reCAPTCHA testleri güvenlik tehditlerini engellemede etkili değil iddialarına göre

Araştırmaya göre, reCAPTCHA testleri de kullanıcılar için milyonlarca saat kaybına neden oluyor

Yeni ‘görünmez zorluklar’, işletmeler için alternatif olabilir

İnternet kullanıcıları için CAPTCHA’ların veya ‘Tamamen Otomatik Kamu Turing testi Bilgisayarlar İnsanlardan Ayırt Etmek için’ – sıkça kullanılan testlerin, genellikle kullanıcılardan ‘trafik lambalı resme tıklayın’ gibi şekillerde website’lere erişim sağlanıyor – çok fazla olmayacak. Ancak herkesin favori hafif rahatsızlığı bile bot trafiğini önlemede etkili değilmiş, zira “Baş döndürücü ve Şaşkın: reCAPTCHAv2’nin Büyük Ölçekli Gerçek Dünya Kullanıcı Çalışması” adlı bir çalışma, testlerin internet kullanıcıları için milyonlarca saat zaman kaybettiğini ortaya koymuş – ancak Google için tahmini 888 milyar dolarlık izleme çerez verisi üretmiş.

Testler neredeyse kaçınılmazdır ve kullanıcılar yaklaşık 819 milyon saatlerini bu testleri çözmekle geçirmiş olup, her testin ortalama sadece 3.53 saniye sürdüğü gerçeğine rağmen. Botlar artık CAPTCHA’ları çözebiliyor ve testler eskimiş olabilir – şu ana kadar bilinenler burada.

Kar amacı güden bir çerez çiftliği mi?

Rapor, CAPTCHA ve reCAPTCHA gibi iki yaygın test türü bulunduğunu belirtiyor – ilki, kullanıcıların karışık karakterleri çözdüğü metin tabanlı zorluklar iken ikincisi, Google Street View’dan resimler alan ve kullanıcıların örneğin bir bisiklet içeren resmi seçmeleri istendiği daha gelişmiş bir görüntü tabanlı yaklaşımdır. Google, reCAPTCHA’yı 2009’da satın aldığında, teknolojiyi Google Street View’ı iyileştirmek için kullanmış, ev numaraları ve sokak levhalarının fotoğraflarını işleyerek Google Kitapları dijitalleştirmiş. Ancak CAPTCHA’lar artık amacına uygun değil, ya da en azından eskisi gibi değil. Yeni yapay zeka araçlarının geliştirilmesi, CAPTCHA testlerinin botlar tarafından çözülebileceği anlamına geliyor ve onları neredeyse tamamen gereksiz hale getiriyor – ancak teknolojinin açık amaçlı kullanımı için. Sadece 2010’a gelindiğinde, resim etiketleme zorluklarını %100 doğrulukla çözebilen otomatik hizmetler bulunuyordu, bu yüzden reCAPTCHA testleri, bir güvenlik sorunu olarak yetersiz kalmakta. Bu çalışma, reCAPTCHA’nın ‘kullanıcının çerezlerini, tarayıcı geçmişini ve tarayıcı ortamlarını’ kapsamlı bir şekilde izlediğini ortaya koyuyor – bunlar, kullanıcıları takip etmek ve reklamcılık için kullanılabilecek. Çalışma, testlerin, “bir güvenlik hizmeti olarak mantıklı olmazdı, ancak etiketlenmiş resim verilerinin elde edilmesinin son derece değerli olması ve hatta Google tarafından satılması göz önüne alındığında mantıklı olur” şeklinde açıklıyor. Yalnızca meşru zorluklar kullanıcıları koruma konusunda eksik kalmakla kalmıyor, ayrıca araştırmacılar, infostealer kötü amaçlı yazılım yaymak için kullanılan sahte CAPTCHA sayfalarının gözlendiğini belirtmişler, “Belirgin zayıflık, büyük ölçekli otomasyon uygulamanın kolaylığı ve gizlilik ihlaline yol açan takip çerezlerinin kullanımı nedeniyle reCAPTCHAv2 onay kutusu, bir güvenlik aracı gibi görünen tam bir zayıflık olarak karşımıza çıkıyor” çalışma doğruladı. Yalnızca zaman kaybıyla ilgili değil, tüm internet aktivitelerinin bir parçası olan CAPTCHA’lar enerji tüketiyor – tam olarak 7.5 milyon kWh veya 7.5 milyon libre karbondioksit tüketiyor. Bu da bizi CAPTCHA testlerinin ‘gerçek amacına’ götürüyor. Bu testler, Google’a muazzam karlar sağlayabilir, toplam etiketlenmiş veri setinin her satışından potansiyel olarak 8.75-32.3 milyar dolar ABD doları kazanmış olabilir; “reCAPTCHAv2’nin gerçek amacının, güvenlik hizmeti gibi kamufle ettiği reklamcılık ve veri kazancı için ücretsiz bir görüntü-etiketleme işçiliği ve çerez çiftliği olduğu sonucuna varılabilir” şeklinde.

“Görünmez” bir alternatif

İşletmelerin kullanıcıların insan mı yoksa bot mu olduğunu doğrulamaları son derece önemlidir – DDoS saldırıları, veri toplayıcılar, fırsatçılar ve daha fazlasına karşı korunmak için. Dolayısıyla eğer CAPTCHA etkili bir güvenlik tedbiri değilse (ve kullanıcılar için oldukça sinir bozucuysa), o zaman alternatifler nelerdir? Şimdilik, interneti gezinen herkes için CAPTCHA neredeyse kaçınılmazdır. Ancak işletmeler için CAPTCHA testlerinden daha güvenli ve kullanıcı dostu bir şeye geçebilecekleri alternatifler bulunmaktadır. Artık “görünmez zorluklar” bulunmakta ve bu zorluklar, websiteleri için daha kullanıcı dostu bir güvenlik çözümü sağlamakta, daha gelişmiş veri doğruluğu ve uyarlanabilirlik sunmaktadır. Bu, karmaşık algoritmalar ve davranış analizi kullanarak insanlar ile botları ayırt etmek suretiyle, açık kullanıcı etkileşimi gerektirmeden işlev görmektedir. Bu görünmez zorluklar, CAPTCHA’ların varlığına son vermese de, geleneksel CAPTCHA testleriyle birleştirilerek iş websiteleri için çok daha sorunsuz bir deneyim sunarken daha sağlam bir güvenlik sağlayabilir. Bot saldırılarına karşı ağlarınızı güvende tutmaya yardımcı olmak için ağ güvenlik duvarı yazılımlarının en iyilerini de incelediğimizi belirtmekte fayda var – bu yazılımlar, ağ altyapınızın etrafında bir kalkan gibi hareket ederek zararlı dosyaların sistemlerinize kurulmasını ve zarar vermesini engelleyip birçok dosyayı bloke edeceklerdir.

Sizin için ilginç olabilecek diğer içerikler
Bugün mevcut en iyi uç nokta koruma yazılımlarını görmek için listemize göz atın
Devam eden büyük bir siber saldırı – VPN cihazlarını hedef alan 2.8 milyon IP kullanılıyor
Şu anda sunduğumuz en iyi kötü amaçlı yazılım temizleme yazılımlarını bir araya getirdik