Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Cơ chế CAPTCHA của Google, Facebook có thể dễ dàng bị vượt qua
Bộ ba các chuyên gia an ninh mạng vừa phát hiện một cuộc tấn công tự động mới có thể vượt qua cơ chế CAPTCHA của Google và Facebook trong thời gian ngắn mà không tốn nhiều chi phí.
Các chuyên gia đã kết hợp nhiều yếu tố để thực hiện cuộc tấn công, bao gồm sử dụng vài mẹo để qua mặt các biện pháp an ninh CAPTCHA (cookie, token) và học máy (machine learning) để đoán CAPTCHA (hình ảnh) với tỷ lệ chính xác cao hơn so với các nghiên cứu trước.
Thử nghiệm có tỷ lệ thành công cao
Kết quả của cuộc tấn công mới cao ngoài dự đoán. Trên hệ thống reCAPTCHA của Google, các chuyên gia ghi nhận tỷ lệ thành công là 70,78% trên tổng số 2.235 CAPTCHA thử nghiệm. Thời gian giải CAPTCHA trung bình là 19,2 giây. Trên Facebook, tỷ lệ thành công được ghi nhận cao hơn với 83,5% trên tổng số 200 CAPTCHA. Con số cao hơn này bắt nguồn từ việc mạng xã hội sử dụng các hình ảnh với độ phân giải cao hơn, và lựa chọn đối tượng từ nhóm khác nhau. Trong khi đó, Google sử dụng các ảnh chất lượng thấp, và sử dụng hình ảnh tương tự khiến việc phân loại tự động ảnh gặp khó khăn hơn.
Xét đến trường hợp tin tặc có thể thuê hệ thống dò đoán CAPTCHA để vượt qua cơ chế này, các chuyên gia cũng phân tích các yếu tố về chi phí để thực hiện cuộc tấn công.
Cuộc tấn công mới không tốn nhiều chi phí
Nếu như tin tặc muốn sử dụng hệ thống để giải CAPTCHA, toàn bộ cuộc tấn công sẽ chỉ tốn khoảng 110USD mỗi ngày, với một địa chỉ IP. Theo đó, tin tặc có thể crack khoảng 63.000 CAPTCHA trong 24 giờ từ một địa chỉ IP mà không bị phát hiện hay cấm, chặn.
“Hệ thống giải CAPTCHA ngoại tuyến của chúng tôi có độ chính xác và thời gian giải tương tự như các dịch vụ chuyên nghiệp, ngoài ra không phát sinh thêm bất kỳ khoản chi phí nào đối với tin tặc”, các chuyên gia cho biết.
Trước khi công bố nghiên cứu của mình, các chuyên gia đã thông báo cho Google và Facebook. Theo đó, Google đã thực hiện một số bước để tăng độ khó cho CAPTCHA. Tuy nhiên, Facebook chưa có phản hồi nào về việc thay đổi trong hệ thống CAPTCHA của mình.
Ba chuyên gia phát hiện vấn đề gồm Suphannee Sivakorn, Jason Polakis và Angelos D. Keromytis. Tài liệu nghiên cứu của họ có tên I Am Robot: (Deep) Learning to Break Semantic Image CAPTCHAs (Tạm dịch: Tôi là Robot: Học cách giải CAPTCHA hình ảnh). Tài liệu này được đăng trên website của Khoa Khoa học và Máy tính, Đại học Columbia, và trên trang web của Black Hat Asia 2016. Tuần trước, các chuyên gia này đã giới thiệu phát hiện của mình tại Hội thảo.
Chi tiết bài nghiên cứu có thể được xem tại đây.
Các chuyên gia đã kết hợp nhiều yếu tố để thực hiện cuộc tấn công, bao gồm sử dụng vài mẹo để qua mặt các biện pháp an ninh CAPTCHA (cookie, token) và học máy (machine learning) để đoán CAPTCHA (hình ảnh) với tỷ lệ chính xác cao hơn so với các nghiên cứu trước.
Thử nghiệm có tỷ lệ thành công cao
Kết quả của cuộc tấn công mới cao ngoài dự đoán. Trên hệ thống reCAPTCHA của Google, các chuyên gia ghi nhận tỷ lệ thành công là 70,78% trên tổng số 2.235 CAPTCHA thử nghiệm. Thời gian giải CAPTCHA trung bình là 19,2 giây. Trên Facebook, tỷ lệ thành công được ghi nhận cao hơn với 83,5% trên tổng số 200 CAPTCHA. Con số cao hơn này bắt nguồn từ việc mạng xã hội sử dụng các hình ảnh với độ phân giải cao hơn, và lựa chọn đối tượng từ nhóm khác nhau. Trong khi đó, Google sử dụng các ảnh chất lượng thấp, và sử dụng hình ảnh tương tự khiến việc phân loại tự động ảnh gặp khó khăn hơn.
Xét đến trường hợp tin tặc có thể thuê hệ thống dò đoán CAPTCHA để vượt qua cơ chế này, các chuyên gia cũng phân tích các yếu tố về chi phí để thực hiện cuộc tấn công.
Cuộc tấn công mới không tốn nhiều chi phí
Nếu như tin tặc muốn sử dụng hệ thống để giải CAPTCHA, toàn bộ cuộc tấn công sẽ chỉ tốn khoảng 110USD mỗi ngày, với một địa chỉ IP. Theo đó, tin tặc có thể crack khoảng 63.000 CAPTCHA trong 24 giờ từ một địa chỉ IP mà không bị phát hiện hay cấm, chặn.
“Hệ thống giải CAPTCHA ngoại tuyến của chúng tôi có độ chính xác và thời gian giải tương tự như các dịch vụ chuyên nghiệp, ngoài ra không phát sinh thêm bất kỳ khoản chi phí nào đối với tin tặc”, các chuyên gia cho biết.
Trước khi công bố nghiên cứu của mình, các chuyên gia đã thông báo cho Google và Facebook. Theo đó, Google đã thực hiện một số bước để tăng độ khó cho CAPTCHA. Tuy nhiên, Facebook chưa có phản hồi nào về việc thay đổi trong hệ thống CAPTCHA của mình.
Ba chuyên gia phát hiện vấn đề gồm Suphannee Sivakorn, Jason Polakis và Angelos D. Keromytis. Tài liệu nghiên cứu của họ có tên I Am Robot: (Deep) Learning to Break Semantic Image CAPTCHAs (Tạm dịch: Tôi là Robot: Học cách giải CAPTCHA hình ảnh). Tài liệu này được đăng trên website của Khoa Khoa học và Máy tính, Đại học Columbia, và trên trang web của Black Hat Asia 2016. Tuần trước, các chuyên gia này đã giới thiệu phát hiện của mình tại Hội thảo.
Chi tiết bài nghiên cứu có thể được xem tại đây.
Nguồn: Softpedia