Хакер #305. Многошаговые SQL-инъекции
Группа исследователей из университетов Аризоны, Джорджии и Южной Флориды разработала инструмент для решения CAPTCHA на основе машинного обучения. По их утверждению, он способен преодолеть 94,4% таких защитных механизмов в даркнете.
Исследователи хотели создать систему, которая помогла бы автоматизировать работу с киберугрозами, что в настоящее время требует постоянного участия человека и ручного решения CAPTCHA. Дело в том, что в даркнете CAPTCHA используется практически повсеместно, так как onion-сайтам тоже нужно защищаться от ботов и постоянных DDoS-атак, которые конкурирующие платформы регулярно запускают друг против друга.
При этом практически все сайты даркнета используют CAPTCHA собственной разработки, что делает практически невозможным разработку инструмента, который мог бы решить большинство из них.
Новый инструмент, названный DW-GAN, отличается от других решений, которые ученые создавали в прошлом, обычно опираясь на генеративно-состязательный подход. Так, новый инструмент способен различать буквы и цифры, просматривая их одну за другой, а также удалять «шум» из изображения, определяя границы между буквами и сегментируя содержимое картинки на отдельные символы.
При этом для распознавания символов он использует образцы, извлеченные из нескольких локальных областей (для определения мелких деталей, таких как линии и края), поэтому его не получается обмануть вращением символов, изменением размера шрифта или смешением цветов.
В итоге получается, что длина CAPTCHA практически не влияет на эффективность новой разработки, особенно при измерении средней производительности за три попытки.
DW-GAN исследователи протестировали уже закрывшемся маркетплейсе Yellow Brick в даркнете. Тесты позволили группе собрать данные о 1831 нелегальном продукте с Yellow Brick. Среди них были 286 лотов, связанные с кибербезопасностью (в том числе 102 объявления о продаже украденных кредитных карт и 131 о продаже угнанных аккаунтов), 9 объявлений о поддельных сканах документов, 44 хакерских инструмента и 1223 продукта, связанных с наркотиками.
«В целом сбор информации о торговой площадке Yellow Brick занял около 5 часов без участия человека. В частности, каждый HTTP-запрос занимал 8,8 секунды, необходимые для загрузки новой веб-страницы; поэтому сканирование 1831 страницы заняло 268,5 минут. Решение повторяющихся задач CAPTCHA (по одной на 15 HTTP-запросов) занимало у нашего инструмента 18,6 секунды.
В целом рассматриваемый фреймворк способен автоматически взломать CAPTCHA не более чем с трех попыток. Взлом всех изображений CAPTCHA занял в общей сложности около 76 минут для всех 1831 объявлений, и процесс был полностью автоматизирован», — гласит отчет.
Авторы разработки уже опубликовали финальную версию своего инструмента на GitHub , но не стали обнародовать набор обучающих данных, состоящий примерно из 50 000 изображений CAPTCHA. Вероятно, со временем кто-то поработает с их инструментом и сможет создать аналогичное решение, актуальное для обычного открытого интернета.