人类CAPTCHA求解器以及他们揭示了对照设计的内容 FB的金融业务,谷歌,亚马逊监管,RBI,Sebi告诉HC 康明斯嗡嗡声:管理人员说,期待逐步顺序恢复 CBI Books Cambridge Analytica,英国公司窃取数据5.62 Lakh印度FB用户 谷歌,亚马逊由法国隐私看门狗罚款1.63亿美元 亚马逊的Zoox推出了自治罗若 - 出租车 LinkedIn推出“职业资源管理器”工具,以帮助专业人士枢转他们的职业生涯 Apple用A14仿生推出全新的iPad空气:价格,规格和其他细节 数据中心市场在5年半呈现出$ 49 BN投资机会:杰克 沃尔玛现在在15年后对亚马逊素数有答案 Facebook寻找印度的公共政策主任,Ankhi DAS的争议退出后几周 亚马逊,百度展示智能展示销售额达到95万台Q3 Moto G9采用三重相机设置,推出5000mAh电池 想要从Whatsapp迁移,但担心失败聊天?电报现在让您转移聊天历史记录 谷歌推出新的Chromecast以及Google TV和专用遥控器 看法:技术将成为2021年(及以后)的资产管理部门的游戏更换者 想要从Whatsapp迁移,但担心失败聊天?电报现在让您转移聊天历史记录 Apple介绍了带有M1芯片的下一代Mac:这就是你需要知道的一切 Factbox:四大科技巨头如何获得和维护统治 解释者:在WhatsApp Web&Desktop上链接您的设备时,WhatsApp会增加其他安全性 Flipkart和Amazon Diwali销售2020:以下是顶级智能手机交易 Google在基于RCS的留言服务中删除了聊天功能 Ippo Reno5 Pro 5G智能手机在印度推出;在星期五上市的设备 政府选择Hughes India与卫星宽带远程连接普通的Panchayats 解释者:在WhatsApp Web&Desktop上链接您的设备时,WhatsApp会增加其他安全性 Govt Caps通过驾驶室聚合器浪涌定价在1.5倍的基础票价,问题其他指导方针 Flipkart和Amazon Diwali销售2020:以下是顶级智能手机交易 PINE LABS推出ALLTAP应用程序的小商人通过智能手机接受非接触式付款 Conde Nast在班加罗尔推出技术实验室 38州对谷歌的反信托诉讼 Redmi 9今天在印度出售:价格,规格和其他细节 小米Redmi 9i今天下午12点开始销售 保持致力于开放,中立平台:Facebook 科技法汉德拉与军事工程学院合作,浦那防御解决方案 whatsapp推出'推车'以使购物更容易;以下是如何下订单 在印度制作:泰米尔纳德邦前赛跑者为Apple的第二大合同制造商设置商店 Zuckerberg在WhatsApp隐私政策上说,可以使用安全托管基础架构来让企业管理聊天的工具 印度IT股票嗡嗡作响:这是什么道路? 当人们寻找WhatsApp替代方案时,信号看到了日常安装中的流星升高 谷歌表示,它在改造Chrome用户跟踪技术方面取得了进展 JIO在7月份获得2.5米公司的订户作为Airtel,vil滑动 沃达丰想法绳索在IBM为“大数据”平台 审查:三星Galaxy M51和M31S是外行人的完美智能手机 药物,Medlife寻求合并的CCI批准 印度军队为其士兵推出安全消息应用程序 ShareChat收购Saif合作伙伴支持的圈子互联网 索尼关闭马来西亚工厂,巩固设施 Facebook删除'Kisan EKTA MORCHA'官方页面,后来突出后恢复 whatsapp与新的购物按钮功能一起进入电子商务 Instagram为印度用户推出单独的卷轴标签;这里的细节
您的位置:首页 >产经 >

人类CAPTCHA求解器以及他们揭示了对照设计的内容

2021-09-15 12:16:06来源:

信息安全往往采用军备竞赛的形式,因为攻击者培养了在网络上使用或滥用服务的新方法,以及捍卫者争抢适应并阻止这些新技术。

很少有技术更好地举例说明这个武器比赛而不是称为CAPTCHA的Web元素。该组件旨在识别和阻止攻击者用于自动化和扩大攻击的机器人,例如凭证滥用,网页刮擦,或者在运动鞋机器人这样的工具中,以便快速购买时尚运动鞋等有限的商品用品。

CAPTCHAS杂草杂志通过在浏览器中呈现谜题,从而透明地只有人类可以解决。在开始,这些谜题主要是视觉,通常需要用户解析扭曲的文本并键入它。

随着时间的推移,CAPTCHA已经包括不同类型的谜题,包括在复杂图像中识别特定对象,转录短音频文件或解决逻辑谜题,例如转动右侧图像。

人体求解器现象

十多年来;然而,攻击者可以在规模和速度下绕过CAPTCHA,而不是通过计算机视觉或人工智能的进步,而是通过在发展​​中经济体中识别和农业向人工人员网络(在该行业中称为索盘)的谜题,然后返回正确的响应使机器人可以继续为其分配的任务。

这些服务成本攻击者(即求解服务器服务的客户)根据拼图的服务和类型,每1000个正确的解决方案大约1-3美元。求解器网络;但是,只有1,000个精确解决方案的工资工人近0.40美元。根据求素的速度,将他们的支付每天2至5美元。

在点的情况下,在印度,包括7个人CAPTCHA求解器的单个网络可以每天围绕时钟每天解决50,000个CAPTCHA - 为1,000个条目约2美元。

要清楚,截至2020年,由于多种原因,现在的人员CAPTCHA求解器存在的风险现在或多或少可管理(如果没有解决)。

对于一个,它是一种旧的练习,安全从业者广泛熟悉,几个安全供应商已经设计了检测人类验证案件网络的方法。一些安全供应商开发了机器人缓解或防欺诈解决方案来取代CAPTCHA。与此同时,基于人工智能的CAPTCHA求解器的进步威胁要使人类求解网络过时。

那么为什么现在PE进入这些人类求解器网络?尽管风险很低,但这种做法应该受到彻底检查,因为黑客的简单性质。

而不是与捍卫者竞争发展复杂的人工智能,CAPTCHA求解器使用低成本,全球分布的人工作为僵尸网络的前端。这个问题解决了信息安全中攻击者和捍卫者之间的战斗基本方面。正如CAPTCHA元素一样举例说明了武器竞争,这种规避安全控制的方法揭示了安全从业者经常误解攻击者的优势的性质。

打开误导可以为设计可以超越这一军备竞赛的未来控制并经支出时间的验证,为一般指导提供线索。

重新评估信息安全军备竞赛

使人类CAPTCHA求解器如此有理由对安全武器竞争的事物并不躺在技术细节中。相反,它是他们最重要的事情。人类CAPTCHA求解器的漏洞,而不是利用漏洞的编码错误或误诊,而不是利用漏洞,而是利用关于人类劳动时间价值的假设。也就是说,CAPTCHAS围绕系统所有者设计的假设,不可能使用人工劳动来扩大CAPTCHA求助客户承诺的攻击种类。

在一种方式,假设是正确的。实际攻击者代表的技术人士在短时间内乘以数百或数千次来说太昂贵。然而,鉴于允许这种分散,分布式劳动力供应来满足其需求的必要基础设施,解决CAPTCHA所需的相对不熟练的劳动力不是太贵。

结果是,在21世纪,攻击者支付人类的贫困工资,以充当机器人的前端,这反过来像人类一样,以便以没有设计的方式使用信息系统。这照亮了核心问题:对于攻击者来说,它从来没有真正关于机器人 - 它是关于可扩展性的。

机器人是末端的手段;当防守者使用CAPTCHAS难以使用击球机时,攻击者发现人们对此。面对一场战斗,在表面上,似乎是关于人工智能或计算机视觉,攻击者,而是在人类劳动的成本方面找到了一种重新描述的方法。

这意味着实际上是什么意思

安全从业者通常专注于策略,技术和程序(TTP),因为它们是允许在安全运营中心(SoC)中的人或法医分析中的人员来诊断或减轻攻击的细节。

然而,CAPTCHA求解器表明,涉及到设计主动控制或安全计划(而不是缓解持续攻击时),专注于TTPS只是为了到目前为止。这是因为TTP经常代表攻击者的一组一次性手段。

在某种程度上,我们可以将安全军备竞赛的整个历史归结为攻击者社区,以争夺安全界已经制定的条款,并迫使安全从业人员反过来调整。

相比之下,可以使整个策略(如可扩展性,持久性或隐藏等)无效的控件将提供更大的跨时间,空间和佩戴系统的实用程序。换句话说,TTP在信息安全的许多应用中都是至关重要的,但他们既不是镇上的最后一句话也不是唯一的游戏。

实际上,在这种战略层面运营的控制必须提出应用程序架构及甚至是商业模式的问题。在业务中更深入地将信息安全的想法既不是新的也不是争议。

此外,这里的含义是,它代表了通过在董事会努力更加积极主动降低安全成本的机会。我并不意味着暗示致力于减轻机器人的时间和专业知识已经缺乏花费,但我认为聚焦onyAttackers正在做某事可以富有成效,因为聚焦Onowthey正在进行它。

-Sander Vinberg是F5实验室的威胁研究福音师。表达的观点是个人的。
郑重声明:本网站所有信息仅供参考,不做交易和服务的根据,如自行使用本网资料发生偏差,本站概不负责,亦不负任何法律责任。如有侵权行为,请第一时间联系我们修改或删除,多谢。