(Täysin automatisoitu julkinen Turing-testi tietokoneiden ja ihmisten erottamiseksi toisistaan), suunniteltiin alunperin estämään boteja, haittaohjelmia ja keinotekoisia älykkäitä tekoälyjä (tekoälyä, AI:ta) toimimasta vuorovaikutuksessa verkkosivun kanssa. 90-luvulla tämä tarkoitti roskapostibottien estämistä. Nykyään organisaatiot käyttävät sitä pyrkiessään estämään pahaenteisempiä automatisoituja hyökkäyksiä, kuten tunnistetietojen täyttämistä.
Lähes heti sen käyttöönoton jälkeen verkkorikolliset kehittivät kuitenkin tehokkaita menetelmiä sen ohittamiseksi. Hyvät tyypit vastasivat ”kovennetuilla” s, mutta tulos on edelleen sama: testi, jolla automaatio yritetään pysäyttää, kierretään automaatiolla.
Voidaan voittaa monin eri tavoin. Yleinen tapa on käyttää ratkaisupalvelua, joka käyttää kehitysmaissa olevaa edullista ihmistyövoimaa kuvien ratkaisemiseen. Verkkorikolliset tilaavat ratkaisupalvelun, joka virtaviivaistetaan heidän automaatiotyökaluihinsa API:iden kautta, jolloin vastaukset täytetään kohdesivustolle. Nämä hämäräyritykset ovat niin yleisiä, että monet niistä löytyvät nopealla Google-haulla, kuten:
- Deathby
- 2
- Kolotibablo
- ProTypers
- Antigate
Tässä artikkelissa käytetään 2:ta havainnollistamaan, miten hyökkääjät integroivat ratkaisun orkestroidakseen tunnistetietojen täyttämishyökkäyksiä.
2
Sivustolle 2.com siirryttäessä katsojaa tervehtii alla oleva kuva, jossa kysytään, haluaako kävijä 1) työskennellä 2:lle vai 2) ostaa 2:n palveluna.
Vaihtoehto 1 – Työskentele 2:lle
Työskennellessäsi 2:lle rekisteröidyt tilille antamalla sähköpostiosoitteesi ja PayPalin tilisi maksutalletuksia varten. Testin aikana tili vahvistettiin muutamassa minuutissa.
Uusi työntekijä joutuu osallistumaan kertaluonteiseen koulutukseen, jossa opetetaan ratkaisemaan nopeasti s. Siinä annetaan myös vinkkejä, kuten milloin tapauksella on ja milloin ei ole väliä. Kun työntekijä on suorittanut koulutuksen riittävällä tarkkuudella, hän voi alkaa ansaita rahaa.
Valittuaan vaihtoehdon ”Aloita työ” työntekijä siirtyy työtilanäyttöön, joka on kuvattu yllä. Tämän jälkeen työntekijälle annetaan ja häntä kehotetaan lähettämään ratkaisu. Kun ratkaisu on ratkaistu oikein, rahat talletetaan sähköiseen ”kukkaroon”, ja työntekijä voi pyytää maksua milloin tahansa. Työtilaan ilmestyvien s:ien määrä ei näytä loppuvan koskaan, mikä viittaa palvelun jatkuvaan kysyntään.
2 Työntekijöitä kannustetaan lähettämään oikeita ratkaisuja samaan tapaan kuin Uber-kuljettajaa kannustetaan tarjoamaan erinomaista palvelua – asiakasarviot. 2 asiakkaat arvioivat saamiensa ratkaisujen oikeellisuutta. Jos 2-työntekijän arvosana alittaa tietyn raja-arvon, hänet potkitaan pois alustalta. Sitä vastoin työntekijät, joilla on korkeimmat arvosanat, palkitaan vähäisen kysynnän aikana saamalla etusija jakelussa.
Vaihtoehto 2 – 2 palveluna
Käyttääksesi 2:ta palveluna, asiakas (ts, hyökkääjä) integroi 2 API:n hyökkäykseensä luodakseen digitaalisen toimitusketjun, joka syöttää automaattisesti arvoituksia kohdesivustolta ja vastaanottaa ratkaisuja syötettäväksi kohdesivustolle.
