Az NJSZT blogja a legfejlettebb infokom technológiákról

Jelenből a Jövőbe

Teljesen elavulnak a captchák

2018. december 13. - ferenck

Az angliai Lancaster, az amerikai Északnyugati és a Pekingi Egyetem kutatói az egyik legszélesebb körben használt honlap-biztonsági rendszer végét jelentő mesterséges intelligenciát fejlesztettek.

A mélytanuláson (deep learning) alapuló algoritmus jelenleg a leghatékonyabb captcha megoldó-séma, megfejti a világ legtöbb népszerű oldala által használt szöveges captchákat.

captcha.jpg

A captcha az emberi felhasználót a számítógéptől megkülönböztető automatikus teszt. A komputer feladványt generál, amit csak ember képes helyesen megválaszolni, viszont a gép is könnyedén eldönti a válasz helyességét. Általában eltorzított, gyakran számokkal kombinált szöveget kell elolvasni, és jól működik spambotok kiszűrésében. (Maga a szó a Completely Automated Public Turing test to tell Computers and Humans Apart, magyarul „teljesen automatizált nyilvános Turing-teszt a számítógép és az ember megkülönböztetésére” rövidítése.)

Az új megoldó sokkal jobb eredményeket ért el, mint a korábbi támadó rendszerek, és az olyan captchákat is megoldja, amelyekkel elődei csődöt mondtak. Nagyon gyorsan dolgozik, desktop PC-ről átlagosan 0,05 másodperc alatt megfejt egy captchát.

Az algoritmus generatív ellenséges hálózatokat (generative adversarial network, GAN) használ. A captcha-generátor az eredetiektől megkülönböztethetetlen, nagymennyiségű gyakorló captchát állított elő, az algoritmus rajtuk gyakorolt, majd finomítottak rajta, és valódiakkal tesztelték.

captcha0.jpg

Gépi tanulással támogatott captcha-generátorral a támadók jelentősen csökkentik az egyébként manuálisan felcímkézett captchákkal eltöltendő tanulóidőt, és milliók helyett mindössze 500 elég a hatékonysághoz.

A korábbi megoldók általában egy captcha-változatra specializálódtak. A gépitanulás-alapú támadásokhoz sok munka, kézi címkézés stb. kellett, ráadásul már az apró védelmi változtatásokkal sem boldogultak. Mivel az új algoritmushoz nincs szükség sok emberi beavatkozásra, könnyen átdolgozható, és máris új, módosított captcha-sémák támadhatók vele.

33 sémán tesztelték, amelyből 11-et a világ legnépszerűbb oldalai, köztük az eBay, a Wikipédia és a Microsoft is használ.

„Ez volt az első alkalom, amikor GAN-alapú megközelítéssel építettek captcha-megoldókat. Munkánk bebizonyította, hogy a mostani rendszerek szövegalapú sémái mélytanulásos támadásokkal szemben különösen sebezhetők” – nyilatkozta Zheng Wang, az egyik kutató (Lancaster Egyetem).

Azaz, sok honlap elsődleges „védelmi vonala” minimális védelmet nyújt, de lassan már annyit sem. Hackerek könnyedén indíthatnak szolgáltatásmegtagadásos (DoS) támadást, küldhetnek spam-et vagy adathalász e-maileket stb. A kutatók tanácsa: jobb, ha a honlapok felhagynak a captchákkal, és például felhasználói szokásokon, az eszköz térbeli pozícióján vagy biometrikus adatokon alapuló, többszintes alternatív megoldásokat keresnek.

