中には,アカウント登録時にCaptchaを使ってスパマーが大量のアカウントを自動的に獲得するのを阻止しているところもあります。 スパマーはこの制限を回避する方法を見つけました: 嘘の口実を作って人間のユーザにCaptchaを単に提示し,人間の応答を使ってメールアカウントを獲得するという方法です。

その方法を行うためには,スパマーは人間ユーザがアクセスしたいWebサイトを管理しなければなりません — 例えばポルノサイトです。 ユーザがスパマーのポルノサイトに行くと,サーバは無料メールプロパイダの新しいアカウント登録を開始します。 そしてプロバイダのCaptchaをダウンロードし,ポルノサイトへアクセスするためのCaptchaとしてユーザに提示します。 ユーザは,Captchaが再利用されるとは知らずに,正しい回答を提供します — そしてスパマーのソフトウェアはメールアカウントの登録を完了することができます。

以下は、私が昨日みつけた各種文献です。

CMU student taps brain's game skills
Captcha関連について考察があります。
日誌-2003/11::KUSANO Takayukiさん
ウェブのフォームの入力が人間によって成されたか、spammer などの使うロボットによって成されたのかを峻別するためのテスト CAPTCHA を「自動的に」破る方法。ウェブフォームでは文字を歪ませたりするなどの加工をして表示し、それを確認フォームで入力させるということで、ロボットかどうかの判別することがある。それを自動的に破るにはどうするか、の話。フリーメールや、ebay や PayPal の登録フォームで使われている。 具体的には、まず、ロボットはウェブのフォームに自動的に適当な入力をしていく。そして、テスト画像を拾うと無料ポルノサイトに、そのテスト画像を持っていく。そして、そのポルノサイトでは同様の確認テストをサイトの訪問者に対して実行し、訪問者に答えを入力させる、というもの。これにより人間の CPU サイクルを盗むことができる…とのこと。
エログリッドコンピューティング::blog.bulknews.net
命名者。
CAPTCHA破れたり::Nightnoise::doblog(2003/11/10)
関連記事へのリソース有り。
今度はポルノ画像をエサに--スパマー対フリーメールサービスの「イタチごっこ」 - CNET Japan
2004/05/10 の記事。

UPX::実行ファイルを実行可能なまま圧縮

UPX

実行ファイルを実行可能なまま圧縮するUPXというものがあるらしいです。自動解凍書庫の解凍後に自動実行するようなものです。解凍はメモリ上に展開。解凍されたファイルはDISKを汚しません。圧縮率はそこそこ。起動速度が速くなるという伝説あり。どういう仕組み?.exeは勿論のこと、Linux AOUT/ELF/script まで対応しているらしい…はて?