2 tarjoaa avuliaasti esimerkkiskriptejä API-kutsujen luomiseksi eri ohjelmointikielillä, kuten C#:lla, JavaScriptillä, PHP:llä ja Pythonilla. Python-kielellä kirjoitettu esimerkkikoodi on toistettu alla:
2:n integroiminen automatisoituun hyökkäykseen
Miten hyökkääjä käyttäisi2:ta credential stuffing-hyökkäyksessä? Alla olevassa kaaviossa esitetään, miten eri tahot ovat vuorovaikutuksessa ohitusprosessissa:
Tekninen prosessi:
- Hyökkääjä pyytää iframe-lähdettä ja kuvan upottamiseen käytettyä URL-osoitetta kohdesivustolta ja tallentaa sen paikallisesti
- Hyökkääjä pyytää API-tunnusta 2:n verkkosivustolta
- Hyökkääjä lähettää sen 2:n palveluun HTTP POST -tekniikan avulla ja vastaanottaa ID:n, joka on numeerinen tunnus, joka liitetään 2:lle toimitettuun kuvaan. ID:tä käytetään vaiheessa 5 API GET -pyyntöön 2:lle ratkaistun kuvan hakemiseksi.
- 2 osoittaa sen työntekijälle, joka ratkaisee sen ja lähettää ratkaisun 2:lle.
- Hyökkääjä ohjelmoi skriptin pingaamaan 2:ta ID:n avulla (5 sekunnin välein, kunnes se on ratkaistu). 2 lähettää sitten ratkaistun . Jos ratkaisua ratkotaan edelleen, hyökkääjä saa 2:lta viestin, jossa ilmoitetaan ”_NOT_READY”, ja ohjelma yrittää uudelleen 5 sekunnin kuluttua.
- Hyökkääjä lähettää kirjautumispyynnön kohdesivustolle, jonka kentät on täytetty (eli joukko tunnistetietoja varastetusta luettelosta) yhdessä ratkaisun kanssa.
- Hyökkääjä toistaa tämän prosessin jokaisen kuvan kanssa.
Yhdistettynä Seleniumin tai PhantomJS:n kaltaisiin verkkotestauskehyksiin hyökkääjä voi näyttää olevansa vuorovaikutuksessa kohdesivuston kanssa ihmisen kaltaisella tavalla, jolloin hän voi tehokkaasti ohittaa monia olemassa olevia turvatoimia käynnistääkseen credential stuffing -hyökkäyksen.
Monetisaatio & Rikollinen ekosysteemi
Tällaisen tyylikkään ratkaisun ollessa käytössä, miltä taloudellinen ekosysteemi näyttää, ja miten kukin osapuoli ansaitsee rahaa?
Monetisaatio: Ratkaisija
Työskentely ratkaisijana ei ole läheskään tuottoisa. 2:n verkkosivulla annettujen mittareiden perusteella voidaan laskea seuraava palkkio:
Jos oletetaan, että se vie 6 sekuntia per , työntekijä voi lähettää 10 s minuutissa tai 600 s tunnissa. Kahdeksan tunnin päivässä tämä on 4800 s. Sen perusteella, mitä ansaitsimme kokeilumme aikana 2:n työntekijänä (noin 0,0004 dollaria ratkaisua kohti), tämä vastaa 1,92 dollaria päivässä.
Tämä on ajanhukkaa kehittyneissä maissa asuville henkilöille, mutta niille, jotka asuvat paikkakunnilla, joissa muutamalla dollarilla päivässä pääsee suhteellisen pitkälle, ratkaisupalvelut ovat helppo tapa ansaita rahaa.
Monetisointi: Hyökkääjä
Hyökkääjä maksaa kolmannelle osapuolelle, 2, ratkaisuista 1000 kappaleen nipuissa. Hyökkääjät tekevät ratkaisuista tarjouksen ja maksavat 1-5 dollaria per nippu.
