जीवन का प्रमाण: कैप्चा ने इंटरनेट को कैसे बदल दिया

याहू! – और कुछ हद तक हॉटमेल – 1990 के दशक के अंत में इंटरनेट के राजा थे। उनकी निःशुल्क वेबमेल सेवाओं ने मॉडेम वाले किसी भी व्यक्ति को डिजिटल पहचान प्रदान की। लेकिन इस खुलेपन में एक घातक दोष था: यह विश्वास पर बनाया गया था।

1999 तक, स्पैम बॉट की पहली पीढ़ी द्वारा उस भरोसे का शोषण किया जा रहा था।

संकट से पता चला कि इंटरनेट पहले से ही कितना असुरक्षित हो गया था। पायथन की बुनियादी समझ वाला एक प्रेरित किशोर एक सरल स्क्रिप्ट लिख सकता है जो वेबसाइटों के साथ सीधे बातचीत कर सकती है। इन कार्यक्रमों के लिए इंटरनेट की बारीकियों को समझने की आवश्यकता नहीं थी। उन्हें बस यह पहचानने की ज़रूरत है कि, जब उन्हें “ईमेल_एड्रेस” लेबल वाला HTML फ़ील्ड मिले, तो उन्हें यादृच्छिक वर्णों की एक स्ट्रिंग इंजेक्ट करनी चाहिए, और जब उन्हें “सबमिट” लेबल वाला बटन दिखाई दे, तो उन्हें एक क्लिक का अनुकरण करना चाहिए।

इन स्क्रिप्ट्स ने इंटरनेट को “स्क्रिप्ट किडीज़” के रूप में जाना जाने वाले खेल के मैदान में बदल दिया: वे लोग जो पूर्व-लिखित कोड का उपयोग अराजकता पैदा करने के लिए करते थे, बिना यह समझे कि यह कैसे काम करता है। स्क्रिप्ट “बिना सिर के” थीं, जिसका अर्थ है कि उन्हें उन छवियों या स्टाइल को लोड करने की आवश्यकता नहीं थी जो एक मानव देखेगा। वे प्रोसेसर की गति से चलते हुए, वेबसाइटों के कच्चे टेक्स्ट कंकालों पर काम करते थे। जहां एक इंसान को साइन-अप प्रवाह को नेविगेट करने में दो मिनट लग सकते हैं, वहीं एक मूल स्क्रिप्ट उसी क्रम को मिलीसेकंड में निष्पादित कर सकती है।

याहू के समय तक! और हॉटमेल को एहसास हुआ कि उन्हें एक समस्या है, बार-बार चलने वाले मुट्ठी भर कंप्यूटरों द्वारा लाखों नकली खाते बनाए गए थे।

यह प्रारंभिक स्वचालन आधुनिक बॉटनेट का मौलिक सूप था।

स्पैम बॉट्स की उत्पत्ति की निगरानी और ट्रैक करने के वास्तविक समय के प्रयास जल्द ही बहुत बोझिल हो गए। कोई दूसरा समाधान ढूंढना होगा.

यह कार्नेगी मेलॉन विश्वविद्यालय की एक टीम थी, जिसका नेतृत्व 21 वर्षीय लुइस वॉन आह्न ने किया था, जिसने 2000 में एक उत्तर दिया था: जिसे कंप्यूटर और इंसानों को अलग-अलग बताने के लिए पूरी तरह से स्वचालित सार्वजनिक ट्यूरिंग टेस्ट या कैप्चा कहा जाने लगा।

यह अवधारणा अपनी विडंबना में सुंदर थी। एक मशीन मानवता का न्याय करेगी. विकृत पाठ प्रदर्शित करके जिसे मनुष्य पैटर्न पहचान के माध्यम से पढ़ सकता था, लेकिन जिसने उस समय के ऑप्टिकल कैरेक्टर पहचान सॉफ्टवेयर को चकित कर दिया था, टीम ने एक डिजिटल गेट बनाया।

और कुछ वर्षों तक इसने काम किया। लेकिन किसी भी तकनीकी समाधान की तरह, हथियारों की दौड़ अभी शुरू ही हुई थी।

अगले पुनरावृत्ति, reCAPTCHA (वॉन आहन द्वारा 2007 में आविष्कार किया गया) ने छवियों के परिचित ग्रिड पेश किए, जो उपयोगकर्ताओं से अग्नि हाइड्रेंट, साइकिल या यातायात संकेतों की पहचान करने के लिए कहते हैं। यह चतुर सोशल इंजीनियरिंग थी.

