6

Łamanie kodów reCAPTCHA to ich specjalność. Niecodzienna metoda

Kilka dni temu pisaliśmy dla Was o mechanizmie opartym na sztucznej inteligencji, który całkiem dobrze radził sobie z łamaniem kodów CAPTCHA. Okazuje się, że to nie jedyne osiągnięcie na tym polu - eksperci z Uniwersytetu w Maryland opracowali nowatorskie rozwiązanie wycelowane głównie w reCAPTCHA od Google. Nie wykorzystują oni jednak standardowych obrazków - najsłabszym ogniwem okazało się być... ułatwienie dla osób niepełnosprawnych.

Google akurat bardzo dba o to, by nowe technologie nie sprawiały nikomu trudności – nawet, jeżeli użytkownik nie może w standardowy sposób obsługiwać interfejsów, bo na przykład jego wzrok nie jest tak dobry jak w przypadku osób całkowicie zdrowych. Dlatego też, przy okazji istnienia reCAPTCHA, wprowadzono także wariant odsłuchu kodu uwierzytelniającego. Na życzenie użytkownika, reCAPTCHA odtworzy wygenerowany plik dźwiękowy, z którego należy dosłownie przepisać ciąg znaków. I właśnie w taki sposób badaczom z Maryland udało się złamać 450 kodów tylko w 6 sekund. Dodatkowo, odbyło się to ze zdumiewającą dokładnością – 85,15 prób zakończyło się pełnym powodzeniem.

Ponownie pomogła sztuczna inteligencja. reCAPTCHA i podobne mechanizmy nie gwarantują bezpieczeństwa

unCAPTCHA, czyli mechanizm oparty na rozpoznawaniu mowy korzysta z systemów test to speech posiłkując się dokonaniami innych firm technologicznych – np. Microsoftu, IBM, Google. Tuż po swoim sukcesie, eksperci z Uniwersytetu Maryland postanowili podzielić się z Google wynikami swoich prac – to zaś pozwoliło na dopracowanie mechanizmu reCAPTCHA, który krótko po tym sprawiał większe kłopoty łamaczowi.

recaptcha

To nie jedyny przypadek, w którym udowodniono niedomagania metod CAPTCHA

W związku z rozwojem sztucznej inteligencji oraz metod rozpoznawania mowy oraz tekstu, nawet w przypadku ich odpowiedniego „obrobienia” tak, aby niemożliwe było ich odczytanie przez maszyny, metody CAPTCHA zaczynają zawodzić. Niedawno pisaliśmy dla Was o technice, która wykorzystuje zasadę działania ludzkiego oka – pozwoliła na uzyskanie bardzo dobrych wyników w trakcie łamania kodów CAPTCHA od różnych dostawców. Warto przy tej okazji wspomnieć o tym, że gdy ogół udanych prób rozwiązywania takich zadań przez boty jest wyższy niż 1 procent, należy uznawać, iż CAPTCHA została permanentnie złamana i należy w niej wdrożyć odpowiednie poprawki. Z tym, że będzie nam coraz trudniej oszukać boty, które cały czas są trenowane w pokonywaniu metod różnicowania maszyn od ludzi.

Zdecydowanie istnieje zbyt mało alternatyw dla kodów CAPTCHA. Możliwe, że zadania stawiane przed użytkownikiem będą znacznie bardziej wyrafinowane i będą się opierały już nie na rozpoznawaniu obiektów (to już maszyny potrafią), ale na wykonywaniu określonych akcji, czy też odpowiedzi na bardziej skomplikowane pytania. W każdym razie – tego typu badania są potrzebne, aby usprawnić zabezpieczenia – pytanie tylko, gdzie istnieje granica, po przekroczeniu której będzie można uznać, że z CAPTCHA nie da się już nic więcej zrobić.

  • maxprzemo

    reCAPTCHA (ten od rozpoznawania obiektów typu „znaki drogowe, samochody, mosty”) też jest już praktycznie przeżytkiem.
    W dobie „uczących się maszyn” to jest tylko kwestia miesięcy kiedy ten mechanizm zostanie złamany.
    Ostatnio przeglądałem taki tutorial https://pythonprogramming.net/introduction-use-tensorflow-object-detection-api-tutorial/
    Są już gotowe API dla amatorów do uczenia maszynowego rozpoznawania obiektów na zdjęciach. Czyli złamanie zabezpieczeń reCAPTCHA jeśli już nie nastąpiło, to nastąpi wkrótce.

    • Szymon Pieprzyk

      recaptcha z obrazkami nigdy nie było tworzone dla dobrego zabezpieczenia tylko wytrenowania AI Google’a w rozpoznawaniu obiektów a trenuje je pół internetu

  • kubastick

    O dziwo capatcha PoF od coinhave zaczyna mieć sens, dla atakującego jest nieopłacalne wykopywać 256 hashy monero dla 1 potwierdzenia

  • Tomasz

    moment. Wpisujemy te upierdliwe kody, aby potwierdzić że jesteśmy ludzmi. po co? Ano po to, aby założyć email, wysłać załącznik, wykonać jakieś działanie, które wykonywane zbyt szybko, zbyt często zabardzo obciążałoby serwer. Ja mam taki pomysł. czy nie możnaby wywalić tego upierdliwego kodu, ale w zamian za to, blokować dostęp z tego komputera na godzinę?

    • maxprzemo

      Zmieniasz ip i możesz udawać inny komputer co sekundę. To jest zabezpieczenie przeciwko bot’om. Możesz przecież udawać nie tylko komputer ale na przykład telefon z iOS czy Androidem. Możesz udawać różne wersje systemu Windows. Możesz wykorzystać funkcję „random” (losowy) i symulować losowo wybrany scenariusz zdarzeń (szybkość wprowadzania odpowiedzi, ilość błędów, itd.).
      To nie działa tak prosto jak się wydaje ;)

  • kaszub

    Literówka – test to speech