“Ben bir robot değilim” – gerçek dünyada hemen görünen şey, internette tekrar tekrar kanıtlanmalıdır. Örneğin, İnternet tarayıcılarından biri karayolu trafiğinin dokuz fotoğrafını gösterirken, “Trafik ışıklı tüm resimleri seçin” diyor.
Bu bazen daha fazla, bazen daha az karmaşık görevlere captcha denir. Bunun anlamı: bilgisayarları ve insanları birbirinden ayırmak için tamamen otomatikleştirilmiş halka açık Turing testi. Captcha’lar, programların otomatik aramalarını gerçek kişilerin aramalarından ayırmaya yardımcı olarak İnternet için temel bir amacı yerine getirir.
İlki, çevrimiçi hizmetlerin varlığını tehdit edebilir. Programların erişimleri sıralanmazsa, sistem aşırı yük saldırılarına karşı savunmasızdır. Web tabanlı bir teklifin üreticisine zarar vermek istiyorsanız, yalnızca sunucuya sürekli istek gönderen bir program kullanmanız gerekir. Kısa süre sonra bu anlamsız temasları işlemekle o kadar meşgul olur ki, gerçek kullanıcılar için kaynaklar artık yeterli olmaz. Uzmanlar buna hizmet reddi saldırısı diyor. Örneğin Nisan ayında, saldırganlar Aşağı Saksonya polis teşkilatı gibi kamu yetkililerinin web sitelerini felç etti.
Captcha’lar olmadan botlar şifreleri daha kolay tahmin edebilir
Bu toplu sorgulamalar her zaman sistemi aşırı yüklemeye hizmet etmez. Marc Fischlin, belirli koşullar altında bu teknolojinin kullanıcıların erişim verilerini tahmin etmek için de kullanılabileceğini açıklıyor. TU Darmstadt’ta Karmaşıklık Teorisi, Kriptografi ve Güvenlik Profesörüdür. “Captcha’lar, insan kullanıcıları bilgisayar tabanlı erişimden ayırmayı amaçlamaktadır. Örneğin, saldırganların parolaları binlerce kez deneyememeleri için buna ihtiyacınız var.”
Bunun arkasındaki teorinin anlaşılması kolaydır: insanlar, bilgisayar programları tarafından çözülemeyen bir sorunu çözerek insan olduklarını kanıtlarlar. Çılgınca çarpıtılmış bir kelimeyi okumak ve onu bir metin alanına yazmak eskiden yeterliydi. Fischlin, “Zamanla kırılmaları nispeten kolaydı ve basit metin tanıma programları bunun için yeterliydi” diyor.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/WSOQ3X4QHFAYFFBL27I7KBGZAA.jpg)
Kimlik Hırsızlığı: Suçlular sizin adınıza çevrimiçi alışveriş yaparken kendinizi nasıl savunursunuz?
Suçluların kurbanları pahasına pahalı sözleşmeler imzalaması için az miktarda özel veri bile yeterlidir. Bazen banka detaylarına bile ihtiyaç duymazlar. Kurbanlar daha sonra hızlı hareket etmelidir.
Şu anda, bozuk harfleri izleyen resimli bulmacalar hala oldukça popüler. Ancak burada da onları alt etmek için gereken çaba çok düşük: “Bir dolara 1.000 captcha çözebileceğiniz hizmetler bulabilirsiniz” diyor Fischlin. O ve ekibi, görüntü ve metin tabanlı bulmacaları çözen bu hizmetlerden birini özel olarak tasarlanmış bir Captcha sisteminde denedi: “İnanılmaz derecede iyiler.” Başarı oranı yüzde 100’e yakındır.
Bir şifreyi tahmin etmek ne kadar sürer?
Saldırganların bir parolayı tahmin etmesi gereken süre çeşitli faktörlere bağlıdır: uzunluk ve karmaşıklık özellikle önemli bir rol oynar. Statista tarafından 2021’de “Security.org” portalından alınan verilerin değerlendirilmesine göre, örneğin yalnızca dokuz küçük harften oluşan bir parolanın maskesi iki dakikada çözülebilir. Federal Bilgi Güvenliği Ofisi (BSI), tavsiyelerinde kısa, karmaşık ve uzun, daha az karmaşık parolalar arasında ayrım yapar. Bu nedenle, sekiz ila 12 karakterlik kısa bir parola, dört farklı karakter türünden oluşmalı ve bunların sırası keyfi olmalıdır. En az 25 karakterden oluşan uzun parolalar da tam sözcükler içerebilir. Bununla birlikte, en az iki tür karakterden oluşmalıdırlar. BSI, tek tek terimler arasında bir ayırıcı ile arka arkaya altı kelime kullanılmasını önerir.
