Новая атака может взломать веб-сайт

Исследователи создали новый ИИ, который может означать конец одной из наиболее широко используемых систем безопасности веб-сайтов.

Новый алгоритм, основанный на глубоких методах обучения, является наиболее эффективным решателем для систем защиты и аутентификации captcha (Completely Automated Public Turing test to tell Computers and Humans Apart) на сегодняшний день и способен превзойти версии перехвата текстовых схем captcha, используемых для защиты большинства самых популярных веб-сайтов в мире.

Базированные на тексте captcha используют беспорядок букв и цифр вместе с другими функциями безопасности, такими как заслоняющие линии, для различения людей и вредоносных автоматизированных компьютерных программ. Он основывается на том, что человеку легче расшифровывать символы, чем машине.

Разработанный компьютерными учеными в Университете Ланкастера в Великобритании, а также в Северо-Западном университете и Пекинском университете в Китае, решатель обеспечивает значительно более высокую точность, чем предыдущие системы атак на captcha, и способен успешно взломать версии captcha, где предыдущие системы атаки потерпели неудачу.

Решатель также очень эффективен. Он может взломать captcha в течение 0,05 секунды с помощью настольного ПК.

Он работает с использованием метода, известного как «Generative Adverarial Network», или GAN. Он включает в себя обучение программы генератора captcha для создания большого количества тренировочных captcha, которые неотличимы от настоящих. Затем они используются для быстрой тренировки решателя, который затем уточняется и тестируется на реальных captcha.

Используя автоматический генератор captcha на основе машинного обучения, ученые или злоумышленники могут значительно сократить усилия и время, необходимое для поиска и ручной разметки captcha для обучения своего ПО. Для этого требуется всего 500 настоящих captcha, а не миллионы, которые обычно необходимы для эффективной тренировки программы атаки.

Предыдущие решатели captcha относятся к одному конкретному их варианту. Предыдущие системы атак на базе машинного обучения требовали большого труда для ручной маркировки captcha. Они также легко устаревают из-за небольших изменений в функциях безопасности, используемых в captcha.

Поскольку новый решатель практически не требует участия человека, его можно легко перестроить, чтобы настроить новые или модифицированные схемы captcha.

Программа была протестирована на 33 схемах captcha, из которых 11 используются многими самыми популярными в мире веб-сайтами, включая eBay, Википедию и Microsoft.

Д-р Чжэн Ван (Zheng Wang), старший преподаватель Школы вычислительной техники и коммуникаций Университета Ланкастера и соавтор исследования, сказал: «Это первый раз, когда для построения решателей использовался подход на основе GAN. Наша работа показывает, что используемые функции безопасности по существующим текстовым схемам captcha особенно уязвимы в рамках методов глубокого обучения. Мы впервые показываем, что противник может быстро начать атаку на новую схему отслеживания на основе текста с очень небольшими усилиями. Это страшно, потому что это означает, что эта первая защита безопасности многих веб-сайтов более не является надежной. Это открывает огромную уязвимость системы безопасности, которая может быть использована атакой по-разному.

Исследователи полагают, что веб-сайты должны рассматривать альтернативные меры, которые используют несколько уровней безопасности, таких как шаблоны поведения пользователя, местоположение устройства или даже биометрические данные.