上图是注册Gmail时随机出现的一个图片验证码，英文叫captcha，为的是防止机器注册垃圾邮件地址，这也被认为是目前最有效的方法之一。但是gmail captcha在最近的一轮垃圾邮箱注册中，被识别并攻破的几率达到了大约20%。

这个比例比我们一个月前介绍雅虎邮箱captcha被攻破的几率（30%以上）要低的多。 这得益于gmail captcha系统由两台主机运行，并且程序略有差别。而只在一台主机上运行的windows live邮件，在月初的一波攻击中被攻破的几率大约在33%。

至此，世界三大邮件服务防线均被攻破。这些邮件服务用户众多，垃圾邮件不容易被识别，不容易被加入黑名单。再引述一下前文提到过的俄罗斯黑客的一番话：

15%的准确率对于攻击邮件应经足够了，攻击者每天可以尝试10万次攻击，而每攻破一个captcha就相当于得到1美分的收入。

Spammers crack Gmail Captcha

(via The Register) Spammers, fresh from the success of cracking the Windows Live captcha used by Hotmail, have broken the equivalent system at Gmail.

Internet security firm Websense reports that miscreants have created bots which are capable of signing up and creating random Gmail accounts for spamming purposes, defeating Captcha-based defences in the process. It reckons the same group of spammers are behind both attacks. Read more.

Tags: 安全,Security by sawyer
2 Comments »

上边这幅图大家看着都眼熟吧，很多邮件、论坛注册都有，是验证码的一种，主要是防止机器恶意注册。这个东西的英文名字叫Captcha，2000年诞生于卡耐基梅隆学院，并被世界上最大的电子邮件服务商雅虎率先使用，上图就是一个雅虎captcha。

这个雅虎邮件的坚强防线可能被攻破了。一个俄罗斯博客（此链接国内需代理）发表声明说，他们研发的注册系统识别captcha的准确率达到了35%。这些“研究人员”在几个月前开始这项研发工作，起因是他们收到一封电子邮件，另一些人声称他们的系统对captcha的识别率达到了30%。

这意味着一旦这样的captch识别技术被用来注册垃圾信箱、发送垃圾邮件，垃圾邮件的数量将成N倍增长。

这些“研究人员”说，其实没有必要做到这么高的准确率，15%的准确率对于攻击邮件应经足够了，攻击者每天可以尝试10万次攻击，而每攻破一个captcha就相当于得到1美分的收入。

这是这个研究团体的邮件地址：NetworkSecurityResearch@gmail.com

Russian researchers alleged that “Yahoo!Captcha is broken”

A  Russian research group has alleged that Yahoo!Captcha is broken. The system they created to recognize the yahoo captcha is 35% in accuracy.

“Few months ago we received information that yahoo CAPTCHA recognition system exists in the wild with the recognition rate about 30%. So we decided to conduct few experiments. We explored yahoo CAPTCHA and designed a similar system with even better recognition rate (about 35%). “

Read more what they said.

Tags: 安全,Security by sawyer
1 Comment »