Problema interessante. Mi chiedo se una soluzione a questo problema possa essere quella di forzare i browser web dei tuoi utenti a risolvere un problema crittografico (usando javascript in esecuzione nel loro browser web) che è "difficile" da risolvere, ma "facile" da verificare per il tuo sito. Con "difficile" da risolvere, intendo un problema che richiederebbe circa 10 secondi per essere risolto con le risorse di un tipico desktop o laptop. Un problema simile al problema che i minatori di bitcoin risolvono quando vengono estratti nuovi blocchi, ma ovviamente su una scala molto più semplice.

I tuoi utenti legittimi non noterebbero la differenza, poiché lo script si altera mentre compilano il modulo sul tuo sito. Tuttavia, rallenterebbe notevolmente gli autori di abusi e li costringerebbe ad allocare molte più risorse e li costringerebbe a rielaborare qualsiasi strumento stiano utilizzando per automatizzare questi post sul tuo sito.

Come?

Botnet e farm captcha in affitto.

Perché?

Qualcuno vuole i tuoi dati. È più economico rubarlo che comprarlo.

Cosa fare?

Rubarlo costa meno, ma non è gratuito. Fare questi attacchi costa denaro a "loro" (chiunque alla fine voglia i dati, non la botnet o la fattoria captcha). Rendi più costoso attaccarti di quanto valgano i dati.

1. Identifica modelli per identificare gli spammer.

2. Restituisci un aspetto legittimo, ma dati fasulli per gli spammer.

Dopo un certo numero di risposte valide, inizia a scambiare dati fasulli con dati validi. Quindi devono eseguire passaggi aggiuntivi per convalidare i tuoi dati. Questi passaggi aggiuntivi costano denaro extra.

Se non lo convalidano, i loro dati sono meno utili, ovvero valgono meno. Potrebbero ancora essere in grado di usarlo o venderlo, ma è meno prezioso, quindi ancora una volta il costo per attaccarti è superiore al valore restituito.

Stai facendo CAPTCHA sbagliato.

L'idea di CAPTCHA è di rendere difficile (leggere "quasi impossibile) per un computer risolverlo, ma facile per un essere umano farlo. usa solo un'immagine statica, chiedendo ad esempio di digitare 4 , quindi un computer non avrà problemi a inserire ripetutamente 4 quando richiesto.

Considera invece l'utilizzo di reCAPTCHA o tecnologie simili. Questi problemi sono già stati risolti e non è necessario reinventare la ruota, come dimostrato di seguito:

^{CC-BY-NC 2.5, Randall Munroe, xkcd.com/2140/}

Se riesci a mettere un semplice CAPTCHA "digita il numero in questa immagine" e tieni quel bastone per 24 ore, sai che il tuo nemico è un dilettante. Sai che questo tipo di dispositivo primitivo che coinvolge un codice personalizzato li rallenterà per 24 ore. Potrebbe essere divertente :)

Vorrei fare un uso estensivo di fogli di stile per nascondere le informazioni nel codice della pagina: in due sensi, prima nascondi i CAPTCHA e poi nascondi le risposte informative. Con l'obiettivo di fuorviare sadicamente i raschiatori.

Vorrei scrivere un po 'di codice sul lato server per creare risposte false che sono credibili a prima vista, ma fasulle in modi non facilmente confermabili. Inoltre, utilizza il seeding casuale o MD5 per assicurarti che lo stesso input fornisca sempre la stessa risposta fasulla.

Ingannevole sui CAPTCHA:

Ad esempio, lascia l'ultimo sistema CAPTCHA che stavi utilizzando, ma usa i fogli di stile per nasconderlo. Segui con un CAPTCHA diverso, offuscato da Javascript; forse anche un altro reCaptcha con una chiave diversa.

Ora, lo scraper non si renderà conto che il primo CAPTCHA è stato soppresso con i fogli di stile. Risolverà allegramente il CAPTCHA e restituirà la risposta con la chiave sbagliata. Gotcha . Tuttavia, proprio come il cracking di Enigma, non puoi rendere ovvio che hai infranto il codice; il raschietto deve continuare a credere che funzioni .

