ClickClickClick的中忍考試 : 民族主義與網路安全?

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”

Posted by Mr. Friday

如果你在這之前不知道ClickClickClick.com是什麼玩意兒的話, 看到這邊應該會很傻眼: 這是怎麼回事!? 這個遊戲哪裡好玩了!? 針對這個問題, Mr. Friday在這邊要說: 這個遊戲的本質遊戲性非常低, 但是整個遊戲中網友的互動過程卻非常有趣. 何解? 以下的文章會試著從它的遊戲規則, 網友的民族主義心態, 以及網路安全控管制度來觀察一番. 本文最想要表達的是, 這場遊戲雖然目前發展的技術都還只是小兒科, 但是這股風潮的走向與技術發展, 卻不得不讓人特別留心.

ClickClickClick.com 是什麼? 相信有很多讀者已經知道了, 這是最近在台灣網路圈掀起一陣炫風的點滑鼠競賽. 網友只要連到clickclickclick.com, 網頁就會先根據你的網路位置得知你的國籍, 然後把你在這個網頁上點擊滑鼠的次數算到該國總數裡面, 然後做成一張排行榜, 比賽哪個國家在這段時間內點擊最多次. 說實話, 任何人第一眼看到這個遊戲時, 應該都會覺得…真是有夠宅 ! 然而這個遊戲的資訊經過網友在ptt八卦版揭露後, 立刻引起一陣炫風, 短短的四小時內, 台灣的點擊數排名立刻從34名暴漲到第3名, 點擊的情況如下圖所示:

(這張恐怖的倒L型圖是台灣升到第3名時的排行圖, 台灣是黃色那條, 而前兩名因為點擊數太高而未出現在這張圖上)

PTT的八卦版眾為此瘋狂, blog圈立刻也一片"風行草偃", 許多blog也立刻加入鼓吹網友參與點擊的行列(懶人包網頁1, 懶人包網頁2, 懶人包網頁3), 開設了官方wiki網站, 甚至有許多人做了好多宣傳和加油海報…

(網友pcmangood的創作)

(網友Hollowcorpse做的台灣應援圖)

如果你在這之前不知道ClickClickClick.com是什麼玩意兒的話, 看到這邊應該會很傻眼: 這是怎麼回事!? 這個遊戲哪裡好玩了!? 針對這個問題, Mr. Friday在這邊要說: 這個遊戲的本質遊戲性非常低, 但是整個遊戲中網友的互動過程卻非常有趣. 何解? 以下的文章會試著從它的遊戲規則, 網友的民族主義心態, 以及網路安全控管制度來觀察一番.

這個遊戲吸引人的第一個要素應該是在國家點擊次數排行榜. 當你連上ClickClickClick.com(以下簡稱Click*3)首頁的時候, 下面有個國家排行榜的連結, 點進去就會看到這個排行榜 (此為舊圖, 昨天晚上台灣已經突破兩億次了):

我也不知道這個排行榜是怎麼激起台灣人的民族意識的, 總之它就是發生了. 民族意識恐怖就在這裡, 明知道台灣的點擊次數比前兩名差得遠, 甚至比日本減掉匈牙利的點擊數還要少, 大家還是拼命給他點下去, 這大概是因為一股不服輸的精神吧? 縱使知道自己因為太晚加入遊戲而遠遠落後, 但是至少要展現台灣人的拼戰精神, 而且也宣告下一回合的比賽會成為前兩名強勁的對手?

不過台灣能在短短四五天內就衝破兩億次, 說起來也並不完全靠的是純粹的點擊…我們先來看Click*3的規則說明吧! Click*3的遊戲規則(在About ClickClickClick.com)中有這麼一條:

• Anyone who misuses the game with scripts or in any other way will be banned. (任何想透過script或其他方式作弊的人, 將被封鎖)

這裡的封鎖指的是封鎖IP. 看起來這個網站會封鎖所有試圖作弊的人…所以大家都是乖乖的慢慢點擊囉…?

錯! 如果你這麼想, 這個遊戲就真的一點樂趣都沒有了. 還記得火影忍者(還有忍者亂太郎)漫畫裡面是怎麼描述中忍考試的嗎? 事實上大家都還是在作弊, 而監考老師要抓的是那些作弊作得太爛的人XD…如果換到這個比賽的現況, 應該說大家在比的是“如何在不被ban IP的情況下, 灌到最多票!"

先給大家看幾個有趣的灌票方式, 電鑽灌票法@匈牙利

電扇灌票法@匈牙利

生化武器@日本

生化武器這個可能比較多人看過, 因為太好笑了XD…但是說真的, 這些都是小咖, 畢竟都還是"真的動手點", 如果能夠直接用灌票程式灌爆分數不是更美?

