Forscher knacken Audio-Sicherheitssystem

Ein Team von Informatikern der Stanford und Tulane University mit Erfahrung in künstlicher Intelligenz, Audioverarbeitung und Computersicherheit hat einen Weg gefunden, die Systeme automatisch zu besiegen, die Spammer daran hindern, neue Konten auf Websites wie Yahoo, Microsofts Hotmail und Twitter zu erstellen .





Auf vielen Websites müssen Benutzer eine Reihe verzerrter Zeichen – ein Puzzle, das als CAPTCHA bekannt ist – korrekt transkribieren, um Zugang zu erhalten. Diese Tests sind für Menschen relativ einfach, für Computer jedoch sehr schwer. Die meisten Websites stellen CAPTCHAs auch in Audioform für sehbehinderte Benutzer zur Verfügung, und die Forscher fanden heraus, dass ihr Algorithmus viele dieser Audio-CAPTCHAs lösen könnte. Forscher der Carnegie Mellon University haben bereits 2008 die Anfälligkeit von Audio-CAPTCHAs nachgewiesen, aber die neue Arbeit zielt auf neuere, sicherere Versionen ab.

Die Möglichkeit, CAPTCHAs automatisch zu umgehen, könnte es Spammern billiger machen, Spam zu versenden. Im Moment zahlen Spammer Menschen die Löhne in Sweatshops, um CAPTCHAs zu lösen, aber das kann bis zu einem Cent pro Stück kosten.

Teamleiter Elie Bursztein von der Stanford University sagt, dass der Algorithmus des Teams, genannt deCAPTCHA, in fast der Hälfte aller Fälle Audio-CAPTCHAs von Microsoft und Yahoo überwinden konnte. Microsoft hat inzwischen auf eine andere Art von CAPTCHA umgestellt, die der Algorithmus noch in 1,5 Prozent der Fälle besiegen kann.



[Beim Umgehen von Sicherheitsmaßnahmen], wenn man die 1-Prozent-Schwelle überschreitet, steckt man in großen Schwierigkeiten, sagt Burzstein. Es ist fast eine Freikarte.

Luis Von Ahn, der den Begriff CAPTCHA geprägt hat, sagt, dass Unternehmen in Wirklichkeit die Geschwindigkeit, mit der Audio-CAPTCHAS kompromittiert werden, kontrollieren können, indem sie die Anzahl der CAPTCHAs, die pro Tag gelöst werden können, oder die Anzahl, die gelöst werden können, begrenzen eine einzige IP-Adresse. Aber, sagt Sicherheitsexperte Markus Jakobsson, es ist sehr wichtig zu verstehen, wie wir Dinge kaputt machen können, bevor es die Bösen tun.

Ein Audio-CAPTCHA liest eine Reihe von Buchstaben oder Zahlen mit zusätzlicher Audioverzerrung laut vor. Das Stanford-Team hat einen Lernalgorithmus entwickelt, um den Klang so zu verarbeiten, wie wir es für ein menschliches Ohr denken, sagt Bursztein. Dies bedeutete, dass man sich auf niederfrequente Töne konzentriert, die Menschen besonders gut verarbeiten können, und so viel Rauschen wie möglich aus Audio-CAPTCHAs eliminieren.



Burszteins Team arbeitet auch daran, mehrere neue Arten von Audio-CAPTCHA zu erstellen. Ein Typ spielt zwei Stimmen, die gleichzeitig verschiedene Buchstaben- oder Wortfolgen lesen. Menschen sind besonders gut darin, eine Stimme zu erkennen, wenn sie in einem überfüllten Raum von vielen konkurrierenden Gesprächen umgeben sind, aber Computer sind bei dieser Aufgabe schrecklich. Ein zweiter Typ kombiniert Wörter mit Musik.

Auch wenn viele bestehende CAPTCHAs anfällig für Angriffe sind, sagt Jakobsson, ist ihr Ausfall nicht so schwerwiegend wie die Kompromittierung eines Passwortsystems. [CAPTCHA-Niederlage] ist ein allmählicher Verfall der Sicherheit. Sie müssen nicht alle draußen halten, um das Gefühl zu haben, Sicherheit zu haben – einige Fehler sind tolerierbar.

verbergen