Ingannevole nelle risposte:

presenta una risposta come di consueto, con un foglio di stile attorno ad essa. Il foglio di stile nasconde questo risultato alle persone normali; il raschietto ignora che questo foglio ha la proprietà "nascosta". La risposta che presenti qui è il falso . Presentare in seguito il vero risultato. Per i punti bonus, presenta i risultati in una grafica che li renda non graffiabili. Cerca di nasconderlo ovviamente.

Se hai una telemetria (risolto un CAPTCHA sbagliato) che indica che si tratta di una query raschiata, non preoccuparti nemmeno di acquistare il risultato della query dal tuo fornitore di servizi . Inserisci una sospensione (t + casuale) per il tipico intervallo di tempo impiegato dal tuo fornitore di servizi, quindi invia una risposta falsa.

Sembra normale

L'autore dell'attacco crederà che le cose funzionino normalmente e controllando solo la riuscita della query, non la qualità dei risultati. Con un po 'di fortuna, il tuo aggressore non avrà effettuato l'accesso quando ogni query è stata effettuata e sta semplicemente scaricando le risposte in un database. L'attaccante potrebbe impiegare parecchio tempo per rendersi conto che hai avvelenato i dati, a quel punto l'intero database sarebbe danneggiato, non avendo idea di quali voci siano valide e quali siano velenose (vedi l'importanza di rendere legittimi i dati falsi ?) Anche se l'aggressore ha timestampato ogni voce, che caccia al bug! Dover controllare manualmente diverse voci per ogni giorno per capire quando i dati sono andati male.

E ancora una cosa. Memorizza nella cache le risposte vere e, se una query botnet è nella cache, dai sempre la risposta corretta dalla cache. Quindi il raschietto, la risoluzione dei problemi, colpirà il tuo vero sito web con un browser e chiederà un numero di prova di 213-456-7890. L'occultamento funzionerà e si comporterà come una vera query, quindi calcolerai la risposta reale e la restituirai. Successivamente, lo scraper dirà alla botnet di richiedere 213-456-7890. Per vedere se il bot ottiene un risultato diverso. Rileverai la query del bot . Se ora dai una risposta falsa, il raschietto sa che la maschera è aperta e ripeterà una volta interrotto il rilevamento. Quindi dal momento che hai la vera risposta nella cache, dagli, anche nei campi nascosti. Ora, lo scraper è perplesso: la botnet sembra funzionare .

Perché e come

Ovviamente qualcuno trova preziosi i tuoi dati. Lo otterrebbero dalla tua fonte, ma non vogliono pagare per questo, quindi ti stanno raschiando.

• È possibile che siano effettivamente un sito web della concorrenza che fa la stessa cosa che fai tu e che ti generano una query quando ne riceve una dal loro visitatore. In sostanza questo è uno schema per utilizzare il tuo servizio ma pubblicare i loro annunci. Tu stesso conosci il valore di questo. Puoi verificarlo facendo query oscure e diverse su ogni sito della concorrenza e vedere quali query compaiono nei tuoi log.

Ci sono un'infinità di modi per risolvere i CAPTCHA. Nell'esempio di un sito Web della concorrenza che estrae i tuoi dati per i propri clienti, potrebbero semplicemente passare il tuo CAPTCHA ai propri clienti. Ci sono anche modi per indurre gli umani a fare CAPTCHA per te, come "risolvi i CAPTCHA e ottieni porno gratis", o offrendo un servizio non correlato che richiede CAPTCHA per qualche motivo, come una bacheca anonima. Ogni volta che qualcuno pubblica, ti invia una query e ottiene il suo poster per risolvere il tuo CAPTCHA. C'è anche CAPTCHA che risolve essenzialmente la schiavitù nel terzo mondo.

Perché?
I dati relativi a numeri di telefono, nomi e indirizzi email sono estremamente preziosi, sia nel mercato legale che in quello clandestino.