Captcha’lara her zaman erişilemez
Bu nedenle, görüntü tabanlı captcha’lar artık bilgisayar programları için kolay bir av olsa da, bazı insanları da dışlıyorlar. Sınırlı görüşe sahip olanlar, küçük, pikselli görüntülerdeki ayrıntıları görmekte zorlanabilirler. Bu şekilde güvence altına alınan hizmetler, bu tür kişiler için kısa sürede kullanılamaz hale gelir.
Ek olarak, otomatik captcha’lar, görme engelli kişilerin web sitelerinin kendilerine okunmasını sağlamak ve bunları kullanmak için kullandıkları ekran okuyucuları her zaman güvenilir bir şekilde tanıyamaz. Jan Hellbusch, bunların genellikle yanlışlıkla kötü amaçlı programlar olarak tanımlandığını söylüyor. Engelsiz web tasarımı uzmanı, şirketlerin ve devlet kurumlarının internet tekliflerini kimsenin teknik önlemler tarafından dışlanmayacağı şekilde tasarlamasına yardımcı olur. Bazı hizmetler zaten ekran okuyucuları izin verilen erişim olarak tanımayı başarıyor, ancak hepsini değil.
Ancak engelsiz web tasarımı, her sağlayıcı için gönüllü bir önlem değildir. Bununla ilgili kurallar “Web İçeriği Erişilebilirlik Yönergeleri”dir. Avrupa’da bunlara Avrupa standardı 301549 aracılığıyla atıfta bulunulacaktır. Hellbusch, “Yetkililer ve 2025’ten itibaren belirli şirketler bunu dikkate almak zorunda kalacak” diye açıklıyor. Ardından Erişilebilirliği Güçlendirme Yasası’nın düzenlemeleri yürürlüğe girer. Hellbusch, bunun birçok sağlayıcı için en azından sayı, harf ve sesli captcha’ların artık bir seçenek olmayacağı anlamına geldiğini söylüyor. O yüzden alternatiflere ihtiyaç var.
Captcha’lar nasıl gelişir?
Fischlin, gelecekte captcha’ların çoğu kullanıcı tarafından fark edilmeden arka planda giderek daha fazla çalışacağını kabul ediyor. “Aslında, captcha’ların en yeni varyasyonu, yalnızca ortam değişkenlerini kullanmalarıdır. Yani IP adresine bakıyorlar, daha önce hangi sayfaların ziyaret edildiğini inceliyorlar, fare imlecinin hareketlerinin insan gibi görünüp görünmediğine karar veriyorlar.”
Fischlin, “Bu sistemler şu anda nispeten kararlı, ancak bir noktada bozulup bozulmayacaklarını asla bilemezsiniz” diyor. Captcha’ların güvenliği, saldırganların sürekli gelişen yöntemlerine karşı her zaman bir yarış olmuştur. Sonuç olarak, güvenlik soruları o kadar karmaşık hale geldi ki, bazı kullanıcılar – açıkça insan olmalarına rağmen – artık bunları çözemedi.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/7SBZPOOG4RC2HILEHWA2EC2RSQ.jpg)
Neden kimse Google Sokak Görünümü’nü protesto etmiyor?
Google Street View, 15 yıl önce ilk izleme çekimlerini duyurduğunda, büyük bir protesto vardı – ABD şirketi daha sonra Almanya’daki faaliyetlerini durdurdu. Şimdi Sokak Görünümü geri döndü ve Almanya neredeyse her yerde temsil ediliyor – ancak herhangi bir şikayet yok.
Captcha’lar önemli bir amaca hizmet etse bile Hellbusch, bazı yerlerde bunların kesinlikle başka programlama hileleriyle değiştirilebileceğine inanıyor. Sözde “bal küpleri”, örneğin, botları hedefli bir şekilde tuzağa çekerek topluca maskelerini kaldırabilir. “Bal küplerinin nasıl tasarlanacağına dair pek çok fikir var. Örneğin, bir form beş saniye içinde doldurulup gönderilirse, bu kesinlikle bir insan değildir,” diye açıklıyor Hellbusch.
Örneğin, web sitesindeki iletişim formunu güvence altına almak için bu yaklaşımı kullandı. Artık yalnızca yazmak için beş saniyeden fazla zamana ihtiyaç duyan kişiler ona ulaşabilir. “Artık haftada yalnızca bir spam alıyorum, eskiden günde yaklaşık on tane bu tür mesaj geliyordu.”
Bu bazen daha fazla, bazen daha az karmaşık görevlere captcha denir. Bunun anlamı: bilgisayarları ve insanları birbirinden ayırmak için tamamen otomatikleştirilmiş halka açık Turing testi. Captcha’lar, programların otomatik aramalarını gerçek kişilerin aramalarından ayırmaya yardımcı olarak İnternet için temel bir amacı yerine getirir.
İlki, çevrimiçi hizmetlerin varlığını tehdit edebilir. Programların erişimleri sıralanmazsa, sistem aşırı yük saldırılarına karşı savunmasızdır. Web tabanlı bir teklifin üreticisine zarar vermek istiyorsanız, yalnızca sunucuya sürekli istek gönderen bir program kullanmanız gerekir. Kısa süre sonra bu anlamsız temasları işlemekle o kadar meşgul olur ki, gerçek kullanıcılar için kaynaklar artık yeterli olmaz. Uzmanlar buna hizmet reddi saldırısı diyor. Örneğin Nisan ayında, saldırganlar Aşağı Saksonya polis teşkilatı gibi kamu yetkililerinin web sitelerini felç etti.
Captcha’lar olmadan botlar şifreleri daha kolay tahmin edebilir
Bu toplu sorgulamalar her zaman sistemi aşırı yüklemeye hizmet etmez. Marc Fischlin, belirli koşullar altında bu teknolojinin kullanıcıların erişim verilerini tahmin etmek için de kullanılabileceğini açıklıyor. TU Darmstadt’ta Karmaşıklık Teorisi, Kriptografi ve Güvenlik Profesörüdür. “Captcha’lar, insan kullanıcıları bilgisayar tabanlı erişimden ayırmayı amaçlamaktadır. Örneğin, saldırganların parolaları binlerce kez deneyememeleri için buna ihtiyacınız var.”
Bunun arkasındaki teorinin anlaşılması kolaydır: insanlar, bilgisayar programları tarafından çözülemeyen bir sorunu çözerek insan olduklarını kanıtlarlar. Çılgınca çarpıtılmış bir kelimeyi okumak ve onu bir metin alanına yazmak eskiden yeterliydi. Fischlin, “Zamanla kırılmaları nispeten kolaydı ve basit metin tanıma programları bunun için yeterliydi” diyor.
Kimlik Hırsızlığı: Suçlular sizin adınıza çevrimiçi alışveriş yaparken kendinizi nasıl savunursunuz?
Suçluların kurbanları pahasına pahalı sözleşmeler imzalaması için az miktarda özel veri bile yeterlidir. Bazen banka detaylarına bile ihtiyaç duymazlar. Kurbanlar daha sonra hızlı hareket etmelidir.
Şu anda, bozuk harfleri izleyen resimli bulmacalar hala oldukça popüler. Ancak burada da onları alt etmek için gereken çaba çok düşük: “Bir dolara 1.000 captcha çözebileceğiniz hizmetler bulabilirsiniz” diyor Fischlin. O ve ekibi, görüntü ve metin tabanlı bulmacaları çözen bu hizmetlerden birini özel olarak tasarlanmış bir Captcha sisteminde denedi: “İnanılmaz derecede iyiler.” Başarı oranı yüzde 100’e yakındır.
Bir şifreyi tahmin etmek ne kadar sürer?
Saldırganların bir parolayı tahmin etmesi gereken süre çeşitli faktörlere bağlıdır: uzunluk ve karmaşıklık özellikle önemli bir rol oynar. Statista tarafından 2021’de “Security.org” portalından alınan verilerin değerlendirilmesine göre, örneğin yalnızca dokuz küçük harften oluşan bir parolanın maskesi iki dakikada çözülebilir. Federal Bilgi Güvenliği Ofisi (BSI), tavsiyelerinde kısa, karmaşık ve uzun, daha az karmaşık parolalar arasında ayrım yapar. Bu nedenle, sekiz ila 12 karakterlik kısa bir parola, dört farklı karakter türünden oluşmalı ve bunların sırası keyfi olmalıdır. En az 25 karakterden oluşan uzun parolalar da tam sözcükler içerebilir. Bununla birlikte, en az iki tür karakterden oluşmalıdırlar. BSI, tek tek terimler arasında bir ayırıcı ile arka arkaya altı kelime kullanılmasını önerir.