講到這裡要再拉回頭說一下Click*3的遊戲規則, :

• 參賽者先在網頁上自行點擊滑鼠, 點超過50下就可以開始把剛剛你按的次數傳到click*3的主機, 把你剛剛點的次數加總到全國點擊數中.
• 每次最多只能點擊999次滑鼠, 之後要手動輸入圖形驗證碼才能再繼續
• 倘若你送出的點擊頻率太高, 例如兩秒內竟達到兩次999點擊, 則click*3會把你的IP封鎖掉
• 如果click*3主機偵測到你某次點擊數竟超過999, 則也會被封鎖IP

後面這兩點是許多前輩拋頭顱灑熱血, 被封鎖掉許多IP換來的教訓. 好了, 知道了這些規則, 那麼要怎麼破解它呢…?

當然啦方法有很多種, 先講大家都做得到的:

• 直接用按鍵精靈之類的外掛小程式幫你模擬點擊, 先把點擊次數灌到999再輸入驗證碼

這是我最先在八卦板上看到的方法. 後來大家也發現, 透過程式要將點擊灌到999是很容易的一件事, 最簡單明瞭的莫過於網友snape0125提供的這個方法:

• 先按幾下 讓Click here to add to total出現
  (他是算秒不是算幾下 不過秒數到還是要按一下 字才會出來)
• 在網址列輸入 javascript:clkcnt=998;ck(); 會馬上變成999 就可送出加分了

這個用javascript控制瀏覽器的招數可謂簡單明瞭, 但若用太快送出太多假點擊數, 還是會被ban, 有沒有能一次送很多但不會被ban的方法? 另外就是圖片認證碼的問題, 每次送出後還是得重新打認證碼, 有沒有比較快的方法?

(註: javascript不是java, 一堆網友搞錯)

妙的是這兩個問題分別被匈牙利和日本解掉了. 我們先來看匈牙利:

匈牙利多頭龍(據說是5/31研發出來的)

底下有35個視窗, 通通在執行自動點擊程式! 換言之, 別人點一次的時間, 匈牙利人已經點了35下了! 這是怎麼做到的?

根據網友冒死滲透匈牙利後得知的結果, 匈牙利人是開了多重帳號(多重影分身!?)來執行, 程式碼大概像這樣:

net user a 0 /ADD
runas /user:localhost\a autofire.exe
net user b 0 /ADD
runas /user:localhost\b autofire.exe
net user c 0 /ADD
runas /user:localhost\c autofire.exe
net user d 0 /ADD
runas /user:localhost\d autofire.exe

這個程式開了35個身分, 因此可以在短時間之內比別人快35倍! 然而, 每個身分還是只能點999下, 過一小段時間還是得輸入圖形驗證碼才行! 而且影分身的關係, 它出現圖形驗證碼的次數也是一般灌票程式的35倍快! 那麼, 有沒有解決圖形驗證碼的方法呢?

要了解怎麼破解圖形驗證碼, 就必須先來了解一下它是什麼. 圖形驗證碼長得就像我們去測色盲時會看到的圖片:

沒錯, 這也就是我們常常在部落格留言時被要求輸入的東西. 圖形驗證碼是目前已知最容易撰寫出來, 也最有效抵擋垃圾留言的工具. 對於人來說, 要辨識圖片中的數字往往不難, 但是對機器來說可就痛苦了. 首先是文字的字型大小不一, 旋轉的角度不一, 圖片中會出現的字母有可能是數字, 也有可能是英文字母, 更可能是!^$%這種亂碼, 而且為了增加機器自動辨識的難度, 圖片中往往還會加入干擾線, 像是上圖就各自有三條干擾線: 左上到右下的黑線, 中間正下方半圓形黑線, 還有右上到左下的白線. 如果要再增加難度, 可能還會把每個字母塗上不同的顏色, 甚至一個字母裡面還有多個顏色的漸層…你知道嗎? 一個略懂程式設計的人, 大概只要研究半天就可以根據網路上的免費程式碼, 做出各式各樣不同的圖形驗證碼檔案, 而有心想要用圖片辨識來破解當中文字的人, 卻可能花上很久的時間卻仍然徒勞無功.

那麼, 這麼厲害的圖形驗證碼為啥卻被日本破解了呢? 說來也不能說日本是真正破解了驗證碼的機制, 而應該說日本是集眾人之力蒐集"考古題"來應答. 怎麼說呢? 其實Click*3是可以每開一次網頁就隨機生出一張圖形驗證碼來考大家, 然而因為網站流量太高, 這樣做太浪費網站資源, 所以Click*3就跟其他網站一樣, 先在本地端生出了一大堆圖片, 然後每當一個網友開網頁, 就隨機從圖庫中抽一張來考人. 也因為這樣, 所以日本方面有人傾網友之力, 蒐集了幾乎所有出現過的圖形驗證碼和答案, 再依此為根據做了一個"自動應答機"…有了這個工具, 電腦就可以一直開著讓他灌票下去, 完全全自動!

