כמה שעות ביום אתם מבלים בלפתור מבחני קפצ'ה (CAPTCHA), אותן מסגרות שקופצות כמו פרסומת מעצבנת ונושאות את הכותרת "האם אתה רובוט?". מענה על קפצ'ה רגיל אורך כ-20 שניות, מענה על מבחן ריקפצ'ה (reCAPTCHA) מתקדם יכול להגיע עד דקה שלמה. דקה ביום, שש שעות בשנה, לאורך השנים מבחני קפצ'ה גוזלים כשלושה שבועות מחיינו. ולשם מה? מומחים טוענים כי המבחנים האלה כבר מזמן לא מספקים את מעטפת האבטחה שהם מתיימרים לספק לאתרים.
אחת הסיבות המרכזיות לקריסת הקונספציה היא מה שמכונה "חוות הקליקים של הקפצ'ה" – חברות שמעסיקות אלפי בני אדם מסביב לעולם בלפתור קפצ'ה תמורת רסיסי תשלום – לפעמים במרכזי מחשוב מסמורטטים, לפעמים אצלם בבית. תראו כמה זה סמלי: בעידן של בינה מלאכותית (AI) וטכנולוגיות סופר מתקדמות של ראייה ממוחשבת, הרבה יותר פשוט ויעיל להעסיק בני אדם בפענוח מבחני הקפצ'ה האלה במקום להשקיע מיליונים בפיתוח בינה מלאכותית חזקה יותר ויותר. זה כמו להעסיק נהג אנושי בכל מכונית אוטונומית ולחסוך את ההשקעה העצומה בפיתוח הטכנולוגיה.
וזה הולך ככה: הלקוח, שהוא השחקן הרע במקרה שלנו, מעוניין לעקוף את מערכת ההגנה של אתר מכירות או חברת תעופה ולהפציץ אותה באופן אוטומטי ומאסיבי בשמות משתמש וזהויות בדויות. בכל פעם שהמערכת מנסה לסנן חדירה רובוטית כזו, היא מציגה קפצ'ה על המסך. עכשיו נכנסת לפעולה חברת פיצוח הקפצ'ה, ששולחת את המבחן אחורה אל חוות הקפצ'ה. המבחן מוצג על המסך של אחד מעובדי החווה קשי היום, שמפצח אותו בתוך שניות בעיניים טרוטות מעייפות ומשדר. התשובה טסה ברחבי האינטרנט ומשתבצת בחזרה בטופס התשובה באתר המכירות ובינגו – המערכת מתפתה לחשוב שזה אדם, ומאפשרת לרובוט של השחקן הרע לחדור פנימה ולעשות את הדברים הרעים שלו. מערכת ההגנה, שאומנה לאתר התנהגות לא אנושית, נכשלה במשימתה, פשוט כי בסופו של דבר בן אנוש עשה את העבודה.
דו וודס הוא סגן נשיא למודיעין אבטחה בחברת שייפ (Shape), חברת הגנת סייבר שנרכשה לפני כשנה וחצי על ידי ענקית אבטחת הסייבר F5. הוא עבר למגזר העסקי אחרי יותר מ-20 שנה במגזר הציבורי, שם שירת ב-FBI כסוכן מיוחד וחוקר טרור סייבר וכן ב-CIA, שם שימש כקצין תפעול ומתמחה בפעולות סייבר.
אולי האינסטינקטים של סוכן ה-FBI הביאו אותו להחליט לחדור כסוכן סמוי לתוך אחת מחוות הקליקים האלה, ולעבוד כפועל מהשורה בחוות קפצ'ה. הוא לא היה צריך לצאת לסדנאות יזע במלזיה, אלא פשוט להירשם כעובד חדש באחת מחוות הקפצ'ה הפועלות ללא הפרעה גם בארה"ב.
"רציתי להבין איך עובדת המערכת, מהם הכללים ואם יש מגבלות", הוא מספר בשיחה עם ynet, "וכך מצאתי את עצמי מצטרף למחנה האימונים של חוות הקפצ'ה". טוב, לא מדובר בטירונות ממש אלא במערכת שמתרגלת את המועמד לשירות בשורה של קפצ'ה שהולכים ונעשים קשים, וגם מציעה חומר הדרכה לקריאה בשעות הפנאי. עם תום ההדרכה אפשר להתחיל לעבוד מהמחשב בבית, אבל אם אתם חושבים עכשיו שמצאתם מקור הכנסה חדש, מוטב שתחשבו שוב.