A bejegyzés trackback címe:

https://jelenbolajovobe.blog.hu/api/trackback/id/tr9914470148

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

steery 2018.12.14. 13:25:43

Még mindig csak ott tartanak a fejlesztők, hogy védekezési módszereket keresnek a támadások ellen. Ahelyett, hogy stratégiát váltanának (mert védekezéssel nem lehet háborút nyerni) és átmennének ellentámadásba. Maga a hálózati struktúra az, ami hibás alapokon nyugszik, mert lehetővé teszi a célzott támadásokat. Újra kéne gondolni és alkotni a teljes számítástechnikai architektúrát az új ismeretek fényében és alapvető hardveres és szoftveres változtatásokat végrehajtani, méghozzá globálisan.

nitro1 2018.12.14. 13:44:46

@steery: Az ötlet nem rossz, de akkor halljuk a javaslataidat, és csapjál hozzá egy kis tőkét is, hogy globálisan le tudják cserélni majd arra az architektúrát minél gyorsabban.

steery 2018.12.14. 16:33:20

Miért kell a programfájlokat és a felhasználói fájlokat ugyanúgy kezelnie a rendszernek? Ez lehetővé teszi, hogy a felhasználók saját programokat futtathassanak, azaz vírusok, kémprogramok, stb. is feltelepülhessenek a gépre. Én ezt alapból szétválasztanám, teljesen kizárva hardveresen a felhasználót a gép gyárilag feltöltött programjaihoz való hozzáférésből. Innentől kezdve nincs olyan, hogy vírusos lesz a gép. Ha új programot akar a felhasználó, mert a gyárilag hozzáadott mondjuk 100-200 vagy 1000 alkalmazás közül egyik sem jó neki, akkor bemegy a boltba, kiválasztja a megfelelő tartalmú programtárat és azt a szerelő kicseréli neki. Innentől kezdve minden programhibáért a gyártónak kell kötelezően felelősséget vállalnia és perelhető, kártérítésre kötelezhető a károkért. Ami érthetetlen módon jelenleg nincs így. Akinek ez az architektúra nem tetszik (a felhasználók 99,99%-ának megfelel majd), az használjon régi fajta, kockázatos gépet, azon nyugodtan programozhat magának bármit. A hálózati kapcsolatra csak a fix programtárú gépek legyenek alkalmasak. Innentől kezdve nincs hekkelés, mert ha van, ronggyá perelik a felhasználók a gyártót, meg börtönbe zárják a cég tulajdonosait.

Androsz · http://migransozo.blog.hu 2018.12.14. 16:41:16

@nitro1: Amikor te valakinek azt mondod, hogy a kormány végre megoldhatná valahogy a ... problémát, akkor te sem érzed szükségét annak, hogy tervezetet nyújts be hozzá. Ha valaki a megoldást nem tudja, attól még érezheti, hogy az addigi rendszernek közeleg a vége.

Egyébként amit mondasz, vagyis hogy a változás borzalmas költségekkel jár, azt sugallja, hogy inkább maradjon így, mert nincs annyi pénz. Egypárszor már bebizonyosodott, hogy így rossz állapotokat betonozott be az emberiség. Például a PC-k bő ötven éve nem változtak meg érdemlegesen, holott teljesen mások irányukba az elvárások. Az operációs rendszerek is vonszolják maguk után az elhalt maradványaikat, mert senki sem szánja rá magát arra, hogy új szellemi is kereskedelmi elveknek megfelelően a nulláról újra megtervezzenek egy rugalmas, de a betömetlen hézagokat okozó fölösleges többletképességeket mellőző, többféle felhasználótípust, többféle üzemeltetési célt is jól kiszolgáló, a kompatibilitást végre határozott mederbe terelő rendszert. És így tovább, volnának még letisztázandó területek az egész emberi technikában.

"felhasználói szokásokon, az eszköz térbeli pozícióján vagy biometrikus adatokon alapuló, többszintes alternatív megoldásokat keresnek."

Hát hogy, hogy nem, ezek mind személyes adatokat és nyomkövetési lehetőségeket felkínáló ötletek lettek. Tehát nem annyit tud meg velük a program, hogy ember vagyok, hanem azt is, hogy kicsoda. Kösz, nem.

"Maga a szó a Completely Automated Public Turing test ..."

Nem mellesleg a capture szóra rímel.