जबकि उपयोगकर्ताओं ने सोचा कि वे एक वेबसाइट तक पहुंचने के लिए केवल इंसानों के रूप में अपनी स्थिति साबित कर रहे थे, वे कृत्रिम बुद्धि की अगली पीढ़ी को प्रशिक्षित करने के लिए आवश्यक विशाल डेटासेट, मुफ्त श्रम भी प्रदान कर रहे थे। एआई ने हम सभी से सीखा कि साइकिल कैसी दिखती है। हमारे द्वारा पहचाने गए प्रत्येक क्रॉसवॉक ने सेल्फ-ड्राइविंग कारों को दुनिया को देखने का तरीका सिखाने में मदद की।

***

2018 में, एक मौलिक बदलाव। Google, जिसने सितंबर 2009 में कार्नेगी मेलन से CAPTCHA का अधिग्रहण किया, ने reCAPTCHA v3 लॉन्च किया। उपयोगकर्ताओं को चुनौतियों से बाधित करने के बजाय, यह संस्करण लगभग पूरी तरह से पृष्ठभूमि में संचालित होता है। जावास्क्रिप्ट एपीआई (या एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस) का उपयोग करते हुए, यह प्रत्येक इंटरैक्शन को 0.0 और 1.0 के बीच एक स्कोर प्रदान करता है, जो दर्शाता है कि बॉट होने की कितनी संभावना है (1.0 एक उच्च संभावना का प्रतिनिधित्व करता है कि उपयोगकर्ता मानव है)।

यह प्रणाली निरंतर, अदृश्य निगरानी में से एक बन गई, जो उपयोगकर्ताओं को पहेली को हल करने की उनकी क्षमता के आधार पर नहीं बल्कि उनके माउस आंदोलनों की गड़बड़ी और उनकी स्क्रॉलिंग की अप्रत्याशित लय के आधार पर आंकती थी।

इस कदम से नई समस्याएँ उत्पन्न हुईं। जब सिस्टम मानक उपयोगकर्ताओं से अपेक्षित “अव्यवस्थित” डेटा नहीं देख सका, तो यह संदेह के घेरे में आ गया। पावर उपयोगकर्ता जो बिजली की तेजी से कीबोर्ड शॉर्टकट के साथ नेविगेट करते हैं, या जो गोपनीयता-केंद्रित ब्राउज़र का उपयोग करते हैं जो ट्रैकिंग स्क्रिप्ट को ब्लॉक करते हैं, उन्होंने बॉट गतिविधि के लिए गलत सकारात्मकता को ट्रिगर करना शुरू कर दिया। उपयोगकर्ताओं ने खुद को “कृपया पुनः प्रयास करें” के अनंत चक्रों में फंसा हुआ पाया, या बिना स्पष्टीकरण के सेवाओं से पूरी तरह से अवरुद्ध कर दिया।

इस बदलाव ने पहुंच के लिए विशेष चुनौतियाँ पैदा कीं। पारंपरिक कैप्चा की तरह, reCAPTCHA v3 दिव्यांगों और सहायक उपकरणों के उपयोगकर्ताओं के लिए एक बाधा बन गया। प्लेटफ़ॉर्म ने ईमेल कोड और ऑडियो चुनौतियों जैसे बैकअप प्रमाणीकरण विकल्प पेश करना शुरू कर दिया, लेकिन इसने उसी घर्षण को फिर से प्रस्तुत किया जिसे सिस्टम खत्म करने का प्रयास कर रहे थे।

***

इन दृश्य समस्याओं के तहत, ऑनलाइन पहचान का अनुमान कैसे लगाया जाता है, इसमें एक शांत बदलाव आया है।

आधुनिक बॉट डिटेक्शन तेजी से डिवाइस फ़िंगरप्रिंटिंग पर निर्भर करता है: उपयोगकर्ता के वातावरण के बारे में दर्जनों या सैकड़ों छोटे संकेतों का एकत्रीकरण। स्क्रीन रिज़ॉल्यूशन, इंस्टॉल किए गए फ़ॉन्ट, जीपीयू विशेषताएँ, ऑडियो स्टैक व्यवहार, क्लॉक ड्रिफ्ट, नेटवर्क पैटर्न, इनमें से कोई भी अपने आप में पहचान नहीं कर रहा है, लेकिन साथ में वे एक डिवाइस का एक संभाव्य सिल्हूट बनाते हैं।

इस फ़िंगरप्रिंट को विश्वसनीय रूप से बनाना कठिन है।

बचना भी मुश्किल है.

जो उपयोगकर्ता जावास्क्रिप्ट को अक्षम करके, उपयोगकर्ता एजेंटों को यादृच्छिक बनाकर, ट्रैकर्स को अवरुद्ध करके, या वर्चुअल प्राइवेट नेटवर्क या वीपीएन के माध्यम से ट्रैफ़िक को रूट करके अपनी गोपनीयता की रक्षा के लिए जानबूझकर कदम उठाते हैं, अक्सर फिंगरप्रिंट के साथ समाप्त होते हैं जो सांख्यिकीय रूप से दुर्लभ होते हैं। विसंगतियों का पता लगाने के लिए प्रशिक्षित प्रणालियों में, दुर्लभता स्वयं संदिग्ध है।