"זה היה כיף", הוא אומר, "אבל אני תהיתי כמה כסף אני ארוויח מהעניין. לא ציפיתי שזה יהיה הרבה, אבל עדיין מה שחשבתי היה יותר ממה שקיבלתי בפועל. פתרתי למשל 40 או 50 קפצ'ה ולא הרווחתי על זה אפילו סנט אחד". האתר של חוות הקפצ'ה עוקב אחר ההתקדמות של הפועל ומציג כל העת את הסטטיסטיקה שלו מול חבריו, ואת ההכנסות המצטברות שלו. בממוצע עבור 1,000 קפצ'ה מקבל העובד 30 סנט. ואם הוא בוחר במסלול של הריקפצ'ה הקשים והממושכים יותר, זה יכול להגיע לדולר שלם תמורת 1,000 ריקפצ'ה.
"הם באמת מנצלים אזורים עניים בעולם", אומר וודס. "ראיתי מחקרים שאפשר להגיע ל-3 דולר ליום בעבודה כזו. אבל כשאני פתרתי קפצ'ה לא ראיתי דרך שאני אוכל להגיע ל-3 דולר ביום. יש חוות קליקים שמנסות להציג את עבודתן בצורה חיובית: יש להם עדויות של פועלי קפצ'ה שאומרים: 'פתירת קפצ'ה הצילה אותי. לא היתה לי הכנסה ועכשיו אני יכול לפרנס את המשפחה'. זה כנראה נכון למרבה הצער, כי יש אנשים מאוד עניים בעולם ואם הם יכולים לפתור קפצ'ה 12-14 שעות ביום אולי יותר, אז כנראה שהם ירוויחו 3 דולר ביום. עם סכום כזה לא היית שורד בארה"ב וכנראה שגם לא בישראל, אבל יש אזורים בעולם שעם 3 דולר אפשר לשלם חשבונות".
מי היה המעסיק במקרה שלך?
"זו חברה רוסית אנונימית. והם משלמים לך בביטקוין, כך שזהותם האמיתית לא נחשפת. הם הגיעו אלינו לשייפ יום אחד, כי הם לא אהבו מאמר שכתבנו, ורצו שנכניס תיקונים. אמרתי להם - בואו נדבר על זה בזום, אבל הם סירבו. הייתי שמח לפגוש באנשים שעומדים מאחורי זה, לשמוע כמה כסף הם עושים מזה".
ומי הלקוחות שלהם?
"לדבריהם, יש הרבה לקוחות לגיטימיים. אני חושב שמרבית הלקוחות הם שחקנים רעים, שמשתמשים בכלי שלהם שמאפשר להם לשגר מתקפת שמות משתמש וסיסמאות גנובות על אתרים או במקרים אחרים חברות שרוצות להוריד את כל התוכן מאתר כלשהו. לא כולם פושעים, אבל חוות כאלה מאפשרות אוטומציה לא רצויה, שחלקה למטרות זדוניות וחלקה סתם מהווה מטרד".
האם זה חוקי?
"עצם פתירת קפצ'ה אינה פעילות בלתי חוקית. אבל לעשות את זה עבור מישהו שמעורב בפעילות לא חוקית זה יותר בעייתי. חוות הקפצ'ה יכולה לטעון שלא היתה מודעת איזה שימוש ייעשה בשירות שלה. זו הסיבה שהם מכריזים בגלוי שהשירותים שלהם חוקיים, והלקוחות לגיטימיים – למשל חוקרי אבטחה. אני מניח שכמוני".
ואם הם פועלים מרוסיה, יש להניח שהם מעבר להישג ידו של ה-FBI?
"אכן. אין ספק, שאם היינו שולחים צו חיפוש או דרישה למידע לשלטונות הרוסיים, הניחוש שלי הוא שהם לא יגיבו בזריזות, אם בכלל. אני מקווה שמאחורי הקלעים מישהו משיג את רשימת הלקוחות שלהם ואנחנו רק לא יודעים על זה. אני מקווה שאנחנו לא רק סופגים את מתקפות הסייבר האלה אלא שאנחנו גם משגרים מתקפות נגד, אחרת זה לא ייפסק לעולם".
לייתר את הקפצ'ה
שיטת הקפצ'ה ("אימות אנוש" לפי האקדמיה ללשון העברית) נולדה לפני כ-20 שנה עם השאיפה היומרנית לעשות מבחן טיורינג לזיהוי בינה אנושית. פירוש המילה CAPTCHA הם ראשי תיבות של "מבחן טיורינג ציבורי אוטומטי לחלוטין להבחנה בין מחשבים ובני אדם" וכנראה שמתוך מקריות טעונה זה גם מצלצל באנגלית כמו 'תפסתי אותך'.
