Επιστήμονες του Stanford έσπασαν δικλείδες ασφαλείας της τεχνολογίας Captcha
Δημοσιεύτηκε: Πέμ 09 Ιουν 2011, 21:58
Ερευνητές ασφαλείας του Stanford University ανακάλυψαν ένα κενό ασφαλείας σε μία από τις πιο συχνές διαδικασίες που πραγματοποιούνε οι χρήστες του Internet.
Συναντάται κυρίως κατά τη διαδικασία εγγραφής και δημιουργίας λογαριασμών σε ιστοσελίδες, όταν οι χρήστες καλούνται να συμπληρώσουν έναν κωδικό ασφαλείας που εμφανίζεται σε… μία εικόνα (Captcha) είτε αναπαράγεται ηχητικά κυρίως για άτομα με ειδικές ανάγκες. Το κενό αυτό ασφαλείας αφορά τη δεύτερη περίπτωση.
Η παραπάνω διαδικασία αυθεντικοποίησης είναι αρκετά συνηθισμένη και χρησιμεύει έτσι ώστε να “πιστοποιείται” ο χρήστης ότι πρόκειται για άνθρωπο και όχι για υπολογιστή που προσπαθεί να δημιουργήσει πολλαπλούς λογαριασμούς στις ιστοσελίδες με κακόβουλες προθέσεις. Για παράδειγμα μπορεί κανείς να φανταστεί έναν υπολογιστή να δημιουργεί αυτόματα πολλαπλούς λογαριασμούς στο YouTube με σκοπό να αυξήσει την δημοτικότητα συγκεκριμένων videos ή να δημιουργέι email λογαριασμούς και να στέλνει μηνύματα spam στο Internet.
Όσον αφορά την επικύρωση κωδικών μέσω εικόνων Captcha, η παραβίασή της συγκεκριμένης τεχνικής θεωρείται αρκετά δύσκολη υπόθεση για έναν υπολογιστή. Υπάρχει περιορισμένος χρόνος για την εισαγωγή του κωδικού μέχρι αυτός να λήξει και να απαιτηθεί ένας νέος. Επίσης, οι εικόνες που αναγράφουν τον κωδικό έχουν “αλλοιωθεί” κατά τέτοιο τρόπο έτσι ώστε οι χρήστες να έχουν τη δυνατότητα να τους αναγνωρίσουν, αλλά ταυτόχρονα η αυτοματοποιημένη διαδικασία αναγνώρισης μέσω υπολογιστή να απαιτεί περισσότερο χρόνο από το προκαθορισμένο όριο.
Στα ίδια επίπεδα ασφαλείας κινείται και η αναπαραγωγή του κωδικού μέσω ηχητικού αποσπάσματος καθώς μαζί με το συλλαβισμό των γραμμάτων έχει προστεθεί θόρυβος στον ήχο.
Ο John Mitchell, καθηγητής του πανεπιστημίου που πραγματοποίησε την έρευνα μαζί με μια ομάδα φοιτητών κατάφεραν να αναπτύξουν μία τεχνική η οποία μπορεί να αναγνωρίσει τον κωδικό που συλλαβίζεται στο ηχητικό απόσπασμα πριν τη λήξη του χρονικού ορίου. Το πρόγραμμα που αναπτύχθηκε έχει ποσοστό επιτυχίας 50% σε φόρμες εγγραφών της Microsoft και 1% σε φόρμες τύπου reCAPTCHA. Μπορεί το ποσοστό να φαντάζει μικρό, στην πραγματικότητα όμως μπορεί να επιφέρει σημαντική ζημιά ακόμη και στις μεγαλύτερες ιστοσελίδες όπως το Yahoo, το Ebay και το Digg.
Η τεχνική στηρίζεται ουσιαστικά στην αφαίρεση του θορύβου από τα ηχητικά αρχεία απομονώνοντας την ενέργεια που αφορά αποκλειστικά τα γράμματα ή τους αριθμούς. Το ποσοστό αποτυχίας συναντάται στον ήχο που αφαιρείται όταν η ενέργειά του “πλησιάζει” την ενέργεια των γραμμάτων που οι ερευνητές θέλουν να απομονώσουν.