Androsz · http://migransozo.blog.hu 2018.12.14. 16:44:58

@steery: "Innentől kezdve minden programhibáért a gyártónak kell kötelezően felelősséget vállalnia és perelhető"

Ó, istenem... Ennél még az is hihetőbb ábránd, hogy az adócsaló otthon rájön, hogy milyen helytelen dolgot tesz, és másnap befizeti a hátralékát, egy bocsánatkérő levéllel kísérve. Egyelőre nincs olyan program forgalomban, amelynek a készítője bármilyen felelősséget is vállalna. Ideértve a mindenség alapját adó rendszermagokat is.

Bobby Newmark 2018.12.14. 18:20:01

@steery: "Én ezt alapból szétválasztanám, teljesen kizárva hardveresen a felhasználót a gép gyárilag feltöltött programjaihoz való hozzáférésből. Innentől kezdve nincs olyan, hogy vírusos lesz a gép"

Hát azt várhatnád aztán, hogy ezt a szart el tudd adni... Már az Apple is megnyalhatja a bal herém hogy jobban véli tudni, hogy mit akarok az eszközzel csinálni, mint én, de ez a javaslat még annál is több nagyságrenddel szarabb, katasztrofális.

Bobby Newmark 2018.12.14. 18:23:50

Egyébként szerintem ez az igazi célja a captchanak, hogy minél jobb felismerő szoftverek keletkezzenek, nem pedig a védelem.
Ugyanis a védelmet már kb 10-15 éve úgy játsszák ki, hogy ellopják a képet az eredeti helyről, saját szolgáltatásba átemelik, mondjuk pornóoldalon pl, aztán amikor a júzer megfejti a pornónak a captchát, azzal együtt megfejti az eredeti oldalét is.
Aztán ha ezzel a módszerrel szépen lassan sikerült elég accountot generálni, akkor már mehet is a DoS.

Bobby Newmark 2018.12.14. 18:26:31

@Androsz: Ezekből az állításokból kb semmi sem igaz, minden egyes kijelentésre lehet találni ellenpéldát, vagy csak szimplán légből kapott hülyeség.

nitro1 2018.12.14. 20:56:21

@Androsz: Sajnos jelen politikai környezetben a "kormány" és a "megoldja a problémát" szerintem nem alkot értelmezhető szókapcsolatot, kivéve persze, ha saját személyes problémáikról van szó.
Amúgy de. van annyi pénz, de akinek lenne ennyi pénze, az nem szívesen adja ki ilyen bizonytalan megtérülésű dolgokra, inkább profitálóbbakba fektet.
Ha valami ennyire elterjedt, azon nehéz gyorsan változtatni. Az IPv6 is itt kering már egy ideje, az őse mégse halt ki számottevően.

steery 2018.12.15. 12:12:49

@Androsz: Pontosan! Erről van szó! Ha tévét, autót, mosógépet, akármit veszel, arra kapsz garanciát. Egyedül a szoftverekre nem. Miért? És miért hagyják világszerte, hogy így legyen? Ez jobban bűzlik, mint egy bantha hátsó fele.

@Bobby Newmark: Biztos vagyok benne, hogy ez lenne rövid idő alatt a világ legsikeresebb számtech terméke! Az előnyei ugyanis vitathatatlanok. A legfőbb gondot a tömeggyártás jelentené, mivel semleges területen kéne előállítani, ahol nem vonatkozik rá semelyik ország törvénye. Azért, hogy ne kötelezhessenek rá, hogy építsek bele hátsó kaput a titkosszolgálat meg a rendőrség számára a könnyű meghekkelhetőséghez. A bűnözők, politikai aktivisták, ipari kémkedéstől tartó vállalatok imádnák, a rendőrök, titkosszolgák, diktatúrák gyűlölnék, a média meg szétekézné vagy felmagasztalná, attól függően, hogy ki fizeti a híreket.

