Os pesquisadores criaram uma nova inteligência artificial que pode significar o fim de um dos sistemas de segurança de sites mais usados.

O novo algoritmo, com base em métodos de aprendizagem profunda, é o solucionador mais eficaz de sistemas de autenticação e segurança de captcha até o momento e é capaz de derrotar versões de esquemas de captcha de texto usados ​​para defender a maioria dos sites mais populares do mundo.

Os captchas baseados em texto usam uma mistura de letras e números, junto com outros recursos de segurança, como obstrução de linhas, para distinguir entre humanos e programas de computador automatizados maliciosos. Depende das pessoas acharem mais fácil decifrar os personagens do que as máquinas.

Desenvolvido por cientistas da computação na Lancaster University no Reino Unido, bem como na Northwest University e na Peking University na China, o solver oferece uma precisão significativamente maior do que os sistemas de ataque de captcha anteriores, e é capaz de quebrar com sucesso versões do captcha onde os sistemas de ataque anteriores falharam.

O solucionador também é altamente eficiente. Ele pode resolver um captcha em 0,05 de segundo usando um PC de mesa.

Funciona usando uma técnica conhecida como 'Rede Adversarial Generativa', órgão. Isso envolve ensinar um programa gerador de captcha para produzir um grande número de captchas de treinamento que são indistinguíveis de captchas genuínos. Eles são usados ​​para treinar rapidamente um solucionador, que é então refinado e testado contra captchas reais.

Ao usar um gerador de captcha automático aprendido por máquina, os pesquisadores, ou seriam atacantes, são capazes de reduzir significativamente o esforço, e tempo, necessário para encontrar e marcar manualmente os captchas para treinar o software. Requer apenas 500 captchas genuínos, em vez dos milhões que normalmente seriam necessários para treinar com eficácia um programa de ataque.

Solucionadores de captcha anteriores são específicos para uma variação particular de captcha. Os sistemas de ataque de aprendizado de máquina anteriores exigem muito trabalho para construir, exigindo muita marcação manual de captchas para treinar os sistemas. Eles também são facilmente tornados obsoletos por pequenas mudanças nos recursos de segurança usados ​​nos captchas.

Como o novo solucionador requer pouco envolvimento humano, ele pode ser facilmente reconstruído para atingir novos, ou modificado, esquemas de captcha.

O programa foi testado em 33 esquemas de captcha, dos quais 11 são usados ​​por muitos dos sites mais populares do mundo, incluindo eBay, Wikipedia e Microsoft.

Dr. Zheng Wang, Palestrante sênior da Escola de Computação e Comunicações da Lancaster University e co-autor da pesquisa, disse:"Esta é a primeira vez que uma abordagem baseada em GAN foi usada para construir solucionadores. Nosso trabalho mostra que os recursos de segurança empregados pelos atuais esquemas de captcha baseados em texto são particularmente vulneráveis ​​em métodos de aprendizagem profunda.

"Mostramos pela primeira vez que um adversário pode lançar rapidamente um ataque a um novo esquema de captcha baseado em texto com muito pouco esforço. Isso é assustador porque significa que esta primeira defesa de segurança de muitos sites não é mais confiável. Isso significa que o captcha abre uma enorme vulnerabilidade de segurança que pode ser explorada por um ataque de várias maneiras.

Sr. Guixin Ye, o principal aluno autor do trabalho disse:"Permite a um adversário lançar um ataque aos serviços, como ataques de negação de serviço ou envio de spam ou mensagens de pesca, para roubar dados pessoais ou até mesmo falsificar identidades de usuários. Dada a alta taxa de sucesso de nossa abordagem para a maioria dos esquemas de captcha de texto, os sites devem abandonar os captchas. "

Os pesquisadores acreditam que os sites devem considerar medidas alternativas que usam várias camadas de segurança, como os padrões de uso do usuário, a localização do dispositivo ou mesmo informações biométricas.

A pesquisa foi publicada no artigo 'Yet Another Text Captcha Solver:A Generative Adversarial Network Based Approach', apresentado na Conferência ACM sobre Segurança em Computadores e Comunicações (CCS) 2018 em Toronto.