`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Леонид Бараш

Новая атака может взломать веб-сайт

+33
голоса

Исследователи создали новый ИИ, который может означать конец одной из наиболее широко используемых систем безопасности веб-сайтов.

Новый алгоритм, основанный на глубоких методах обучения, является наиболее эффективным решателем для систем защиты и аутентификации captcha (Completely Automated Public Turing test to tell Computers and Humans Apart) на сегодняшний день и способен превзойти версии перехвата текстовых схем captcha, используемых для защиты большинства самых популярных веб-сайтов в мире.

Базированные на тексте captcha используют беспорядок букв и цифр вместе с другими функциями безопасности, такими как заслоняющие линии, для различения людей и вредоносных автоматизированных компьютерных программ. Он основывается на том, что человеку легче расшифровывать символы, чем машине.

Разработанный компьютерными учеными в Университете Ланкастера в Великобритании, а также в Северо-Западном университете и Пекинском университете в Китае, решатель обеспечивает значительно более высокую точность, чем предыдущие системы атак на captcha, и способен успешно взломать версии captcha, где предыдущие системы атаки потерпели неудачу.

Решатель также очень эффективен. Он может взломать captcha в течение 0,05 секунды с помощью настольного ПК.

Он работает с использованием метода, известного как «Generative Adverarial Network», или GAN. Он включает в себя обучение программы генератора captcha для создания большого количества тренировочных captcha, которые неотличимы от настоящих. Затем они используются для быстрой тренировки решателя, который затем уточняется и тестируется на реальных captcha.

Используя автоматический генератор captcha на основе машинного обучения, ученые или злоумышленники могут значительно сократить усилия и время, необходимое для поиска и ручной разметки captcha для обучения своего ПО. Для этого требуется всего 500 настоящих captcha, а не миллионы, которые обычно необходимы для эффективной тренировки программы атаки.

Предыдущие решатели captcha относятся к одному конкретному их варианту. Предыдущие системы атак на базе машинного обучения требовали большого труда для ручной маркировки captcha. Они также легко устаревают из-за небольших изменений в функциях безопасности, используемых в captcha.

Поскольку новый решатель практически не требует участия человека, его можно легко перестроить, чтобы настроить новые или модифицированные схемы captcha.

Программа была протестирована на 33 схемах captcha, из которых 11 используются многими самыми популярными в мире веб-сайтами, включая eBay, Википедию и Microsoft.

Д-р Чжэн Ван (Zheng Wang), старший преподаватель Школы вычислительной техники и коммуникаций Университета Ланкастера и соавтор исследования, сказал: «Это первый раз, когда для построения решателей использовался подход на основе GAN. Наша работа показывает, что используемые функции безопасности по существующим текстовым схемам captcha особенно уязвимы в рамках методов глубокого обучения. Мы впервые показываем, что противник может быстро начать атаку на новую схему отслеживания на основе текста с очень небольшими усилиями. Это страшно, потому что это означает, что эта первая защита безопасности многих веб-сайтов более не является надежной. Это открывает огромную уязвимость системы безопасности, которая может быть использована атакой по-разному.

Исследователи полагают, что веб-сайты должны рассматривать альтернативные меры, которые используют несколько уровней безопасности, таких как шаблоны поведения пользователя, местоположение устройства или даже биометрические данные.

Новая атака может взломать веб-сайт

+33
голоса

Напечатать Отправить другу

Читайте также

Все бы хорошо, но причем здесь "взлом"?
Во-первых, никто никого не "ломает", во-вторых - в 95% случаев "капча" это не защита от "взлома" (чтобы под этим не подразумевалось), а банальный фильтр против автоматических запросов - на регистрацию, поиск по базе и т.п

PS Отдельно "доставляет" упорное именование журналистами (или в данном случае будет правильнее "журноламерами"?) "ИИ" того, что ИИ не является. Вот как освоят нейронные сети самообучение и автокоррекцию - вот только тогда смогут хоть как-то претендовать на звание "ИИ".

Эк вас зашкалило, Glider!
Может, к первоисточникам обратитесь и подискутируете на
эту тему с авторами статьи?

Может, к первоисточникам обратитесь

Может, если ссылка на оные будет приведена (еще один бич современности, кстати - указывать первоисточники совсем перестали).
Впрочем, я сомневаюсь, что именно ученые будут клеить ярлык "ИИ" куда попало, вот кто-нить из PR отдела университета - те да, могут.

Эк вас зашкалило

Надоело, потому что - ладно бы была девочка-филолог переводящая очередной пресс-релиз, но Вы-то - давно пишущий именно в IT области журналист, причем на темы все больше с "академическим" уклоном - можно же с терминами аккуратнее обращаться?

Вот цитата из пресс-релиза Ланкастерского университета:
"
New attack could make website security captchas obsolete

Lancaster University

Researchers have created new artificial intelligence that could spell the end for one of the most widely used website security systems.

The new algorithm, based on deep learning methods, is the most effective solver of captcha security and authentication systems to date and is able to defeat versions of text captcha schemes used to defend the majority of the world's most popular websites.

На этом, с вашего позволения, я заканчиваю дискуссию.

Присоединяюсь к просьбе добавлять ссылки на первоисточники

Ссылки легко находятся по фамилиям авторов и университету с помощью Google (я это проделал). Но уверен, что вы не будете покупать статью, чтобы удостовериться, правильно ли я использую (а фактически, перевожу) терминологию.

Какое то время назад я уже поднимал тему ссылок в блогах и Лаптев меня тогда поддержал.
З.Ы. Маслом кашу не испортишь, а вот статья в интернет издании без единой ссылки это грустно очень :-(

Как я уже писал, все статьи платные.
Если вы будете готовы купить какую-то статью, напишите, я специально для вас приведу ссылку.
Однако гораздо проще найти статью с помощью Google. Для этого для желающих я специально привожу фамилии авторов на языке оригинала. Этого, ИМХО, вполне достаточно.

Так что нет смысла мусолить эту тему.

ИМХО, от комментариев автора,- попахивает снобизмом, да и про наш достаток,автор, видимо - не очень лестного мнения. Хотя,именно его заметки я читаю с неподдельным интересом и за это, ему - отдельное спасибо.

Странно, что никто не отметил, что в новости отсутствует ссылка на первоисточник.

Вот ссылка на публикацию:

www.lancaster.ac.uk/staff/wangz3/publications/ccs18.pdf

Оце, вже - дякую! Почитав. Як стало зрозуміло, цей метод стосується систем "капча" які, дійсно досить поширені, але все ж вважаються застарілими і на "сучасні" сайти їх вже не "прикручують". До речі, можете теж купити щось, це 2010-й рік, все те саме про що йдеться і за Вашим посиланням: http://irbis-nbuv.gov.ua/cgi-bin/irbis_nbuv/cgiirbis_64.exe?C21COM=2&I21...

Час і техніка - не стоять на місці. :)

Комьюнити - страшная сила...

Да не сила, а головная боль.

Бывает, зато заставляет поддерживать форму.

Не без этого. Но главное - воспитывает доброжелательность к читателям :)

Что бы не беспокоится за атаки, нужно вовремя тестировать защиту веб-сайта!
https://h-xtech.com/ru/services?r=ak&c=9

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT