211service.com
Forskare Crack Audio Security System
Ett team av datavetare vid Stanford och Tulane University med expertis inom artificiell intelligens, ljudbehandling och datorsäkerhet har kommit på ett sätt att automatiskt besegra de system som förhindrar spammare från att skapa nya konton på webbplatser som Yahoo, Microsofts Hotmail och Twitter .
Många webbplatser kräver att användare korrekt transkriberar en sträng av förvrängda tecken – ett pussel som kallas CAPTCHA – för att få åtkomst. Dessa tester är relativt lätta för människor, men mycket svåra för datorer. De flesta webbplatser gör också CAPTCHA:er tillgängliga i ljudform, för synskadade användare, och forskarna fann att deras algoritm kunde lösa många av dessa ljud-CAPTCHA. Forskare vid Carnegie Mellon University har visat sårbarheten hos ljud-CAPTCHA tidigare, 2008, men det nya arbetet riktar sig mot nyare, säkrare versioner.
Möjligheten att automatiskt besegra CAPTCHA:er kan göra det billigare för spammare att ta bort spam. Just nu betalar spammare människors sweatshoplöner för att lösa CAPTCHA, men detta kan kosta upp till en cent per styck.
Teamledaren Elie Bursztein, från Stanford University, säger att lagets algoritm, kallad deCAPTCHA, kunde besegra ljud-CAPTCHA från Microsoft och Yahoo i nästan hälften av alla fall. Microsoft har sedan dess gått över till en annan typ av CAPTCHA, som algoritmen fortfarande kan besegra i 1,5 procent av fallen.
[Genom att besegra säkerhetsåtgärder] om du passerar 1-procentströskeln har du mycket problem, säger Burzstein. Det är nästan ett frikort.
Luis Von Ahn, som myntade termen CAPTCHA, säger att företag i verkligheten kan kontrollera hastigheten med vilken audio CAPTCHAS äventyras genom att begränsa antalet av dem som kan lösas per dag, eller genom att begränsa antalet som kan lösas av en enda IP-adress. Men, säger säkerhetsexperten Markus Jakobsson, det är väldigt viktigt att förstå hur vi kan bryta saker innan skurkarna gör det.
En ljud-CAPTCHA läser upp en sträng av bokstäver eller siffror med extra ljudförvrängning. Stanford-teamet skapade en inlärningsalgoritm för att bearbeta ljudet på ett sätt som var så nära som möjligt det sätt som vi tror att det mänskliga örat är gjort, säger Bursztein. Detta innebar att fokusera på lägre frekvensljud, som människor är särskilt bra på att bearbeta, och att eliminera så mycket av bruset från ljud-CAPTCHA som möjligt.
Burszteins team arbetar också med att skapa flera nya typer av ljud-CAPTCHA. En typ spelar två röster som läser olika strängar av bokstäver eller ord samtidigt. Människor är särskilt bra på att plocka fram en röst när de är omgivna av många konkurrerande konversationer i ett trångt rum, men datorer är hemska i denna uppgift. En andra typ kombinerar ord med musik.
Även om många befintliga CAPTCHA:er är sårbara för attacker, säger Jakobsson, är deras misslyckande inte lika allvarligt som kompromissen med ett lösenordssystem. [CAPTCHA-nederlag] är en gradvis försämring av säkerheten. Du behöver inte hålla alla utanför för att känna att du har säkerhet – vissa misslyckanden är acceptabelt.