Come?
Sembra che qualcuno stia usando una botnet per estrarre dati da te. Ciò potrebbe significare connessioni da poche dozzine di IP sparsi in tutto il mondo a migliaia di loro. Personalmente non ho idea di come stiano aggirando i reCapcha, a parte l'utilizzo di lavoro manuale da siti che offrono servizi di risoluzione di capcha. Tutti questi costi in un modo o nell'altro.

Soluzione?
Dichiarazione di non responsabilità: non sono un esperto di sicurezza.
Alcuni servizi gratuiti utilizzano un sistema di accodamento dopo un certo numero di query. Supponiamo che tu non voglia sovraccaricare il tuo sistema, consenti un massimo di 30 richieste (o qualsiasi numero di richieste simultanee che il tuo sistema può facilmente gestire) in qualsiasi momento. Le richieste inoltrate mentre la coda è piena ricevono un messaggio che spiega che il server è occupato e devono riprovare in un secondo momento o vengono automaticamente messe in coda.Questa soluzione non è priva di problemi poiché a volte i tuoi client legittimi dovranno attendere essere servito, specialmente durante le ore di punta o durante un attacco.

Hai menzionato che cambiare il tuo metodo di capcha frena gli attacchi per un po '. Forse c'è un modo per alternare il metodo capcha per ogni visitatore con ogni richiesta in modo casuale? Per lo meno l'aggressore dovrebbe riscrivere alcuni dei loro metodi. Nella migliore delle ipotesi, i loro attacchi riusciti sono divisi per la quantità di metodi diversi incorporati.

La loro motivazione potrebbe semplicemente essere quella di creare un servizio simile e di aver bisogno di dati. Il tuo servizio potrebbe essere una di queste origini dati che hanno trovato e devono essere analizzate.

Hai provato a limitare la velocità delle tue richieste? Dici che stai ricevendo centinaia al minuto (supponendo dallo stesso indirizzo / i IP), quindi non potresti registrare quelle richieste, rilevare i visitatori ripetuti entro un periodo di tempo ragionevole e quindi sospendere temporaneamente l'IP per un periodo di tempo?

Puoi anche aggiungere elementi del modulo "honeypot" nel tuo modulo. Gli elementi del modulo Honeypot sono nascosti agli utenti geniali, ma vengono compilati automaticamente dai bot. Qualsiasi richiesta con dati in quei campi viene automaticamente scartata e forse anche bandita.

Non utilizzare una soluzione captcha, usale tutte!

Dal momento che ne hai già più di diverse in giro, perché non ruotarle (casualmente) su uno dei due ora o anche per richiesta? Anche se gli aggressori teoricamente li hanno decifrati tutti, la necessità di rilevare il tipo di captcha è di per sé un altro captcha da risolvere per i computer (pur non interessando affatto gli esseri umani).

Può anche includere domande stupide come captcha come "quale numero di telefono stai cercando di nuovo" ecc., più cose casuali sono più difficili da fare per i bot.

Soprattutto se utilizzi discipline diverse (riconoscimento di immagini, lettura di numeri, matematica, cultura generale, ecc.) i botter avrebbero difficoltà a dare seguito.

E non è necessario superarli perfettamente in astuzia, devi solo fare in modo che non valga più il loro tempo.

Modifica : questo richiederebbe anche il lancio regolare di nuovi tipi di captcha

Quindi sto cercando di capire la loro motivazione e il modo in cui lo stanno realizzando, in modo da poter reagire in modo appropriato.

È anche possibile che i proxy vengono utilizzati per accedere al servizio. Solo google per open proxy list restituisce alcuni siti che presentano proxy aperti che potrebbero essere utilizzati anche per mascherare l'indirizzo IP del client.

Suggerisco di accedere all'intestazione HTTP X- Forwarded-For e Via sul lato server per un po 'di tempo e poi controlla se è plausibile che tali proxy vengano utilizzati per abusare del tuo sistema. X-Forwarded-For di solito contiene l'indirizzo IP del client, Via contiene gli IP dei proxy nella catena (se presenti). Tieni presente che l'utilizzo di proxy in generale è legittimo, ma potrebbero esserci alcuni modelli interessanti, ad es se vedi gli stessi proxy utilizzati più e più volte durante un periodo di attacco.

