Nyt angreb kan gøre webstedets sikkerheds -captchas forældede

Forskere har skabt ny kunstig intelligens, der kan betyde enden for et af de mest udbredte hjemmesidesikkerhedssystemer.

Den nye algoritme, baseret på dybe læringsmetoder, er den mest effektive løsning af captcha -sikkerheds- og godkendelsessystemer til dato og er i stand til at besejre versioner af tekst captcha -ordninger, der bruges til at forsvare størstedelen af ​​verdens mest populære websteder.

Tekstbaserede captchaer bruger et virvar af bogstaver og tal, sammen med andre sikkerhedsfunktioner såsom okkluderende linjer, at skelne mellem mennesker og ondsindede automatiserede computerprogrammer. Det er afhængigt af, at folk finder det lettere at tyde karaktererne end maskiner.

Udviklet af computerforskere ved Lancaster University i Storbritannien samt Northwest University og Peking University i Kina, løseren leverer betydeligt højere nøjagtighed end tidligere captcha -angrebssystemer, og er i stand til med succes at knække versioner af captcha, hvor tidligere angrebssystemer har mislykkedes.

Opløseren er også yderst effektiv. Det kan løse en captcha inden for 0,05 sekunder ved at bruge en stationær pc.

Det fungerer ved at bruge en teknik kendt som et 'Generative Adversarial Network', eller GAN. Dette indebærer at undervise i et captcha generatorprogram til at producere et stort antal trænings captchaer, der ikke kan skelnes fra ægte captchaer. Disse bruges derefter til hurtigt at oplære en løsningsmand, som derefter raffineres og testes mod rigtige captchas.

Ved at bruge en maskinlært automatisk captcha-generator forskere, eller ville være angribere, er i stand til at reducere indsatsen betydeligt, og tid, nødvendig for at finde og manuelt tagge captchas for at træne deres software. Det kræver kun 500 ægte captchas, i stedet for de millioner, der normalt ville være nødvendige for effektivt at træne et angrebsprogram.

Tidligere captcha -opløsere er specifikke for en bestemt captcha -variation. Tidligere maskinlæringsangrebssystemer er arbejdskrævende at bygge, kræver meget manuel mærkning af captchas for at træne systemerne. De bliver også let forældede af små ændringer i sikkerhedsfunktionerne, der bruges i captchas.

Fordi den nye løsningsmand kræver lidt menneskelig involvering, kan den let genopbygges til at målrette mod nye, eller ændret, captcha -ordninger.

Programmet blev testet på 33 captcha -ordninger, hvoraf 11 bruges af mange af verdens mest populære websteder - herunder eBay, Wikipedia og Microsoft.

Dr. Zheng Wang, Seniorlektor ved Lancaster University's School of Computing and Communications og medforfatter af forskningen, sagde:"Det er første gang, en GAN-baseret tilgang er blevet brugt til at konstruere løsere. Vores arbejde viser, at de sikkerhedsfunktioner, der anvendes af de nuværende tekstbaserede captcha-ordninger, er særligt sårbare under dybe læringsmetoder.

"Vi viser for første gang, at en modstander hurtigt kan starte et angreb på en ny tekstbaseret captcha-ordning med meget lav indsats. Dette er skræmmende, fordi det betyder, at dette første sikkerhedsforsvar for mange websteder ikke længere er pålideligt. Det betyder captcha åbner op for en enorm sikkerhedssårbarhed, som kan udnyttes af et angreb på mange måder.

Hr. Guixin Ye, den hovedstuderende forfatter af værket sagde:"Det giver en modstander mulighed for at starte et angreb på tjenester, såsom Denial of Service -angreb eller brug af spam- eller fiskeribeskeder, at stjæle personlige data eller endda forfalde brugeridentiteter. I betragtning af den høje succesrate for vores tilgang til de fleste tekst -captcha -ordninger, websteder bør opgive captchas. "

Forskere mener, at websteder bør overveje alternative foranstaltninger, der bruger flere lag af sikkerhed, f.eks. en brugers brugsmønstre, enhedens placering eller endda biometriske oplysninger.

Forskningen er offentliggjort i papiret 'Yet Another Text Captcha Solver:A Generative Adversarial Network Based Approach', som blev præsenteret på ACM Conference on Computer and Communications Security (CCS) 2018 i Toronto.