Как «решатель» Британии ломал систему ввода «капч»

Как «решатель» из Британии ломал систему ввода «капч»

Создан новый искусственный интеллект, появление которого предрекает полный крах традиционной системы безопасности веб-сайтов. Инновационный алгоритм, где используются методы глубокого обучения, наводит на мысли о более эффективных решениях относительно защиты и проверки подлинности традиционной «капчи». Разработанный способ обещает превзойти существующие версии текстовых схем перехвата, что используются во всём мире в качестве проверочных средств защиты популярных веб-сайтов.

Эффективный британский «решатель»

Базовые текстовые «капчи» основаны на технологии беспорядочной генерации букв и цифр, совмещаемых с другими функциями безопасности, подобным окклюзионным линиям, применяемым для защиты от вредоносных автоматизированных компьютерных программ. Методика полагается на людей, которым легче расшифровывать символы, нежели машинам.

Так вот, разработанный учёными-компьютерщиками университета Ланкастера (Великобритания) и Пекинского университета так называемый «решатель», обеспечивает значительно более высокую точность и скорость разгадывания, чем способны показать существующие взломщики «капч». Британский «решатель» способен легко взломать любую версию «капчи», которую не в состоянии взломать другие хакерские системы.

Эффективность «решателя» очевидна. Интеллект способен разгадать «капчу» за время 0,05 сек. при помощи обычного домашнего ПК. Действует «решатель» по методу «Генеративной Состязательной Сети» (GAN — Generative Adverarial Network). Метод взлома включает программно обученный генератора «капч» для создания большого числа учебных карт, не отличимых от реальных «капчей». Картами обеспечивается быстрая подготовка «решателя» к процессу взлома.


Используя автоматизированный генератор машинного обучения, исследователи (выступающие в образе потенциальных злоумышленников) получили возможность значительно урезать время и усилия, затрачиваемые на чтение и ручной ввод проверочных знаков. Новому интеллекту потребовалось всего 500 реальных «капч» вместо миллионов, обычно необходимых для эффективной подготовки традиционной программы атаки.

Ранние версии распознавателей относятся к одному конкретному варианту проверочной формы. Поэтому прежде созданные системы машинного обучения показывают трудности организации атаки. Чтобы построить такую машину, требуется ручная маркировка множества проверочных форм для обучения системы. К тому же созданный продукт становится никчемным, стоит только немного изменить функции безопасности «капчи».

В этом смысле новый распознаватель явно выигрывает. Устройство практически не требует участия человека, поддерживает лёгкую перенастройку при необходимости, позволяет быстро адаптировать систему под новые или модифицированные схемы проверочных форм.

Тестирование интеллекта и демонстрация слабостей

Разработанная программа тестировалась с подключением 33 схем проверочных форм. Более десяти схем из теста применяются многими популярными в мире веб-сайтами, подобными:

  • «eBay»,
  • «Википедия»,
  • «Microsoft».

Разработчики алгоритма утверждают: это первый случай построения распознавателей, когда использовался подход на основе GAN. Сделанная работа наглядно демонстрирует, насколько слабы используемые функции безопасности существующих современных текстовых схем «капч».

Исследовательская британская группа (основываясь на созданной методике взлома) полагает: веб-сайтам необходимо рассмотреть альтернативные меры, где применяются несколько уровней безопасности:

  • внедрение пользовательских шаблонов,
  • локация устройства,
  • биометрическая информация.

Между тем группа исследователей получила финансирование от EPSRC (Научно-исследовательский центр инженерных и физических наук), Королевского общества Лондона и Национального фонда естественных наук Китая. Финансирование предполагает дальнейшее проведение исследований в области кибербезопасности.


При помощи информации: Lancaster


Добавить комментарий

Внимание: Спам не пройдёт. Работает фильтрация комментариев. *