Спецпроекты

Безопасность Стратегия безопасности Интернет Веб-сервисы

Найден способ взламывать любую CAPTCHA за долю секунды

Популярный метод защиты сайтов CAPTCHA проиграл схватку с искусственным интеллектом и доказал свою неэффективность перед современными методами взлома.

Меньше секунды на взлом

Международная группа исследователей сообщила о создании самого совершенного на сегодняшний день инструмента прохождения теста CAPTCHA, передает The Indian Times. В основе метода лежит разработанный специально для этого искусственный интеллект с функцией глубокого обучения. Девелоперы отмечают, что это самый эффективный способ обхода CAPTCHA по состоянию на декабрь 2018 г.

Алгоритм, название которому еще не присвоено, в сравнении с ранее представленными методами решения CAPTCHA, работает в несколько раз быстрее: на обычном пользовательском компьютере он может пройти тест всего за 0,05 с.

CAPTCHA или (Completely Automated Public Turing test to tell Computers and Humans Apart) – это автоматизированный публичный тест Тьюринга для различения компьютеров и людей. Он применяется для определения, кто отправляет запросы на сайт – человек или компьютер (робот). Первая версия CAPTCHA была представлена в 1997 г.

Специфика алгоритма

Предложенный метод решения CAPTCHA базируется на так называемой «генеративно-состязательной сети», предусматривающей наличие генератора решений с возможностью предварительного обучения. Другими словами, разработчики сперва «натравили» алгоритм на большое количество учебных вариантов CAPTCHA, по степени защиты неотличимых от настоящих. Они отметили, что для эффективного обучения их системы требуется в среднем 500 учебных «капч» вместо нескольких миллионов, которые понадобились бы без использования генеративно-состязательной сети.

Всего 0,05 секунды - и искусственный интеллект взломает CAPTCHA на вашем сайте

По результатам прохождения теста авторы метода вносят коррективы в работу искусственного интеллекта, тем самым повышая его эффективность.

Как отметил профессор Ланкастерского университета Великобритании и по совместительству один из участников проекта Жень Ван (Zheng Wang), это первый зафиксированный метод прохождения теста CAPTCHA с применением техники генеративно-состязательной сети. Ван подчеркнул, что их исследование проводится с целью наглядно доказать уязвимость одного из самого популярного метода защиты к атакам нового поколения с использованием искусственного интеллекта. «Любой злоумышленник теоретически может обойти CAPTCHA менее чем за секунду. Подобное делает этот тест в его текущем виде бесполезным», - добавил профессор.

Под угрозой весь интернет

Тест CAPTCHA в различных вариантах используют для защиты миллионы веб-ресурсов по всему интернету, в том числе Wikipedia, официальный сайт корпорации Microsoft и популярный онлайн-аукцион eBay. Авторы нового алгоритма решения опробовали ее на 33 наиболее распространенных видах теста, и каждый из них был успешно решен. Это означает, что CAPTCHA больше не может считаться надежным методом защиты – хакер, завладевший алгоритмом или написавший его аналог, получит возможность атаковать практически любой веб-сайт.

Защиты от искусственного интеллекта нет?

ИИ может стать угрозой для всего человечества, и дело не в потенциально возможном восстании машин, а в том, что современные методы защиты информации теряют свою актуальность. Сегодня искусственный интеллект победил CAPTCHA, а чуть меньше месяца назад, в ноябре 2018 г., в США заработала нейросеть DeepMasterPrints по подбору отпечатков пальцев. Используемые в ней алгоритмы позволяют подбирать «пальчики» к любому гаджету и к любым дверям с биометрической защитой, используя несовершенство этого метода защиты. Не исключено, что именно по этой причине в 2017 г. компания Apple отказалась от использования системы Touch ID в своих смартфонах iPhone, а в 2018 г. – в планшетных компьютерах iPad. Датчики отпечатков пальцев заменили на более надежную функцию сканирования лица Face ID, которую, впрочем, тоже можно обмануть при помощи высокоточной 3D-копии лица.

Но это вовсе не означает, что ИИ способен обойти любую из систем защиты информации, придуманной человечеством. Он пока еще не добрался до систем сканирования рисунка вен, который, как и отпечатки пальцев, уникален для каждого человека, и близнецы в данном случае – не исключение. Подобные системы защиты пока встречаются не так часто, но все же используются вполне успешно на протяжении нескольких лет. К примеру, в 2014 г. в Швеции началось использование технологии Quixter, интегрированной с системой электронных платежей, которая активно эксплуатируется в магазинах и кафе страны.

К слову, несмотря на мощь нового алгоритма взлома CAPTCHA, даже у этого метода защиты есть шанс на дальнейшее существование: в мае 2018 г. Google представил систему reCAPTCHA 3, которая не требует вводить текст с картинки или совершать иные действия. Алгоритм работает вообще без участия пользователя, в фоновом режиме, и анализирует поведение каждого пользователя в интернете за последние несколько дней. Полученные данные система использует для отличия людей от роботов, и уже на момент запуска системы ее точность, по заверениям разработчиков, составляла 99,98%.

Эльяс Касми

Короткая ссылка