אבל זה לא באמת מבחן טיורינג והוא לא מבוסס על סדרת שאלות מעמיקות כמו "האם תציל צב במצוקה תחת השמש קופחת במדבר?", שמביאה לחשיפתו של האנדרואיד ליאון בסרט בלייד ראנר (רידלי סקוט, 1982). הקפצ'ה הראשונים היו מורכבים מאותיות וספרות מקווקוות או מפותלות שצריך לזהות, אבל ככל שיכולת זיהוי הטקסט (OCR) של המכונות השתפרה, היה צריך להקשות את המבחנים. אחר כך המבחנים לזיהוי תמונות, שהם קלים יחסית לבני אדם ומאוד קשים לזיהוי ב-AI, וכאן כנראה נוצרה התובנה שהרבה יותר זול ופשוט להעסיק בני אדם במשכורות רעב מאשר לפתח בינה מלאכותית שמטרתה לפצח קפצ'ה.
"אז עכשיו יש בני אדם, שיושבים בבית או במרכזי מחשבים כל היום, והם רק פותרים קפצ'ה", אומר וודס. "הבוטים מתקשרים איתם באמצעות קוד API כך שהבוט עושה הכל אוטומטית עד שהוא נתקל בקפצ'ה ואז הוא שולח אותה לחוות הקליקים האנושית, ובו אדם פותר את זה ושולח את בחזרה לבוט, והבוט ממשיך עם האוטומציה. קשה לדמיין איזה עינוי זה לעשות את זה לאורך כל יום".
כך יוצא, שחוות הקפצ'ה משגשגות בעידן שבו החדירה האוטומטית המאסיבית לאתרים הפכה לאחת הרעות החולות של עולם הסחר האלקטרוני ושירות הלקוחות. מיליוני בוטים מנסים ממש עכשיו לחדור בכל דרך אפשרית לאתרי סוכנויות נסיעות וחברות תעופה ולהוציא מהן את הצעות המחיר שהם מציעים ללקוחות. הנתונים מאפשרים להציע השוואת מחירים ו"הזדמנויות" של פעם בחיים, אבל על הדרך הבוטים האלה מעמיסים על המערכת עד כדי חשש מנטישת לקוחות, וגם מערכות הגנת הקפצ'ה מצידן מוסיפות שכבת הרתעה והרחקת לקוחות. זה ג'ונגל שם.
חברת שייפ מציעה פתרון שיכול לייתר את השימוש בקפצ'ה. זה גם ההסבר לעניין של וודס בדרך התנהלותן של החוות. אבל הוא אומר שיש משהו לקוי בעצם הרעיון של שימוש בקפצ'ה, שדורש חשיבה מחדש: "בכל פעם שאני נתקל בקפצ'ה אני נהיה מתוסכל. הם באמת מבזבזים את הזמן של העולם כבר עשרות שנים. אין סיבה יותר שיהיו קפצ'ה. הם רק מוסיפים סרבול לשימוש באינטרנט ובגלל חוות הקליקים האלה הם ממילא לא מונעים את המתקפות".
השאיפה להחליף את הקפצ'ה במשהו אפקטיבי יותר משותפת לשייפ ולחברות נוספות. למשל חברת PerimeterX הישראלית. שבנתה מנגנון אימות אלטרנטיבי שמכונה Human Challenge. כאן אתה אמור רק ללחוץ על כפתור ולהחזיק את הכפתור לחוץ זמן קצר והמערכת תזהה שאתה אדם. מאחורי הקלעים היא מפעילה "מלכודות דבש" שמזהות בוטים ומדידת זמן התגובה מאפשר לה לדעת אם הבוט שיגר בקשת התערבות מחוות קליקים מרוחקת.
איך מגיבים הלקוחות לרעיון להחליף את הקפצ'ה במנגנון אחר?
וודס: "כשאנחנו נפגשים עם ארגון ומראים לו שמצאנו שמות משתמש וסיסמאות שלו בדארקנט ושיש דרכים קלות להביס את הקפצ'ה - עם זה קשה לו להתווכח. ואז אנחנו מראים את ניתוח נתוני הטראפיק שלהם: חלק מהחברות האלה סובלות מ-20-30 אחוזים של התקפות אוטומציה ובחלק מהמקרים זה עבר את ה-90 אחוזים. השיא שמצאנו היה 99.9 אחוזים מטראפיק, שהיה מתקפות זדוניות. כשהראנו להם את זה, הם לא קיבלו את זה יפה... הם חשבו שיש להם גידול מצוין בטראפיק ושמדובר בעוד לקוחות. אבל הראנו להם את הדאטה ושכנעו אותם".
