211service.com
Onderzoekers kraken audiobeveiligingssysteem
Een team van computerwetenschappers van Stanford en Tulane University met expertise op het gebied van kunstmatige intelligentie, audioverwerking en computerbeveiliging heeft een manier bedacht om automatisch de systemen te verslaan die voorkomen dat spammers nieuwe accounts aanmaken op sites zoals Yahoo, Microsoft's Hotmail en Twitter. .
Veel websites vereisen dat gebruikers een reeks vervormde tekens correct transcriberen - een puzzel die bekend staat als een CAPTCHA - om toegang te krijgen. Deze tests zijn relatief eenvoudig voor mensen, maar erg moeilijk voor computers. De meeste sites maken CAPTCHA's ook beschikbaar in audiovorm voor slechtziende gebruikers, en de onderzoekers ontdekten dat hun algoritme veel van deze audio-CAPTCHA's kon oplossen. Onderzoekers van de Carnegie Mellon University hebben de kwetsbaarheid van audio-CAPTCHA's eerder, in 2008, aangetoond, maar het nieuwe werk is gericht op nieuwere, veiligere versies.
De mogelijkheid om CAPTCHA's automatisch te verslaan, kan het voor spammers goedkoper maken om spam te verspreiden. Op dit moment betalen spammers het loon van een sweatshop om CAPTCHA's op te lossen, maar dit kan oplopen tot één cent per stuk.
Teamleider Elie Bursztein van Stanford University zegt dat het algoritme van het team, deCAPTCHA genaamd, in bijna de helft van alle gevallen audio-CAPTCHA's van Microsoft en Yahoo kon verslaan. Microsoft is inmiddels overgestapt op een ander type CAPTCHA, dat het algoritme in 1,5 procent van de gevallen nog weet te verslaan.
[Bij het verslaan van beveiligingsmaatregelen] als je de drempel van 1 procent overschrijdt, heb je veel problemen, zegt Burzstein. Het is bijna een gratis pas.
Luis Von Ahn, die de term CAPTCHA heeft bedacht, zegt dat bedrijven in werkelijkheid de snelheid waarmee audio-CAPTCHA's worden gecompromitteerd kunnen controleren door het aantal ervan te beperken dat per dag kan worden opgelost, of door het aantal dat kan worden opgelost te beperken door een enkel IP-adres. Maar, zegt beveiligingsexpert Markus Jakobsson, het is erg belangrijk om te begrijpen hoe we dingen kunnen breken voordat de slechteriken dat doen.
Een audio-CAPTCHA leest een reeks letters of cijfers voor met toegevoegde audiovervorming. Het Stanford-team heeft een leeralgoritme ontwikkeld om het geluid te verwerken op een manier die zo dicht mogelijk aansluit bij de manier waarop we denken dat het menselijk oor is gemaakt, zegt Bursztein. Dit betekende dat we ons moesten concentreren op geluiden met een lagere frequentie, die mensen vooral goed kunnen verwerken, en dat we zoveel mogelijk ruis uit audio-CAPTCHA's moeten elimineren.
Het team van Bursztein werkt ook aan het creëren van verschillende nieuwe soorten audio-CAPTCHA. Eén type speelt twee stemmen die tegelijkertijd verschillende reeksen letters of woorden lezen. Mensen zijn vooral goed in het onderscheiden van één stem wanneer ze worden omringd door veel concurrerende gesprekken in een overvolle kamer, maar computers zijn verschrikkelijk in deze taak. Een tweede type combineert woorden met muziek.
Zelfs als veel bestaande CAPTCHA's kwetsbaar zijn voor aanvallen, zegt Jakobsson, is hun falen niet zo ernstig als het compromitteren van een wachtwoordsysteem. [CAPTCHA-nederlaag] is een geleidelijk verval van beveiliging. Je hoeft niet iedereen buiten de deur te houden om het gevoel te hebben dat je veiligheid hebt - sommige mislukkingen zijn acceptabel.