Onderzoekers hebben nieuwe kunstmatige intelligentie gecreëerd die het einde zou kunnen betekenen van een van de meest gebruikte beveiligingssystemen voor websites.

Het nieuwe algoritme, gebaseerd op diepgaande leermethoden, is de meest effectieve oplosser van captcha-beveiligings- en authenticatiesystemen tot nu toe en is in staat om versies van tekstcaptcha-schema's te verslaan die worden gebruikt om de meeste van 's werelds populairste websites te verdedigen.

Op tekst gebaseerde captcha's gebruiken een wirwar van letters en cijfers, samen met andere beveiligingsfuncties zoals occlusielijnen, onderscheid te maken tussen mensen en kwaadaardige geautomatiseerde computerprogramma's. Het is afhankelijk van mensen die het gemakkelijker vinden om de karakters te ontcijferen dan machines.

Ontwikkeld door computerwetenschappers aan de Lancaster University in het VK, de Northwest University en de Peking University in China, de solver levert een aanzienlijk hogere nauwkeurigheid dan eerdere captcha-aanvalsystemen, en is in staat om met succes versies van captcha te kraken waar eerdere aanvalssystemen hebben gefaald.

De oplosser is ook zeer efficiënt. Het kan een captcha binnen 0,05 seconde oplossen met behulp van een desktop-pc.

Het werkt met behulp van een techniek die bekend staat als een 'Generative Adversarial Network', of GA. Dit omvat het aanleren van een captcha-generatorprogramma om grote aantallen trainingscaptcha's te produceren die niet te onderscheiden zijn van echte captcha's. Deze worden vervolgens gebruikt om een ​​oplosser snel te trainen, die vervolgens wordt verfijnd en getest met echte captcha's.

Door een machinaal aangeleerde automatische captcha-generator te gebruiken, hebben de onderzoekers, of zouden aanvallers zijn, de inspanning aanzienlijk kunnen verminderen, en tijd, nodig om captcha's te vinden en handmatig te taggen om hun software te trainen. Het vereist slechts 500 echte captcha's, in plaats van de miljoenen die normaal gesproken nodig zijn om een ​​aanvalsprogramma effectief te trainen.

Eerdere captcha-oplossers zijn specifiek voor één bepaalde captcha-variant. Eerdere aanvalssystemen voor machine learning zijn arbeidsintensief om te bouwen, veel handmatige tagging van captcha's vereist om de systemen te trainen. Ze worden ook gemakkelijk achterhaald door kleine wijzigingen in de beveiligingsfuncties die in captcha's worden gebruikt.

Omdat de nieuwe oplosser weinig menselijke tussenkomst vereist, kan deze gemakkelijk worden herbouwd om nieuwe, of gewijzigd, captcha-schema's.

Het programma is getest op 33 captcha-schema's, waarvan er 11 worden gebruikt door veel van 's werelds populairste websites, waaronder eBay, Wikipedia en Microsoft.

Dr. Zheng Wang, Senior docent aan de Lancaster University's School of Computing and Communications en co-auteur van het onderzoek, zei:"Dit is de eerste keer dat een GAN-gebaseerde benadering is gebruikt om oplossers te construeren. Ons werk toont aan dat de beveiligingsfuncties die worden gebruikt door de huidige op tekst gebaseerde captcha-schema's bijzonder kwetsbaar zijn onder deep learning-methoden.

"We laten voor het eerst zien dat een tegenstander snel en met weinig moeite een aanval op een nieuw op tekst gebaseerd captcha-schema kan lanceren. Dit is eng omdat het betekent dat deze eerste beveiligingsverdediging van veel websites niet langer betrouwbaar is. Dit betekent captcha opent een enorm beveiligingslek dat op vele manieren kan worden misbruikt door een aanval.

Meneer Guixin Ye, de hoofdauteur van het werk zei:"Het stelt een tegenstander in staat een aanval op diensten te lanceren, zoals Denial of Service-aanvallen of het uitgeven van spam- of visberichten, om persoonlijke gegevens te stelen of zelfs gebruikersidentiteiten te vervalsen. Gezien het hoge slagingspercentage van onze aanpak voor de meeste tekstcaptcha-schema's, websites zouden captcha's moeten verlaten."

Onderzoekers zijn van mening dat websites alternatieve maatregelen moeten overwegen die gebruikmaken van meerdere beveiligingslagen, zoals de gebruikspatronen van een gebruiker, de apparaatlocatie of zelfs biometrische informatie.

Het onderzoek is gepubliceerd in de paper 'Yet Another Text Captcha Solver:A Generative Adversarial Network Based Approach' die werd gepresenteerd op de ACM Conference on Computer and Communications Security (CCS) 2018 in Toronto.