雅虎郵箱賬號防自動註冊驗證碼系統被攻破

【原創翻譯，版權所有，合作網站如欲轉載，請註明原創翻譯作者「劉亞萌」，及文章出處（賽迪網）。謝絕非合作網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

如果一個新的應用軟體被公佈到網絡上，它可能會迫使雅虎和其他公司花費更多資金，用在防禦垃圾廣告郵件的發送者上。

雅虎公司可能很快就會看到從雅虎的信箱賬號裡發出的洶湧而出的垃圾廣告郵件。

自稱是俄羅斯安全研究員的John Wane，已經公佈了一個軟體，他聲稱這個軟體可以擊敗雅虎正在使用的，用來阻止免費雅虎信箱賬號被自動註冊的驗證碼系統。

驗證碼測試代表著完全自動化的，能夠區分出計算機和人類的公眾圖靈測試。它是這樣一種技術，它呈現出只能被人類識別而不能被機器識別的扭曲的圖形文本。

如谷歌，微軟和雅虎這樣的大型電子郵件服務提供商，在用戶申請新的信箱賬號時提示驗證碼圖形，以確定存在於註冊信息後面的是一個真實的人。這些公司這麼做是為了打擊垃圾廣告發送者，使他們不能使用自動程序來註冊數以千計的免費在線賬號來發送垃圾廣告。

驗證碼測試同樣被用在阻止博客裡的和其他在線論壇裡的垃圾廣告，自動作弊投票的在線調查，和自動猜測密碼的網絡攻擊中。

「幾個月以前，我們收到信息，顯示雅虎的驗證碼認證系統處在識別率大約30%的糟糕狀態，」Wane在一篇發表出來的博客文章中說到。「所以我們決定進行幾個實驗。我們研究了雅虎的驗證碼系統，設計了一個相似的有著更好的識別率的系統（識別率約為35%）。」

有各種各樣的自動方法可以用來擊敗驗證碼測試系統，但是被谷歌，微軟和雅虎使用的驗證碼測試系統仍保留著使計算機難於擊破它們的地方。

如果這個軟體能夠象廣告中說的一樣工作，雖然現在尚不清楚它是否能夠做到，那麼它就會迫使雅虎和其他的公司花費更多的資金在抵禦廣告垃圾上面。

「我們知道向著驗證碼圖形的自動化解決方案的嘗試，並繼續為此以及其他防禦方法的改進而工作著。」一名雅虎的發言人在一封電子郵件中聲稱。

IronPort公司的產品戰略經理John Orbeton表示，如果該軟體運行有成效，「它就可以用來使用在垃圾廣告上。它還可以用在釣魚式攻擊上。這取決於攻擊者的動機。」該軟體聲稱的成功率為35%，他說，「這已經可以創建數量驚人的電子郵件賬號了。」

這真是很諷刺，Orbeton補充道，正在被使用在防禦目前產生的圖片垃圾廣告中的圖形辨認技術，應該被廣告垃圾製造者使用以創造更多的垃圾廣告。

現在並不是因為現有的東西有什麼缺陷。「在2007年我們看到垃圾廣告量增加了百分之百，」Orbeton說。「現在整個地球上每個人每天能收到20個垃圾廣告信息，不管他們有沒有電子郵件信箱。」

(