Bobby Newmark 2018.12.16. 13:02:17

@steery: Figyu, feltaláltad a meleg vizet. Léteznek fix ROMmal és firmware-rel szerelt eszközök, jellemzően számológépek, telefonok, drónok, hordozható vagy koppintás játékkonzolok, meg egy millió céleszköz. Plusz a húsz éve elavult cartridge-et használó játékkonzolok.

Ha olyan kurvanagy ötlet lenne, amit mondasz, akkor nem homlokegyenest a másik irányba tartana a világ. Az emberek nagy többségének pont hogy nem felel meg a korlátozott, gyártó által eldöntött szoftverfelhozatallal rendelkező eszköz, kivéve ha konkrét feladatra alkalmas céleszközről van szó.
Univerzális számítógépet pont nem lehet úgy csinálni, ahogy leírod, és már a telefonunk is univerzáls számítógéppé vált, mikor az egy céleszköz.

Fordítva ülsz a lovon, és vágtatsz.
Korlátozott "univerzális" eszközökre senkinek nincs szüksége. Neked sem, valójában, hanem inkább a paranoiádat kéne kezeltetned.

steery 2018.12.16. 19:40:08

@Bobby Newmark: Igen, ezt mind tudom. És a fix ROM-os céleszközöket nem is tudják meghekkelni! Ugye?
Egy-két szakin kívül senkinek nincs szüksége univerzális számítógépre. Viszont mindenkinek nagy szüksége van meghekkelhetetlen, üzembiztos, gyári garanciás számítógépre, ami inkább tudjon kevesebbet, de azt megbízhatóan. A világ tehát homlokegyenest ellenkező irányba megy (ezen a téren is), mint amerre mennie kéne. Ezért nő a kiberbűnözés és ér egyre több embert, céget, államot kár emiatt.
A gyártók fordítva ülnek a lovon és vágtatnak a pusztulásba.
A paranoia előfeltétel egy ilyen kaotikus, megbízhatatlan világban az életbenmaradáshoz. Kezeltesd te a paranoiahiányodat! :-D

Bobby Newmark 2018.12.17. 10:44:21

@steery: És ki a tökömet érdekel, mit tudnak meghekkelni? Nem szoktak, nem vagyok olyan fontos. De te sem.
Ez a hekkeléstől parázás eléggé röhejes ám. Komolyan, téged hányszor hekkeltek meg?

Ha meg úgy általánosságban a dolgok meghekkeléséről beszélsz, akkor szólnék, hogy a sikeres és tényleg veszélyes vagy durva hekkek általában "social engineering" alapúak, tehát emberből szedik ki trükkel a jelszót. Azt meg a világ összes hardveres védelme sem fogja kivédeni.

Ha meg valamit NAGYON nem akarsz, hogy meghekkeljenek, akkor _nem kötöd rá a netre_.

Persze, hogy a te szemszögedből mindenki szembe jön. Ilyenkor illene elgondolkodni, hogy biztosan helytálló-e a saját álláspontod...
Mert egyébként nem. Felfújsz egy marginális problémát, aztán az egész világot megszivatnád a "megoldással" a félelmeidre alapozva.

Bobby Newmark 2018.12.17. 10:46:56

@Bobby Newmark: Ja, igen, EGYSZER a céges emailem feltörték brute force módon, és körülbelül fél órán keresztül okádta a gépem a spamet bele a világba.

Nem az én hibám volt, a rendszergazda állított be nekem egy jelszót, ami a felhasználónév + egy négyjegyű szám volt, ami nem volt egy okos megoldás.

