26/04/2016

System Google reCAPTCHA złamany przez badaczy ds. bezpieczeństwa

Informacje Porady

Zacznijmy od tego skąd się wzięło słowo „captcha”. Captcha to akronim słów Completely Automated Public Turing test to tell Computers and Humans Apart, czyli w luźnym tłumaczeniu: całkowicie automatyczny, publiczny test Turinga odróżniający komputery od ludzi. Zamysł, jaki kryje się za technologią captcha (i za oryginalnym testem Turinga), jest prosty: jest to test, który ludzie mogą zdać, ale boty internetowe już nie. Zazwyczaj captcha występuje w postaci obrazka zawierającego rozmyty tekst, który musi zostać wpisany w celu sprawdzenia, czy nie jesteś komputerem.

recaptcha-featured

Technologia captcha jest ważna, gdyż stanowi proste i praktyczne zabezpieczenie, na przykład zapewnia ochronę rejestracji na stronie internetowej, zapobiega komentarzom spamowym na blogach, umożliwia branie udziału w głosowaniach i ankietach tylko ludziom itd. Gdyby nie było technologii captcha, spamerzy mogliby wykorzystywać sytuację i tworzyć ogromną liczbę kont, pozostawiać niezliczoną ilość komentarzy lub brać udział w tym samym głosowaniu lub ankiecie nieograniczoną ilość razy.

Pierwsze wersje systemów captcha były całkiem łatwe do ominięcia przez komputery. Doprowadziło to do wyścigu pomiędzy hakerami i twórcami tych zabezpieczeń. Jak tylko ci pierwsi złamali nową wersję, drudzy natychmiast odpowiadali nowszą, silniejszą metodą.

W pewnym momencie firma Google pojawiła się w centrum uwagi za sprawą wprowadzenia technologii reCAPTCHA, która jest nieoficjalnie traktowana jako standard. Tego typu captcha wykorzystuje nie tylko zniekształcony tekst, ale także obrazy i jest uznawana za jedną z najsilniejszych. Mechanizmu Google reCAPTCHA używa sam Google, Facebook i wiele innych stron internetowych. A tak naprawdę reCAPTCHA to najpopularniejsze zabezpieczenie tego typu na świecie.

Niestety, wygląda na to, że technologia ta nie jest tak niezawodna, jak mogłoby się wydawać.

Badacze ds. bezpieczeństwa z Uniwersytetu Columbia odkryli błędy w technologii reCAPTCHA od Google, które otwierają drzwi hakerom, umożliwiając im oszacowanie ryzyka, ominięcie ograniczeń oraz przeprowadzanie ataków na dużą skalę.

Analitycy ogłosili, że udało im się zaplanować atak niewymagający dużych nakładów finansowych, który z powodzeniem rozwiązał ponad 70% łamigłówek obrazkowych mechanizmu reCAPTCHA. Na rozwiązanie każdej łamigłówki potrzeba było przeciętnie tylko 19 sekund. Zastosowali ten system także do obrazków Facebooka i w tym przypadku poziom dokładności wynosił 83,5%. Większa liczba może wynikać z faktu, że obrazki na Facebooku są wyświetlane w większej rozdzielczości.

System stosował metody umożliwiające ominięcie plików cookie i tokenów, a także wykorzystywał uczenie maszynowe jako sposób poprawnego zgadywania obrazków. Najśmieszniejsze w tym wszystkim jest to, że ten system łamania mechanizmu reCAPTCHA wykorzystuje odwrotne wyszukiwanie grafiki oferowane przez samego Google’a.

„Niemniej jednak nasz system łamania captchy, który działa całkowicie offline, można porównać do profesjonalnych usług rozwiązywania testów captcha w zakresie dokładności i czasu trwania ataku. Dodatkowo atakujący nie ponosi żadnych kosztów,” stwierdzili badacze, kładąc nacisk na prostotę i opłacalność tego konkretnego ataku.

Przed opublikowaniem odkrycia, analitycy poinformowali Google’a i Facebooka o tych ewentualnych błędach. W odpowiedzi firma Google rozpoczęła próby zwiększenia zabezpieczeń mechanizmu reCAPTCHA, natomiast Facebook wydaje się nie być zainteresowany podjęciem jakichkolwiek kroków mających na celu udoskonalenie technologii.

Badacze sądzą, że hakerzy mogliby zażądać dwóch dolarów za rozwiązanie 1 000 testów captcha, zarabiają w rezultacie zarabiając ponad 100 dolarów dziennie. Mogliby się postarać o większy zarobek, gdyby rozpoczęli kilka ataków jednocześnie lub wykorzystali dodatkowe metody.

Badanie pokazuje, że jest jeszcze dużo do zrobienia w kwestii cyberbezpieczeństwa, ale także daje szansę wielu firmom, takim jak Google, na rozwijanie swoich technologii i zwracanie większej uwagi na aktualnie stosowane środki bezpieczeństwa. Google już pokazało zainteresowanie wzmocnieniem zabezpieczeń i na szczęście inne strony internetowe nie pozostają w tyle.