I ricercatori hanno creato una nuova intelligenza artificiale che potrebbe segnare la fine di uno dei sistemi di sicurezza dei siti Web più utilizzati.

Il nuovo algoritmo basato su metodi di deep learning, è il più efficace risolutore di sistemi di sicurezza e autenticazione captcha fino ad oggi ed è in grado di sconfiggere le versioni degli schemi captcha di testo utilizzati per difendere la maggior parte dei siti Web più popolari al mondo.

I captcha basati su testo utilizzano un miscuglio di lettere e numeri, insieme ad altre caratteristiche di sicurezza come le linee di occlusione, distinguere tra esseri umani e programmi informatici automatizzati dannosi. Si basa su persone che trovano più facile decifrare i caratteri rispetto alle macchine.

Sviluppato da scienziati informatici presso la Lancaster University nel Regno Unito, nonché la Northwest University e la Peking University in Cina, il risolutore offre una precisione significativamente maggiore rispetto ai precedenti sistemi di attacco captcha, ed è in grado di craccare con successo versioni di captcha in cui i precedenti sistemi di attacco hanno fallito.

Il risolutore è anche altamente efficiente. Può risolvere un captcha entro 0,05 di secondo utilizzando un PC desktop.

Funziona utilizzando una tecnica nota come 'Generative Adversarial Network', o GAN. Ciò comporta l'insegnamento di un programma generatore di captcha per produrre un gran numero di captcha di addestramento che sono indistinguibili dai captcha autentici. Questi vengono quindi utilizzati per addestrare rapidamente un risolutore, che viene poi raffinato e testato contro veri captcha.

Utilizzando un generatore di captcha automatico appreso dalla macchina i ricercatori, o sarebbero attaccanti, sono in grado di ridurre notevolmente lo sforzo, E tempo, necessario per trovare e taggare manualmente i captcha per addestrare il loro software. Richiede solo 500 captcha originali, invece dei milioni che sarebbero normalmente necessari per addestrare efficacemente un programma di attacco.

I precedenti risolutori di captcha sono specifici per una particolare variazione di captcha. I precedenti sistemi di attacco di apprendimento automatico richiedono molta manodopera da costruire, richiedendo molta codifica manuale dei captcha per addestrare i sistemi. Sono inoltre facilmente resi obsoleti da piccole modifiche alle funzionalità di sicurezza utilizzate all'interno dei captcha.

Poiché il nuovo risolutore richiede poco coinvolgimento umano, può essere facilmente ricostruito per mirare a nuovi, o modificato, schemi captcha.

Il programma è stato testato su 33 schemi captcha, di cui 11 utilizzati da molti dei siti Web più famosi al mondo, tra cui eBay, Wikipedia e Microsoft.

Il dottor Zheng Wang, Senior Lecturer presso la School of Computing and Communications della Lancaster University e coautore della ricerca, ha dichiarato:"Questa è la prima volta che un approccio basato su GAN è stato utilizzato per costruire risolutori. Il nostro lavoro mostra che le funzionalità di sicurezza impiegate dagli attuali schemi captcha basati su testo sono particolarmente vulnerabili con i metodi di deep learning.

"Mostriamo per la prima volta che un avversario può lanciare rapidamente un attacco a un nuovo schema captcha basato su testo con uno sforzo molto basso. Questo è spaventoso perché significa che questa prima difesa di sicurezza di molti siti web non è più affidabile. Ciò significa captcha apre un'enorme vulnerabilità di sicurezza che può essere sfruttata da un attacco in molti modi.

Signor Guixin Ye, lo studente principale autore del lavoro ha dichiarato:"Permette a un avversario di lanciare un attacco ai servizi, come attacchi Denial of Service o spendere spam o pescare messaggi, per rubare dati personali o addirittura falsificare le identità degli utenti. Dato l'alto tasso di successo del nostro approccio per la maggior parte degli schemi captcha di testo, i siti web dovrebbero abbandonare i captcha."

I ricercatori ritengono che i siti web dovrebbero prendere in considerazione misure alternative che utilizzano più livelli di sicurezza, come i modelli di utilizzo di un utente, la posizione del dispositivo o anche informazioni biometriche.

La ricerca è pubblicata nel documento "Yet Another Text Captcha Solver:A Generative Adversarial Network Based Approach" presentato alla Conferenza ACM sulla sicurezza dei computer e delle comunicazioni (CCS) 2018 a Toronto.