Az évenként megrendezésre kerülő Time Top 100-as szavazás idén érdekes eredményt hozott. Az év legnépszerübb emberének moot-ot, az internet pöcegödrének asposztrofált, 4chan.org imageboard alapítóját választották.
Természetesen ezen eredmény nem ismertségének vagy népszerűségének, hanem sokkal inkább az oldal felhasználóinak a leleményességének és a Time rendszergazdáinak az inkompetenciájának volt köszönhető.
Alapban nem volt egyszerű a feladat a szavazás meghackkelése, ugyanis time szavazása captchaval volt védve, és az átlag 4channer intelligenciája erősen súrolja a myvip felhasználóiét.
Talán épp ezért meglepő módon, először a captcha karakterfelismerővel való feltörésével próbálkoztak. Miután ez nem vezetett eredményre, a úgy próbálták megkerülni az ellenőrzést, hogy a legtöbb captcha generáló kód által használt, egy adott szóra adott válaszok előfordulását tároló adatbázist próbálták hamis információval feltölteni (database-poisoning). Ezen adatbázis, egyfajta védelem a captcha algoritmus hibái ellen, ugyanis ha egy adott képre nagy mennyiségben érkezik azonos, de hibás válasz a válaszokat hitelesítő kód egy megfelelő számú előfordulás után elfogadja a hibás választ helyesnek. Ebben az esetben a capctha adatbázisán az általuk "penis flood"-nak elkeresztelt eljárást alkalmazták.
Első lépésként az első kackkelési kisérletnél alkalmazott két karakter felismerővel próbálták a captchat analizálni. Ha mindkettő azonos eredményt adott, akkor azt elfogadták helyesnek és elküldték. Ha nem egyezett a két program kimenete, akkor válaszként a penis szót küldték el. A fenti elv alapján ez azt jelenti, hogy elegendő számú szavazás generálása után bármelyik captchara elgendő lett volna penis szót elküldeni.
Sajnos a captcha készítői felkészültek egy ilyen támadási lehetőségre, így ez sem vezetett eredményre.
Mivel közeledett a szavazás határideje, úgy döntöttek, hogy a social engineeringhez folyamodnak, az-az kihasználják a 4chan mögött álló, agyatlan zombietömeget.
Készítettek egy oldalt amin kezdetben egy, később 3 captcha jelent meg melyeknek a megoldásáért a user streaming pornót nézhetett. Tökéletes megoldás, egy átlag /b user percenként 30 captchát is megtudott fejteni, videózva, félkézzel 20-at.
A Time inkompetenciáját jól mutatja, hogy a szavazás főoldalról való levétele után még jóideig tudtak szavazatokat beküldeni a 4chan oldaláról, és az egyértelmű bizonyítékok ellenére mindezidáig tagadják a törés tényét.
Cikk a törésről Musicmachinery blogján olvasható.
szerk: Bocsánatot kérek a bejegyzésben előforduló tömeges helyesírási és stilisztikai hibák miatt. Nagyrészüket javítottam.