Hatalmas kár ért, elküldtem kb 25 spamet. Tényleg ez legyen a legnagyobb probléma az életemben...

steery 2018.12.17. 11:03:32

@Bobby Newmark: Egyszer egy izraeli hekker betört a linuxos gépemre és nyomot hagyott, finoman jelezve, hogy haver, nem biztonságos a géped, azt csinálok rajta, amit akarok. Máskor zombit csinált az XP-s gépemből valami trójai. A magánszerveremre a logok alapján 3-4 másodpercenként próbálnak betörni az automata hekkelő rendszerek, pedig ez egy sehol nem reklámozott, közel nulla adatforgalmú szerver, spéci feladatokra, ahol semmi érdekeset nem találhatnak a betörők. És csak azért nem félek a hekkerektől, mert minimalizáltam az értékes adatok hozzáférhetőségét. Csak kézpénzt használok mindig, nem használok semmilyen bankkártyát, mindenhol más, nehezen kitalálható jelszót használok a belépésre, a buta telefonomat csak telefonálásra és smsre használom, és elég szűk tartományban mozgok az interneten, hogy minimalizáljam a digitális nyomaimat.
Csakhogy nem mindenki olyan paranoid és óvatos, mint én.
Az informatikus kollégáim is ugyanúgy vélekednek a témáról, mint én. Sőt, ők még nálam is ilyenebbek. :-D És biztos vagyok benne, hogy még mi is jelentősen alulhisztizzük ezt a problémát.
Illene elgondolkodni azon, milyen rossz irányba is folyik (nyilván szándékosan) a számítástechnika fejlesztése. Lényegében vadnyugatot csinálnak a kibertérből, aztán meg senki nem felelős semmiért. Ez így egy nagy túró. Szóval kitartok a véleményem mellett, hogy nincs szükségünk univerzális számítógépekre, ez egy mérnöki agyrém, ami a való életben nem életképes.

Bobby Newmark 2018.12.17. 12:04:26

@steery: "ez egy mérnöki agyrém, ami a való életben nem életképes."

Mondod ezt úgy, hogy azért számítógépek milliárdjait használják nap mint nap.
Én meg nem vagyok hajlandó minden célra külön eszközt venni egyébként. Na de tényleg, mekkora faszság lenne már külön terminál szövegszerkesztésre, külön egy rajzolásra, meg külön egy harmadik 3D modellezésre, hardverrel, monitorral, beviteli eszközökkel?
Hogy a tökömbe gondolod, hogy ez így működhetne?!

Egyébként ezek az automata script kiddie cuccok lófaszt se érnek. Pont ahogy mondod, másodpercenként PATTANNAK LE a legminimálisabb védelemről. Akkor mi is a gond?

steery 2018.12.17. 16:53:27

@Bobby Newmark: És nap mint nap kiber bűncselekmények ezreit, ha nem százezreit követik el és rengeteg embert ér kisebb-nagyobb kár, bosszúság, probléma emiatt. Az, hogy ennek ellenére mégis használják ezen megbízhatatlan gépeket, két dolgot jelez: 1. Igény van számítógépekre. 2. Nincs más, amivel ki lehetne őket váltani.

Ki beszélt itt külön eszközről szövegszerkesztésre, rajzolásra? A válaszaid alapján úgy érzem, nagyon nem értetted meg az általam felvázolt koncepciót, úgyhogy még egyszer, röviden: olyan számítógépeket kell gyártani, amikben az összes program (mondjuk 1000 különféle alkalmazás) alapból benne van egy csak olvasható memóriában, amihez a felhasználó nem fér hozzá, nem tudja önkényesen elbarmolni, nem fertőzheti meg még szándékosan sem vírusokkal. A programok ideiglenes beállításait a rendszer egy külön írható memóriában tárolja, amihez szintén nem fér hozzá közvetlenül a felhasználó, csak a beállítások ablakon keresztül (jól körülhatárolt módon). A felhasználói adatok külön vannak kezelve egy (vagy több) írható memóriában és nem keveredhetnek a gyári programokkal.
Egy átlagos linux disztibúcióban van vagy 1000 program mindenféle célra. Ebből általában telepítek maganak 50-et, 100-at, majd utána használok belőle 10-et, 20-at, a többi csak ott van, hátha kell, de igazából nem kell. Ma már akkora adattárolókat gyártanak, hogy simán ráférne az az 1000 program egy olvasható belső memóriára. Ami a felhasználók 99,99%-ának tökéletesen elég lenne. Épp csak rendesen meg kéne csinálni ezeket, nem kiadni befejezetlen, leteszteletlen, használhatatlan programokat, meg olyanokat, amik összevesznek egymással, pusztán a sietség okán.