Captcha’lara her zaman erişilemez
Bu nedenle, görüntü tabanlı captcha’lar artık bilgisayar programları için kolay bir av olsa da, bazı insanları da dışlıyorlar. Sınırlı görüşe sahip olanlar, küçük, pikselli görüntülerdeki ayrıntıları görmekte zorlanabilirler. Bu şekilde güvence altına alınan hizmetler, bu tür kişiler için kısa sürede kullanılamaz hale gelir.
Ek olarak, otomatik captcha’lar, görme engelli kişilerin web sitelerinin kendilerine okunmasını sağlamak ve bunları kullanmak için kullandıkları ekran okuyucuları her zaman güvenilir bir şekilde tanıyamaz. Jan Hellbusch, bunların genellikle yanlışlıkla kötü amaçlı programlar olarak tanımlandığını söylüyor. Engelsiz web tasarımı uzmanı, şirketlerin ve devlet kurumlarının internet tekliflerini kimsenin teknik önlemler tarafından dışlanmayacağı şekilde tasarlamasına yardımcı olur. Bazı hizmetler zaten ekran okuyucuları izin verilen erişim olarak tanımayı başarıyor, ancak hepsini değil.
Ancak engelsiz web tasarımı, her sağlayıcı için gönüllü bir önlem değildir. Bununla ilgili kurallar “Web İçeriği Erişilebilirlik Yönergeleri”dir. Avrupa’da bunlara Avrupa standardı 301549 aracılığıyla atıfta bulunulacaktır. Hellbusch, “Yetkililer ve 2025’ten itibaren belirli şirketler bunu dikkate almak zorunda kalacak” diye açıklıyor. Ardından Erişilebilirliği Güçlendirme Yasası’nın düzenlemeleri yürürlüğe girer. Hellbusch, bunun birçok sağlayıcı için en azından sayı, harf ve sesli captcha’ların artık bir seçenek olmayacağı anlamına geldiğini söylüyor. O yüzden alternatiflere ihtiyaç var.
Captcha’lar nasıl gelişir?
Fischlin, gelecekte captcha’ların çoğu kullanıcı tarafından fark edilmeden arka planda giderek daha fazla çalışacağını kabul ediyor. “Aslında, captcha’ların en yeni varyasyonu, yalnızca ortam değişkenlerini kullanmalarıdır. Yani IP adresine bakıyorlar, daha önce hangi sayfaların ziyaret edildiğini inceliyorlar, fare imlecinin hareketlerinin insan gibi görünüp görünmediğine karar veriyorlar.”
Fischlin, “Bu sistemler şu anda nispeten kararlı, ancak bir noktada bozulup bozulmayacaklarını asla bilemezsiniz” diyor. Captcha’ların güvenliği, saldırganların sürekli gelişen yöntemlerine karşı her zaman bir yarış olmuştur. Sonuç olarak, güvenlik soruları o kadar karmaşık hale geldi ki, bazı kullanıcılar – açıkça insan olmalarına rağmen – artık bunları çözemedi.
Neden kimse Google Sokak Görünümü’nü protesto etmiyor?
Google Street View, 15 yıl önce ilk izleme çekimlerini duyurduğunda, büyük bir protesto vardı – ABD şirketi daha sonra Almanya’daki faaliyetlerini durdurdu. Şimdi Sokak Görünümü geri döndü ve Almanya neredeyse her yerde temsil ediliyor – ancak herhangi bir şikayet yok.
Captcha’lar önemli bir amaca hizmet etse bile Hellbusch, bazı yerlerde bunların kesinlikle başka programlama hileleriyle değiştirilebileceğine inanıyor. Sözde “bal küpleri”, örneğin, botları hedefli bir şekilde tuzağa çekerek topluca maskelerini kaldırabilir. “Bal küplerinin nasıl tasarlanacağına dair pek çok fikir var. Örneğin, bir form beş saniye içinde doldurulup gönderilirse, bu kesinlikle bir insan değildir,” diye açıklıyor Hellbusch.
Örneğin, web sitesindeki iletişim formunu güvence altına almak için bu yaklaşımı kullandı. Artık yalnızca yazmak için beş saniyeden fazla zamana ihtiyaç duyan kişiler ona ulaşabilir. “Artık haftada yalnızca bir spam alıyorum, eskiden günde yaklaşık on tane bu tür mesaj geliyordu.”