信息安全往往采用军备竞赛的形式,因为攻击者培养了在网络上使用或滥用服务的新方法,以及捍卫者争抢适应并阻止这些新技术。
很少有技术更好地举例说明这个武器比赛而不是称为CAPTCHA的Web元素。该组件旨在识别和阻止攻击者用于自动化和扩大攻击的机器人,例如凭证滥用,网页刮擦,或者在运动鞋机器人这样的工具中,以便快速购买时尚运动鞋等有限的商品用品。
CAPTCHAS杂草杂志通过在浏览器中呈现谜题,从而透明地只有人类可以解决。在开始,这些谜题主要是视觉,通常需要用户解析扭曲的文本并键入它。
随着时间的推移,CAPTCHA已经包括不同类型的谜题,包括在复杂图像中识别特定对象,转录短音频文件或解决逻辑谜题,例如转动右侧图像。
人体求解器现象
十多年来;然而,攻击者可以在规模和速度下绕过CAPTCHA,而不是通过计算机视觉或人工智能的进步,而是通过在发展中经济体中识别和农业向人工人员网络(在该行业中称为索盘)的谜题,然后返回正确的响应使机器人可以继续为其分配的任务。
这些服务成本攻击者(即求解服务器服务的客户)根据拼图的服务和类型,每1000个正确的解决方案大约1-3美元。求解器网络;但是,只有1,000个精确解决方案的工资工人近0.40美元。根据求素的速度,将他们的支付每天2至5美元。
在点的情况下,在印度,包括7个人CAPTCHA求解器的单个网络可以每天围绕时钟每天解决50,000个CAPTCHA - 为1,000个条目约2美元。
要清楚,截至2020年,由于多种原因,现在的人员CAPTCHA求解器存在的风险现在或多或少可管理(如果没有解决)。
对于一个,它是一种旧的练习,安全从业者广泛熟悉,几个安全供应商已经设计了检测人类验证案件网络的方法。一些安全供应商开发了机器人缓解或防欺诈解决方案来取代CAPTCHA。与此同时,基于人工智能的CAPTCHA求解器的进步威胁要使人类求解网络过时。
那么为什么现在PE进入这些人类求解器网络?尽管风险很低,但这种做法应该受到彻底检查,因为黑客的简单性质。
而不是与捍卫者竞争发展复杂的人工智能,CAPTCHA求解器使用低成本,全球分布的人工作为僵尸网络的前端。这个问题解决了信息安全中攻击者和捍卫者之间的战斗基本方面。正如CAPTCHA元素一样举例说明了武器竞争,这种规避安全控制的方法揭示了安全从业者经常误解攻击者的优势的性质。
打开误导可以为设计可以超越这一军备竞赛的未来控制并经支出时间的验证,为一般指导提供线索。
重新评估信息安全军备竞赛
使人类CAPTCHA求解器如此有理由对安全武器竞争的事物并不躺在技术细节中。相反,它是他们最重要的事情。人类CAPTCHA求解器的漏洞,而不是利用漏洞的编码错误或误诊,而不是利用漏洞,而是利用关于人类劳动时间价值的假设。也就是说,CAPTCHAS围绕系统所有者设计的假设,不可能使用人工劳动来扩大CAPTCHA求助客户承诺的攻击种类。
在一种方式,假设是正确的。实际攻击者代表的技术人士在短时间内乘以数百或数千次来说太昂贵。然而,鉴于允许这种分散,分布式劳动力供应来满足其需求的必要基础设施,解决CAPTCHA所需的相对不熟练的劳动力不是太贵。
结果是,在21世纪,攻击者支付人类的贫困工资,以充当机器人的前端,这反过来像人类一样,以便以没有设计的方式使用信息系统。这照亮了核心问题:对于攻击者来说,它从来没有真正关于机器人 - 它是关于可扩展性的。
机器人是末端的手段;当防守者使用CAPTCHAS难以使用击球机时,攻击者发现人们对此。面对一场战斗,在表面上,似乎是关于人工智能或计算机视觉,攻击者,而是在人类劳动的成本方面找到了一种重新描述的方法。
这意味着实际上是什么意思
安全从业者通常专注于策略,技术和程序(TTP),因为它们是允许在安全运营中心(SoC)中的人或法医分析中的人员来诊断或减轻攻击的细节。
然而,CAPTCHA求解器表明,涉及到设计主动控制或安全计划(而不是缓解持续攻击时),专注于TTPS只是为了到目前为止。这是因为TTP经常代表攻击者的一组一次性手段。
在某种程度上,我们可以将安全军备竞赛的整个历史归结为攻击者社区,以争夺安全界已经制定的条款,并迫使安全从业人员反过来调整。
相比之下,可以使整个策略(如可扩展性,持久性或隐藏等)无效的控件将提供更大的跨时间,空间和佩戴系统的实用程序。换句话说,TTP在信息安全的许多应用中都是至关重要的,但他们既不是镇上的最后一句话也不是唯一的游戏。
实际上,在这种战略层面运营的控制必须提出应用程序架构及甚至是商业模式的问题。在业务中更深入地将信息安全的想法既不是新的也不是争议。
此外,这里的含义是,它代表了通过在董事会努力更加积极主动降低安全成本的机会。我并不意味着暗示致力于减轻机器人的时间和专业知识已经缺乏花费,但我认为聚焦onyAttackers正在做某事可以富有成效,因为聚焦Onowthey正在进行它。
-Sander Vinberg是F5实验室的威胁研究福音师。表达的观点是个人的。