Los investigadores han creado una nueva inteligencia artificial que podría significar el final de uno de los sistemas de seguridad de sitios web más utilizados.
El nuevo algoritmo, basado en métodos de aprendizaje profundo, es el solucionador más eficaz de los sistemas de seguridad y autenticación de captcha hasta la fecha y es capaz de vencer las versiones de los esquemas de captcha de texto utilizados para defender la mayoría de los sitios web más populares del mundo.
Los captchas basados en texto usan una mezcla de letras y números, junto con otras características de seguridad, como líneas de oclusión, para distinguir entre humanos y programas informáticos automatizados maliciosos. Se basa en que a las personas les resulta más fácil descifrar los caracteres que las máquinas.
Desarrollado por científicos informáticos de la Universidad de Lancaster en el Reino Unido, así como de la Universidad del Noroeste y la Universidad de Pekín en China, el solucionador ofrece una precisión significativamente mayor que los sistemas de ataque de captcha anteriores, y es capaz de descifrar con éxito versiones de captcha donde los sistemas de ataque anteriores han fallado.
El solucionador también es altamente eficiente. Puede resolver un captcha dentro de 0.05 de segundo usando una PC de escritorio.
Funciona mediante el uso de una técnica conocida como 'Red Adversaria Generativa', o GAN. Esto implica enseñar un programa generador de captcha para producir grandes cantidades de captchas de entrenamiento que no se pueden distinguir de los captchas genuinos. Estos se utilizan para entrenar rápidamente a un solucionador, que luego se refina y se prueba contra captchas reales.
Al usar un generador de captcha automático aprendido por máquina, los investigadores, o serían atacantes, pueden reducir significativamente el esfuerzo y el tiempo necesarios para encontrar y etiquetar captchas manualmente para entrenar su software. Solo requiere 500 captchas genuinos.de los millones que normalmente se necesitarían para entrenar efectivamente un programa de ataque.
Los solucionadores de captcha anteriores son específicos de una variación de captcha en particular. Los sistemas de ataque de aprendizaje automático anteriores requieren mucho trabajo para su construcción, lo que requiere una gran cantidad de etiquetado manual de captchas para entrenar los sistemas. También se vuelven obsoletos fácilmente por pequeños cambios en la seguridadcaracterísticas utilizadas dentro de captchas.
Debido a que el nuevo solucionador requiere poca participación humana, se puede reconstruir fácilmente para apuntar a esquemas de captcha nuevos o modificados.
El programa se probó en 33 esquemas de captcha, de los cuales 11 son utilizados por muchos de los sitios web más populares del mundo, incluidos eBay, Wikipedia y Microsoft.
El Dr. Zheng Wang, profesor titular de la Facultad de Informática y Comunicaciones de la Universidad de Lancaster y coautor de la investigación, dijo: "Esta es la primera vez que se utiliza un enfoque basado en GAN para construir solucionadores. Nuestro trabajo muestra que la seguridadlas características empleadas por los actuales esquemas de captcha basados en texto son particularmente vulnerables bajo los métodos de aprendizaje profundo.
"Mostramos por primera vez que un adversario puede lanzar rápidamente un ataque a un nuevo esquema de captcha basado en texto con muy poco esfuerzo. Esto da miedo porque significa que esta primera defensa de seguridad de muchos sitios web ya no es confiable. Estosignifica que captcha abre una gran vulnerabilidad de seguridad que puede ser explotada por un ataque de muchas maneras.
El Sr. Guixin Ye, el autor principal del trabajo del estudiante dijo: "Permite que un adversario inicie un ataque a los servicios, como ataques de denegación de servicio o gastar spam o mensajes de pesca, robar datos personales o incluso falsificar identidades de usuario".Dada la alta tasa de éxito de nuestro enfoque para la mayoría de los esquemas de captcha de texto, los sitios web deberían abandonar las captchas ".
Los investigadores creen que los sitios web deberían considerar medidas alternativas que utilicen múltiples capas de seguridad, como los patrones de uso del usuario, la ubicación del dispositivo o incluso la información biométrica.
La investigación se publica en el documento 'Otro solucionador de captcha de texto: un enfoque basado en la red adversaria generativa' que se presentó en la Conferencia de ACM sobre seguridad de las computadoras y las comunicaciones CCS 2018 en Toronto.
La investigación se benefició de la financiación del Centro de Investigación de Ingeniería y Ciencias Físicas, o EPSRC, The Royal Society y la Fundación Nacional de Ciencias Naturales de China.
Fuente de la historia :
Materiales proporcionado por Universidad de Lancaster . Nota: El contenido puede ser editado por estilo y longitud.
Referencia del diario :
Cita esta página :