यह प्रारंभिक इंटरनेट के मूल्यों में उलटफेर पैदा करता है। जहां गुमनामी एक समय डिफ़ॉल्ट थी, अब इसे संभावित खतरे का संकेत माना जाता है। कोई व्यक्ति जितना अधिक अपारदर्शी होना चुनता है, उसे उतने ही अधिक घर्षण का सामना करने की उम्मीद हो सकती है। भरोसा अब केवल प्रमाण-पत्रों से नहीं, बल्कि एक अपेक्षित पैटर्न के अनुरूप होने से दिया जाता है।

हालाँकि यह अभी भी सत्य है कि द्वारपाल को यह जानने की आवश्यकता नहीं है कि आप कौन हैं; उसे केवल यह जानने की जरूरत है कि आप दूसरों की तरह व्यवहार करते हैं जैसा उसने पहले देखा है… उस स्तर को पूरा करने के लिए, आपको उसे कम से कम यह बताना होगा कि आप कौन हैं।

***

इस बीच, बॉट तेज़, सस्ते और स्मार्ट होते जा रहे हैं। परिष्कृत कार्यक्रम मानव क्लिक की नकल कर सकते हैं और एआई का उपयोग करके बुनियादी छवि पहेली को भी हल कर सकते हैं।

एआई के साथ अब दोनों पक्षों के लिए एक उपकरण बन गया है, लड़ाई उच्च स्तर पर जा रही है।

बॉट्स को मात देने की कोशिश करने के बजाय, अरकोस लैब्स जैसी कंपनियों द्वारा बनाए गए एल्गोरिदम स्क्रिप्ट को पलट रहे हैं – बस उन्हें करने के लिए बहुत कुछ देकर।

उच्च जोखिम वाले साइबर अपराध की दुनिया में, निवेश पर रिटर्न ही एकमात्र मीट्रिक है जो मायने रखता है। यदि किसी हमले को अंजाम देने में डेटा की तुलना में बिजली और सर्वर का समय अधिक खर्च होता है, तो हमलावर आसानी से भाग जाएगा।

इसलिए आधुनिक प्रूफ-ऑफ-वर्क प्रणालियाँ आगंतुक के कंप्यूटर को जटिल पृष्ठभूमि गणितीय पहेलियों को हल करने के लिए बाध्य करती हैं। आधुनिक उपकरण वाले वैध मानव उपयोगकर्ता के लिए, यह कार्य एक मामूली पृष्ठभूमि ब्लिप है। लेकिन लाखों समवर्ती लॉगिन का प्रयास करने वाले बॉटनेट के लिए, यह अत्यधिक महंगा हो जाता है।

जानबूझकर अक्षमता की इस रणनीति में, सिस्टम बॉटनेट को सीपीयू चक्रों और बिजली के माध्यम से जलने देता है। जब तक यह अपना उत्तर प्रस्तुत करता है, तब तक यह अपनी दृढ़ता के माध्यम से अपनी यांत्रिक प्रकृति को प्रकट कर चुका होता है। द्वारपाल इसे अंदर नहीं जाने देगा।

हो सकता है कि युद्ध जीत लिया जाए, लेकिन यह युद्ध का अंत नहीं होगा।

हम उस बिंदु पर पहुंच गए हैं जहां एआई हमारी तरह इतना कार्य कर सकता है कि हमें यह साबित करने के लिए जटिल तरीकों का आविष्कार करना होगा कि हम वे नहीं हैं। चूँकि हम इंटरनेट के अधिक बुनियादी इंटरैक्शन को स्वचालित करने के लिए कृत्रिम बुद्धिमत्ता का उपयोग करते हैं, हम उन सुलभ प्रवेश बिंदुओं को हटाने का जोखिम उठाते हैं जो एक बार सभी को भाग लेने की अनुमति देते थे।

इस बीच, द्वारपाल अदृश्य हैं, परीक्षण व्यवहारिक हैं, और प्रवेश की लागत डेटा की एक निरंतर धारा है कि हम कैसे चलते हैं और सोचते हैं। बॉट्स को बाहर रखने के हमारे प्रयास में, हमने एक ऐसी प्रणाली बनाई है जिसके लिए हमें अदृश्य रूप से देखने, ट्रैक करने और काम करने की आवश्यकता होती है, केवल यह साबित करने के लिए कि हम इंसान हैं।

अब सवाल यह नहीं है कि क्या हम बॉट्स से आगे रह सकते हैं। लुईस कैरोल की ऐलिस कहानी में रेड क्वीन की तरह, हम एक ही स्थान पर बने रहने के लिए कितनी तेजी से दौड़ सकते हैं।

सिवाय इसके कि यह वही जगह नहीं है, है ना? हमारे पास पहले से ही वह खुलापन और गुमनामी नहीं है जिसने शुरुआत में इंटरनेट को इतना क्रांतिकारी बना दिया था।

(के नारायणन फिल्मों, वीडियोगेम, किताबों और कभी-कभी प्रौद्योगिकी पर लिखते हैं)