Desperacja użytkowników BDI. Aero2 nie panuje nad usługą Google'a, więc testy reCAPTCHA coraz trudniejsze
W ciągu ostatniego weekendu otrzymaliśmy od Was wiele e-maili, wktórych skarżyliście się na wzrost poziomu trudności testówreCAPTCHA, używanych od 1 kwietnia br. przez Aero2 do„uwierzytelniania” użytkowników usługi BDI. W grę wchodząnastępujące możliwości: albo staliście się robotami, albo operatorpostawił na eskalację utrudnień dostępu, albo też coś dziejesię z Google, reagującym w ten sposób na zwiększenie obciążeniajego infrastruktury.Choć możliwość pierwsza wydaje się najbardziej interesująca,to pominiemy ją choćby z tego powodu, że w listach do nasdawaliście wiele dowodów na swoje człowieczeństwo – a przecieżdo tego właśnie służy test reCAPTCHA, by odróżniać ludzi odmaszyn. Przyjrzyjmy się więc innym możliwościom wyjaśnienia sprawy.[img=recaptcha]Pierwsze doniesienia o zwiększeniu trudności testów reCAPTCHApojawiły się w połowie kwietnia. Wówczas to wielu użytkownikówBDI na stronie Aero2 na Facebooku poskarżyło się, że w ogóle niejest w stanie odcyfrować i tak trudnych do odczytania napisów wteście. Sytuacja miała utrzymywać się nawet kilkanaście godzin,w trakcie których mechanizm reCAPTCHA wyświetlał oba tekstoweciągi do przepisania w postaci jeszcze bardziej zdeformowanej niżzwykle, a na dodatek nałożone na czarną plamę z fragmentem tekstuw negatywie. Po tej pierwszej fali zgłoszeń Aero2 opublikowało na swoimfanpage dość zastanawiającewyjaśnienie. Otóż miało dojść do ataku na test reCAPTCHA,przeprowadzonego przez grupę użytkowników BDI. Wywołać to miałoreakcję obronną serwerów Google'a, które automatycznie włączyłytrudniejsze wersje testu… by jeszcze mniej skutecznie odróżniaćludzi od botów. Aero2 poinformowała zarazem, że GrupaUżytkowników BDI, z których kart został przeprowadzony atak,została zidentyfikowana i w przypadku ponowienia takiej próby ichkarty zostaną bez ostrzeżenia zdezaktywowane.Umożliwia to operatorowi punkt 11.6 regulaminu, pozwalający nanatychmiastowe odcięcie dostępu do sieci Aero2 osobom, którezakłócają jej prace. Co miałby oznaczać jednak takiatak? Czyżby chodziłoo próby znalezienia rozwiązania testu w sposób maszynowy? Czasataku ciekawie zbiegł się z opublikowaniemprzez informatyków Google'a pracy poświęconej zastosowaniu siecineuronowej DistBelief do dekodowania numerów budynków ze zdjęćzrobionych dla usługi Widok Ulicy – oraz właśnie ciągów literstosowanych w teście reCAPTCHA. Okazało się wówczas, żeDistBelief rozwiązywał nawet najtrudniejsze wersje testów (takie,jak zastosowane wobec użytkowników BDI) ze skutecznościąprzekraczającą 99%.Jeśli nie chodziło o próbęmaszynowego rozwiązywania testów, to może w grę wchodził zwykłyatak typu DDoS? To wyjaśnienie brzmi całkiem prawdopodobnie, dopókinie uświadomimy sobie, że w tym momencie sam formularz„uwierzytelniania” usługi BDI jest formą ataku DDoS skierowanąprzeciwko serwerom Google. Wygląda bowiem na to, że obecnie Aero2może być największym na świecie użytkownikiem usługi z MountainView. Skąd ten wniosek? RIPE NCC (Réseaux IP Européens– organizacja zajmująca się przydzielaniem adresów IP w Europie)przyznała do tej pory Aero2 łącznie ok. 60 tys. adresów napotrzeby BDI. Przy założeniu, że użytkownicy Aero będą logowalisię do usługi co godzinę (tak jak miałoby to być docelowo, popilotażowym okresie testów reCAPTCHA), robiąc to w ciągu dniaroboczego, mielibyśmy niespełna pół miliona wyświetleń testureCAPTCHA – o ile wpisy byłyby za każdym razem poprawne. Z tegojednak co piszą internauci, wcale tak dobrze nie było: niektórzyjeszcze przed pojawieniem się trudniejszej wersji testów skarżylisię, że próbują przejść test nawet po kilkanaście razy. Możnawięc szacować, że w godzinach szczytu możliwe jest, że liczbawyświetleń testu zbliża się do miliona.Nie wiadomo, jakie są realnelimity usługi Google'a – firma nigdy ich nie podała. Wiemyjedynie, że w 2011 roku firma pochwaliła się, że dzienniewyświetlanych jest 100 mln testów. Wtedy też w FAQ usługi możnabyło przeczytać,że Google prosi o wcześniejszy kontakt, jeśli ktoś zakłada, żejego witryna będzie potrzebowała więcej niż miliona testówdziennie. Dzisiaj FAQ dla testu już nie znajdziecie, zastąpiła gobardziej „korporacyjna” stronaThe reCAPTCHA advantage,w której niewiele można znaleźć poza wmawianiem, że usługa jestciężka dla botów a łatwa dla ludzi.To że o limitach nie ma mowy,nie oznacza, że w ogóle ich nie ma, dlatego można podejrzewać, żeze strony Aero2 do Google nie zgłosił się nikt, uprzedzając owdrożeniu nowej procedury „uwierzytelniania” – i serwery wpewnym momencie zaczęły traktować ruch przychodzący z sieci tegooperatora jako potencjalny atak DDoS. Rosnąca liczba błędnychrozwiązań tylko uprawdopodobniała ten scenariusz, więc wodpowiedzi poziom trudności testów drastycznie wzrósł, co dało się odczuć przez cały ostatni weekend.Nie oceniamy zasadności wdrożenia samego mechanizmuuniemożliwiającego automatyczną renegocjację połączenia z BDI,ale zarazem nie potrafimy oprzeć się wrażeniu, że osobyodpowiedzialne za to wdrożenie do sprawy podeszły „po taniości”,bez krytycznej refleksji, nie mówiąc już o testach usability iskalowalności. Chyba nie jedyni mamy takie wrażenie. Na Facebookupowstała stronaprzeciwników wprowadzenia utrudnień i ograniczeń w BDI, którejczłonkowie przystępują do akcji pisaniaskarg do prezesa UKE. Być może ta inicjatywa pozwoli napolepszenie stanu rzeczy – bo najwyraźniej samo Aero2 do swojegonieprzemyślanego działania przyznać się nie chce, i dalej wzaparte głosi, jak świetnym rozwiązaniem jest reCAPTCHA.