Breaking the CAPTCHA

Begitu banyak cara yang ditempuh untuk breaking suatu sistem yang menggunakan CAPTCHA (Computer Automated Public Turing test to tell Computer and Human Aparts), ide-ide yang muncul mulai dari bersifat teknikal hingga yang cerdas dan kreatif, walaupun beberapa teknikal hacker menganggap ide cerdas plus kreatif ini sangat kiddies tapi menurut saya pribadi cukup mengesankan.

Beberapa waktu yang lalu, saya sempat melihat ada 2 comment yang jelas-jelas berasal dari bot berhasil masuk ke dalam blog kecoak elektronik, namun karena trafik nya masih rendah maka semua comment highly moderated untuk saat ini secara manual. Yang membuat heran adalah sistem CAPTCHA di blog menggunakan reCAPTCHA, dimana akan sangat-sangat sulit menembusnya seperti yang saya kemukakan pada blog sebelumnya, walaupun memang bukan berarti tidak mungkin untuk dilakukan.

Ada beberapa penjelasan mengenai trik-trik menembus sistem CAPTCHA, salah satunya dapat dilihat pada link ini. PWNcaptcha memperlihatkan beberapa teknik implementasi CAPTCHA yang dapat ditembus, namun code nya belum dirilis untuk publik. Penjelasan secara teori yang cukup teknikal dapat dibaca pada blog ini, dimana kita bisa mendapatkan sedikit banyak gambaran mengenai tehnik untuk breaking CAPTCHA. Pentingkah? Jelas, bisa kita lihat aplikasi-aplikasi web saat ini banyak menggunakan CAPTCHA sebagai sistem keamanannya. Terlebih lagi webmail yang mengharuskan kita membaca CAPTCHA sebelum melakukan pendaftaran.

Disamping penjelasan secara teknikal, ada juga beberapa ide yang memanfaatkan manusia untuk memecahkan CAPTCHA, dan ini diimplementasikan pada trojan bernama CAPTCHAR. Penjelasan mengenai implementasi CAPTCHAR seperti ini:

1. Website A hosts a service protected by CAPTCHA verification.
2. Website B is set up by a party desiring to automate usage of the services of Website A.
3. Website B offers users free access to content, but requires they defeat a CAPTCHA challenge.
4. Website B copies a CAPTCHA image from Website A that it needs defeated and presents it to a user visiting Website B.
5. The user provides the CAPTCHA response.
6. Website B provides the offered content to the user, and then uses their response to defeat the CAPTCHA test on Website A.

Informasi diatas diambil dari blog avertlabs.com.

Tehnik diatas digunakan dalam bentuk trojan untuk sistem operasi windows. Pada komputer korban, trojan setelah terinstall akan memperlihatkan seorang wanita pirang yang menawarkan kepada user akan membuka semua bajunya dengan satu syarat: user harus mengetikan sederetan huruf acak. Jika sederetan huruf tersebut benar maka wanita tersebut akan melepaskan satu bagian pakaian yang digunakan dan memberikan deretan huruf lain untuk dijawab oleh user. Jika salah, maka wanita tersebut akan meminta untuk mencoba lagi. Ide yang menarik bukan?

Apa sih susahnya memasukan sederetan huruf acak tersebut?pemikiran seperti itulah yang menjadikan manusia sebagai budak untuk memecahkan CAPTCHA. Yup, sederetan huruf acak tersebut adalah CAPTCHA dari suatu sistem yang hendak di breaking oleh trojan. CAPTCHA yang baik adalah sebisa mungkin tidak bisa dibaca oleh mesin namun bisa dibaca oleh manusia, celah inilah yang dimanfaatkan untuk memecahkan CAPTCHA suatu sistem. Teknik ini terkesan kurang l33t karena terlihat seperti mainan anak-anak, namun dari sisi ide ini adalah sesuatu yang mengesankan, simple namun mematikan.

Saya rasa teknik inilah yang digunakan untuk memecahkan reCAPTCHA pada blog kecoak elektronik. Implementasi trojan hanya salah satu bentuk trik breaking CAPTCHA dengan memanfaatkan manusia, bentuk lainnya tentu masih banyak lagi. Misalnya: buat forum dimana CAPTCHA yang diberikan pada user adalah CAPTCHA dari sistem lain di internet, dengan begitu kita bisa memanfaatkan user forum untuk memecahkan CAPTCHA ditempat lain, solusi gratis dan efisien. atau memberikan CAPTCHA challange untuk memposting comment di blog dimana CAPTCHA nya diambil untuk breaking ke suatu aplikasi per-bank an. Dan sebagainya, silahkan cari ide buas sendiri.

Well, jangan kuatir untuk daftar user baru di forum kecoak elektronik, ataupun posting comment di blog ini…karena kami tidak meng-implementasikan ide seperti itu pada media publik kecoak elektronik indonesia hehe…;).