可惜的是, 這個全自動灌票機雖然可以規避目前的圖形驗證碼, 但只要Click*3那邊突然心血來潮, 換了一批新圖庫, 那麼之前的全自動灌票機就會通通無效, 網友們就要重新蒐集新圖片與新答案了(不過動員網友蒐集其實也還蠻快的)…

好, 話說到這邊, 也許有的網友會感到很興奮, 覺得這個破解大戰越看越有興味. 不過, 在這邊Mr. Friday要來說一點不一樣的感想了. 我要說的是, 這場破解大戰雖然目前發展的技術都還只是小兒科, 但是這股破解風潮的走向與技術發展卻不得不讓人特別留心. 以現在的走勢來看, Click*3的遊戲以國家排名為號召, 引來了一群具有民族意識的人來群集研究他們的網路安全技術, 並試圖駭掉該網站. 我們必須記得的是, 圖形驗證碼目前被廣泛用於擋垃圾留言, 如果被圖形驗證碼經過這幾輪比賽後被哪個國家全面性的破解掉的話, 整個網路部落格世界大概會亂掉一大半…如果, 今天Click*3還用了一些商業上常用到的加密方式 (例如Private/Public keys) 來防範作弊, 會不會誘發大量駭客來破解該技術, 進而造成實際世界的大亂?

應該很多人會覺得我在危言聳聽或者杞人憂天. 事實上…我也覺得我上面說的話應該不太可能會成真. 但是這都只是猜想未來的可能性, 誰能說Click*3未來不會採取認證技術來監控使用者呢? 如果真的有一天Click*3這樣做了, 而全世界各地的愛國駭客都群集來破解它, 一旦破解了, 對真實世界所造成的傷害, 誰又該來負責? 網友在開發各種新兵器之時, 是否曾經想過這個問題呢?

(換一個角度來想, 如果有哪一個機制能完美抵擋全世界網友的瘋狂破解攻擊, 應該也會對這世界帶來好處 : 至少證明有一種做法是能夠杜絕網路灌票的! 當然, 我也認為這不太可能發生…)

另外一點值得觀察的是網友之間的攻防戰. 如同前面所述, 匈牙利擁有了開多重影分身的技術, 而日本則學會如何製作全自動灌票機, 有趣的是, 這兩國在技術上是互補的, 但是彼此都不了解對方的程式技術, 所以兩國網友都在秘密滲透對方的網站(雖然語言都不通)…但是最有趣的, 還是台灣網友的反應. 台灣與日本因為歷史與文化因素, 對彼此比較了解, 因此在台灣加入戰局, 開始仿效日本匈牙利製作破解程式之後, 日本方開始也有網友進行滲透與情報戰; 台灣方面呢? 自然也有人盯著日本最大的2ch論壇觀察最新留言囉…當然, 日本,匈牙利,與台灣目前還是在一種良性競爭的情況下進行, 但是各自也在研究如何避免對方滲透…例如台灣方就在討論灌票程式的解壓縮密碼要用什麼語言, 才能避免日本匈牙利, 甚至是未來戰友香港與大陸網友(這最麻煩, 畢竟同文同種)的破解…一場網路反滲透大作戰, 正在悄悄的發酵中…

關於這點, 我想各位也許現在還不必太認真, 但是可能要注意到這是未來戰爭的趨勢…畢竟現在網路如此發達, 許多企業與個人都仰賴網路來進行每日必須的通訊, 如果哪天有外敵透過網路發動攻擊, 我們要怎麼面對敵人的監控而繼續進行秘密通訊? 現在的軍事潮流慢慢轉向"超限戰"的方向, 難保哪天哪個國家(不一定是台灣), 就會面臨這樣的攻擊也說不一定, 到那一天, 我們要如何保持安全的通訊呢…?

(唉, 我會不會想太多了啊?)

這篇心得寫得有夠長, 本來是昨天晚上開始動手寫, 今天才寫到一半, 竟然就聽說第六回合Game 6已經開始了! 台灣一開始短暫的取得領先…(網友Yearwood擷圖)

如果你是對Click*3有興趣的朋友, 不妨現在就拿起你們的"武器 “, 參與這場充滿民族主義氣息的網路駭客大戰吧!

延伸閱讀:

Click*3續觀察 : 圖形驗證與網路分工

About these ads