Lassan tényleg nyugdíjazni kéne a CAPTCHA-t. Egy angol-kínai közös kutatócsoport frissen publikált tanulmányában például arról számol be, hogy fejlesztésük gyorsabban, kisebb költséggel és nagyobb megbízhatósággal veri át a robotlátogatók szűrésére használt, elavult rendszert, mint a korábbi próbálkozások. Miközben utóbbiak között is volt már jó pár sikeresnek mondható megoldás. 

Kevéssel is beéri

A kontinenseken átívelő egyetemi projektben a neurális hálózat egy speciális változatát, a generatív ellenséges hálózat (generative adversarial networks, GAN) technológiát hívták segítségül. Ez a módszer elsősorban ott hasznosítható, ahol a gépi tanulásra trenírozott algoritmus számára nem áll rendelkezésre megfelelő nagyságrendű példa, amiből tanítható lenne. A GAN ezt azzal hidalja át, hogy két algoritmust versenyeztet meg egymással. Az első egy kisebb mintából alkot mesterségesen újakat, a második pedig igyekszik kiszúrni, hogy a kollégától kapott anyag az eredeti készletből való, vagy csak gépi kreálmány. Ezeket a meccseket sokszor lejátszva pedig mindkét fele a rendszernek egyre jobb teljesítményre képes.

A fenti eljárás a szöveges CAPTCHA feltörésénél hasznosították, mivel a kutatók nem tartották életszerűnek, hogy egy lehetséges támadás előtt a hekkerek olyan mennyiségű mintát tudnának begyűjteni, ami párhuzamosan nem eredményezne lebukást. Azaz ha milliós nagyságrendben próbálkoznak a hagyományos mesterséges intelligenciára épülő feltöréshez szükséges adatbázis kiépítésével, azt biztosan kiszúrják a másik oldalon, ami után vége is van a bulinak.

Az angol-kínai csapat ezért mindössze 500-as mintákat vett az 50 legnépszerűbb oldalon található 11-féle szolgáltatás generálta készletből. Mindezek beszerzése, majd emberi megoldásának rögzítése együttesen sem több néhány óránál, a költsége pedig elhanyagolható.

Szövegértésből ötös

Amint megvolt a kiinduló adatmennyiség, a GAN-t arra utasították, hogy kreáljon nagyjából 200 ezer hasonló mintát minden egyes szolgáltatáshoz. Az eredmény pedig egy elképesztően hatékony feltörési fegyver lett. Bizonyos oldalakon (például a Megaupload esetében) a sikeres hozzárendelések aránya elérte a 100 százalékot, és sok más webszájton sem maradt el sokkal ettől. Még a keményebb diónak bizonyuló rendszerek esetében is jobb pontosságot értek el a kutatók, mint más csapatok korábban publikált projektjei.

A hatékonyság mellett az új módszer figyelemre méltó eleme még az is, hogy mindezt rendkívül takarékosan képes elérni. Mint ahogy említettük, az 500-as kiinduló adatmennyiség megszerzése alig pár órás feladat, míg maga feltörés végrehajtható egy sima felhasználói számítógépen is, ráadásul mindezt a másodperc töredéke alatt. Azaz ha egy hasonló technika ártó szándékú kezekbe kerül, egész könnyen indítható túlterheléses támadás, vagy spamáradat azon oldalak ellen, amelyek a szöveges CAPTCHA védelmére bízzák magukat.

Alternatív utak

Természetesen a kutatás célja pont az, hogy mindezekre a veszélyekre felhívja a figyelmet. A projekt vezetője például azt javasolja a weboldalak üzemeltetőinek, hogy fontolják meg más, lehetőség szerint több egymásra épülő alternatív megoldás használatát. Ilyen lehet a biometrikus azonosítás (bár az sem mindig törésbiztos), a más készülékhez kötött autentikáció (pl SMS-küldés), esetleg a felhasználói viselkedést figyelő rendszer (mint amilyen a Google reCAPTCHA szolgáltatása).

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »