קו ההגנה הראשון של אתרים חשוף לפריצה

קו ההגנה הראשון של אתרים חשוף לפריצה

This post is also available in: enEnglish (אנגלית)


אלגוריתם חדש של למידה חישובית מסוגל לפרוץ מערכות CAPTCHA מבוססות-טקסט במהירות ובדיוק גבוהים יותר ובפחות מאמץ מכל השיטות המוכרות עד כה. הוא פותח על ידי אנשי אקדמיה מבריטניה וסין. CAPTCHA היא התוכנית או המערכת הנמצאת בשימוש נרחב באתרים כדי להבחין בין גורם אנושי למכונה. תוצאות המחקר מצביעות על כך שקו הגנה ראשון זה של אתרים רבים כבר למעשה אינו אמין.

האלגוריתם החדש מבוסס על הקונספט של GAN, רשת ניגודית גנרטיבית, סוג מיוחד של אלגוריתמי בינה מלאכותית בהם משתמשים בתרחישים בהם לאלגוריתם אין גישה לכמויות גדולות של נתוני אימון.

משמעות הדבר היא שתוקפים לא יצטרכו לרכוש או להמשיך לשלם על שרתי מחשוב ענן יקרים כדי לפרוץ ל-CAPTCHA של אתרים בזמן אמת. ברגע שהתוקף אימן אלגוריתם, הוא יכול להמשיך להריץ אותו על מחשב PC רגיל או שרת ווב, ולבצע התקפות DDoS מתואמות או התקפות ספאם על אתרים שמשתמשים ב-CAPTCHA כהגנה.

קטלוג של אלגוריתמים בתחום הלמידה החישובית דורש בדרך כלל מיליוני נקודות דאטה כדי לאמן את האלגוריתם לבצע משימה ברמת הדיוק הנדרשת. היתרון של אלגוריתם GAN הוא בכך שהוא יכול לעבוד עם כמות נקודות דאטה הרבה יותר קטנה בשלב התחלתי.

הקונספט יושם על ידי החוקרים כדי לפרוץ טקסט CAPTCHA, שבמחקרים רבים קודמים נוסה רק עם אלגוריתמים קלאסיים שאומנו על כמויות גדולות של נקודות דאטה ראשוניות. החוקרים ההם טענו כי בתרחיש אמיתי, התוקף לא יוכל לייצר מיליוני CAPTCHA באתר חי או API בלי שיתגלה. אך המאמץ והעלות שכרוכים בתקיפה כמו זו שגילה המחקר החדש הרבה יותר נמוכים.

לאחר שהחוקרים אספו ואימנו את אלגוריתמי ה-GAN שלהם באמצעות יצירת עד 200,000 CAPTCHA "סינתטיים", הם ניסו את האלגוריתמים שלהם כנגד מערכות אחרות ברחבי האינטרנט, שנוסו בעבר במחקרים אחרים.

לטענתם, השיטה שלהם הצליחה לפתור אותם ברמת דיוק של 100 אחוז באתרים כמו Megaupload, Blizzard, Authorize.NET. הם השיגו דיוק טוב יותר בכל מערכות ה-CAPTCHA הפועלות ב-30 אתרים אחרים, כולל אתרים כמו Amazon, Digg, Slashdot, PayPal, Yahoo, QQ.