Συναντάται κυρίως κατά τη διαδικασία εγγραφής και δημιουργίας λογαριασμών σε ιστοσελίδες, όταν οι χρήστες καλούνται να συμπληρώσουν έναν κωδικό ασφαλείας που εμφανίζεται σε… μία εικόνα (Captcha) είτε αναπαράγεται ηχητικά κυρίως για άτομα με ειδικές ανάγκες. Το κενό αυτό ασφαλείας αφορά τη δεύτερη περίπτωση.
Η παραπάνω διαδικασία αυθεντικοποίησης είναι αρκετά συνηθισμένη και χρησιμεύει έτσι ώστε να “πιστοποιείται” ο χρήστης ότι πρόκειται για άνθρωπο και όχι για υπολογιστή που προσπαθεί να δημιουργήσει πολλαπλούς λογαριασμούς στις ιστοσελίδες με κακόβουλες προθέσεις. Για παράδειγμα μπορεί κανείς να φανταστεί έναν υπολογιστή να δημιουργεί αυτόματα πολλαπλούς λογαριασμούς στο YouTube με σκοπό να αυξήσει την δημοτικότητα συγκεκριμένων videos ή να δημιουργέι email λογαριασμούς και να στέλνει μηνύματα spam στο Internet.
Όσον αφορά την επικύρωση κωδικών μέσω εικόνων Captcha, η παραβίασή της συγκεκριμένης τεχνικής θεωρείται αρκετά δύσκολη υπόθεση για έναν υπολογιστή. Υπάρχει περιορισμένος χρόνος για την εισαγωγή του κωδικού μέχρι αυτός να λήξει και να απαιτηθεί ένας νέος. Επίσης, οι εικόνες που αναγράφουν τον κωδικό έχουν “αλλοιωθεί” κατά τέτοιο τρόπο έτσι ώστε οι χρήστες να έχουν τη δυνατότητα να τους αναγνωρίσουν, αλλά ταυτόχρονα η αυτοματοποιημένη διαδικασία αναγνώρισης μέσω υπολογιστή να απαιτεί περισσότερο χρόνο από το προκαθορισμένο όριο.
Στα ίδια επίπεδα ασφαλείας κινείται και η αναπαραγωγή του κωδικού μέσω ηχητικού αποσπάσματος καθώς μαζί με το συλλαβισμό των γραμμάτων έχει προστεθεί θόρυβος στον ήχο.
Ο John Mitchell, καθηγητής του πανεπιστημίου που πραγματοποίησε την έρευνα μαζί με μια ομάδα φοιτητών κατάφεραν να αναπτύξουν μία τεχνική η οποία μπορεί να αναγνωρίσει τον κωδικό που συλλαβίζεται στο ηχητικό απόσπασμα πριν τη λήξη του χρονικού ορίου. Το πρόγραμμα που αναπτύχθηκε έχει ποσοστό επιτυχίας 50% σε φόρμες εγγραφών της Microsoft και 1% σε φόρμες τύπου reCAPTCHA. Μπορεί το ποσοστό να φαντάζει μικρό, στην πραγματικότητα όμως μπορεί να επιφέρει σημαντική ζημιά ακόμη και στις μεγαλύτερες ιστοσελίδες όπως το Yahoo, το Ebay και το Digg.
Η τεχνική στηρίζεται ουσιαστικά στην αφαίρεση του θορύβου από τα ηχητικά αρχεία απομονώνοντας την ενέργεια που αφορά αποκλειστικά τα γράμματα ή τους αριθμούς. Το ποσοστό αποτυχίας συναντάται στον ήχο που αφαιρείται όταν η ενέργειά του “πλησιάζει” την ενέργεια των γραμμάτων που οι ερευνητές θέλουν να απομονώσουν.