Non la considero una risposta completa. Sto dicendo cosa farei in una situazione simile.

1. Registra le query. C'è qualche modello nelle loro domande? ad esempio, Paese specifico o area specifica. Nel caso in cui stiano davvero utilizzando i risultati, deve esserci uno schema. In caso contrario, considererei il numero 2.

2. Hai detto che quando cambi tipo e tecnologia di captcha, l'attacco si ferma per circa 24 ore. Lo leggo in questo modo:

   Quando combatto per 10 minuti di lavoro, danneggio l'avversario per 24 ore di lavoro.

   Quindi tutto ciò che devi fare è continuare a danneggiare le loro ore e persistono in questo. Rende chiunque lo faccia stanco e puoi star certo che sarà il primo a smettere di combattere. le reali probabilità di vincita sono -> 1 - (10/1440)

   Questa non è una vera soluzione, piuttosto è qualcosa che prenderei in considerazione prima di andare al numero 3.

   Ricorda , Potrebbero tornare il mese prossimo o sei mesi dopo, ma ora sanno che stai combattendo con insistenza e che sei tu quello che perde troppo poco.

   Potresti persino rendere la lotta per loro un po 'più difficile, ad esempio, più di 3 query in un giorno, richiede all'utente di inserire 2 tipi di captcha. dopo il decimo, il sistema esegue un hardcores ancora di più, in un modo che il tuo vero visitatore non se ne accorgerebbe.

3. Triste ma usa l'autorizzazione. Anche tu puoi facoltativamente rendere disponibili le prime n (n<10) query in modo anonimo, ma più di questo richiede l'accesso.

Ho sviluppato un modulo di contatto che gli autori di abusi tentano di abusare da più di un anno e hanno costantemente fallito.

Il mio approccio include una combinazione di:

1. Dopo ogni campo obbligatorio lo convalida innesca una chiamata ajax che recupera un nuovo nome di campo generato casualmente da 32-48 caratteri che viene temporaneamente memorizzato in una tabella db di convalida del modulo. Quindi, quando il modulo viene inviato, un campo in arrivo con un nome che non è stato generato dal server o che ha il nome del campo originale attiva l'accesso all'indirizzo IP remoto del database e ciò che hanno inviato in relazione all'invio del modulo. Una volta modificato il nome del campo, qualsiasi invio con il nome del campo originale viene rilevato come abuso e trattato di conseguenza.
2. Devono essere sulla pagina in cui si trova il modulo per almeno 1,3 secondi per campo obbligatorio e tutti i campi devono essere convalidati prima che la proprietà di disabilitazione del pulsante di invio venga rimossa e almeno il nome dell'input di invio venga modificato con una nuova chiamata ajax o un nome e / o un valore ricevuto da una precedente chiamata di nome di campo ajax. Il nome e il valore del pulsante devono corrispondere durante la convalida del modulo sul server o l'abuso viene rilevato e gestito di conseguenza.
3. Registro tutti gli invii a db e contrassegno l'abuso con una destinazione DENY e una volta che hanno abusato del mio modulo vengono bloccati in modo permanente anche dalla pagina del modulo e vengono reindirizzati direttamente a una risposta 403 dopo la registrazione del tentativo di visita.
4. Durante una delle chiamate ajax a volte genererò casualmente un nuovo campo e un valore che ottiene aggiunto al modulo prima dell'invio e deve essere presente o l'invio non verrà convalidato e verrà rilevato come abuso.
5. Puoi includere campi honeypot ma non nascondere l'oggetto campo che verrà rilevato. Nascondi un oggetto genitore se intendi nascondere il campo. Puoi anche posizionarlo in modo assoluto e posizionarlo lontano dalla vista. Tutti i campi honeypot che arrivano al server con un valore di qualsiasi tipo vengono rilevati come abusi e trattati come tali.

Assicurati di registrare tutti gli invii in modo da poter monitorare nuovi modelli pensato per aggirare la tua sicurezza.