Komolyan azt hiszed, hogy az automatizált hekkelő programok nem fejlődnek, nem lesznek egyre jobbak? Manapság már mesterséges intelligenciák programozzák és irányítják őket és a helyzet egyre csak rosszabb lesz. Ha ennyire nem látod, mi a gond, akkor ez jól mutatja, milyen nagy gond van a fejekben.

Bobby Newmark 2018.12.17. 17:15:26

@steery: Csak azért gondolom, hogy külön eszköz kellene minden célra, mert azt kizártnak tartom, hogy sikerül összeütni egy olyan szoftvercsomagot, ami mindenre jó, minden benne van, és AZ van benne, amit akarok. Ez így kb nettó lehetetlen.
És akkor vehetek egy olyan gépet, amin a kedvenc szövegszerkesztőm van, egy másikat amin a kedvenc rajzolóprogramom, ésatöbbi.
És ez csak a munkám, nem a páwörjúzerkedésem.

Plusz kinyírtad ezzel a lépéssel az egész számítógépes játékipart úgy, ahogy van. Ami perpill nagyobb biznisz, mint Hollywood.
Vagy hát ugye akkor a célgépeim mellé még vehetek egy játékgépet is. (Mondjuk a hülyék most is ezt csinálják a konzolokkal, de az most mellékes)

Nincs az a fenyegetés, ami miatt a felvázolt rendszeredbe bevásárolnék. De komolyan, kb fegyverrel kéne kényszeríteni.

Az AI programozta hekkerprogramodban meg nem hiszek. Én is szeretem a cyberpunkot, de azért komolyan ne vegyük már...

steery 2018.12.18. 14:09:36

@Bobby Newmark: Amit tegnap el se tudtunk képzelni, arról ma már fantáziálunk, holnap fejlesztjük, holnapután kész van, azutánra hétköznapi dolog lesz, a hét végére meg már el is avul. Ma sincs a világon egyetlen olyan szoftver vagy szoftver csomag sem, amiben az van benne, amit akarok. Viszont egyre több minden van benne, amit ímmel-ámmal el tudok fogadni és nagy nyögések, anyázások kíséretében csak tudom valamire használni. Ez a trend a jövőben is folytatódni fog. Végül a petabájtos pendriveokra egyben feltölthető lesz kb. 1 millió alkalmazás mindenféle célra és beköszönt a szoftver kánaán. :-D
Ebbe a világ összes játéka is bele fog férni. És 1-2 évente mindig kiadják a pendrive újabb, bővített változatát, amit a boltban szépen, ingyen (vagy 5 Ft-ért) kicserélnek neked. Így jó lesz?
Ha nem, akkor használhatod tovább a másfajta, nem megbízható rendszereket. Aztán az evolúció majd eldönti, melyik irányvonal marad fenn.
Ez "az AI hekkerekben nem hiszek" tökéletes lesz az emberiség híres utolsó mondásának.

Bobby Newmark 2018.12.18. 14:35:28

"Ma sincs a világon egyetlen olyan szoftver vagy szoftver csomag sem, amiben az van benne, amit akarok."
Naugye.
"Viszont egyre több minden van benne, amit ímmel-ámmal el tudok fogadni és nagy nyögések, anyázások kíséretében csak tudom valamire használni."
És ezt kívánnád mindenkinek? Az rettentő gonosz dolog. :P :D

"Ez "az AI hekkerekben nem hiszek" tökéletes lesz az emberiség híres utolsó mondásának."
Még AI sincs, nemá, hogy pont AI hekker legyen.