Monet hyökkääjät käyttävät -ratkaisupalveluja osana laajempaa credential stuffing -hyökkäystä, mikä oikeuttaa kustannukset. Oletetaan esimerkiksi, että hyökkääjä on käynnistämässä hyökkäystä testatakseen miljoona Pastebinistä peräisin olevaa valtakirjaa kohdesivustolla. Tässä skenaariossa hyökkääjän on ohitettava yksi kullakin tunnistussarjalla, mikä maksaisi noin 1000 dollaria. Jos oletetaan, että 1,5 % onnistuu valtakirjojen uudelleenkäytössä, hyökkääjä voi ottaa haltuunsa yli 15 000 tiliä, jotka kaikki voidaan muuttaa rahaksi.
Monetisointi: 2
2 saa maksun hyökkääjältä 1000 tiliä kohden. Kuten edellä mainittiin, asiakkaat (eli hyökkääjät) maksavat 1 ja 5 dollarin välillä 1000 s kohti. 2:n kaltaiset palvelut ottavat sitten osuuden tarjoushinnasta ja jakavat loput inhimilliselle työvoimalleen. Koska ratkaisupalveluja käytetään laajamittaisena ratkaisuna, voitot kasvavat mukavasti. Vaikka 2 saisi vain 1 dollarin per 1000 ratkaistua s, se saa vähintään 60 senttiä nipusta. Näiden sivustojen omistajat ovat usein itse kehitysmaissa, joten näennäisen pienet tulot ovat huomattavat.
Mikä on Googlen Invisible re?
Tämän vuoden maaliskuussa Google julkaisi päivitetyn version re:stään nimeltä ”Invisible re”. Toisin kuin ”no re”, joka vaati kaikkia käyttäjiä napsauttamaan surullisen kuuluisaa ”En ole robotti” -painiketta, Invisible re päästää tunnetut ihmiskäyttäjät läpi ja tarjoaa re-kuvahaasteen vain epäilyttäville käyttäjille.
Voisi ajatella, että tämä tekisi hyökkääjät tyrmääviksi, koska he eivät pystyisi näkemään, milloin heitä testataan. Silti vain päivä sen jälkeen, kun Google esitteli Invisible re:n, 2 kirjoitti blogikirjoituksen siitä, miten se voidaan päihittää.
Tapa, jolla Google tietää, että käyttäjä on ihminen, on se, että käyttäjä on aiemmin vieraillut pyydetyllä sivulla, minkä Google määrittää tarkistamalla selaimen evästeet. Jos sama käyttäjä on aloittanut uuden laitteen käytön tai tyhjentänyt hiljattain välimuistinsa, Googlella ei ole tätä tietoa, ja sen on pakko antaa uusi haaste.
Hyökkääjän on taattava haaste, jotta hän voi automatisoida tunnistetietojen täyttämishyökkäyksen 2:n avulla. Näin ollen yksi tapa ohittaa Invisible re on lisätä hyökkäysskriptiin koodirivi, joka tyhjentää selaimen jokaisen pyynnön yhteydessä, mikä takaa ratkaistavan re-haasteen.
Hieman hankalaa Invisible re:ssä on se, että haaste on piilotettu, mutta siihen on olemassa kiertotie. Sen voi ”löytää” käyttämällä selaimen ”inspect element” -työkalua. Hyökkääjä voi siis lähettää POST:in osoitteeseen 2, joka sisältää parametrin, jossa kerrotaan yksityiskohtaisesti, missä piilotettu sijaitsee. Kun hyökkääjä saa ratkaisun 2:lta, Invisible re voidaan voittaa automaation avulla kahdella tavalla:
- JavaScript-toiminto, joka kutsuu funktiota, joka toimittaa ratkaistun tokenin sivulomakkeen lähetyslomakkeella
- HTML-koodimuutos suoraan verkkosivulla, jotta ratkaistun tokenin syötteellä voidaan korvata normaalin koodin pätkä.
Se, että Invisible re voidaan ohittaa, ei johdu siitä, että uudemman . Vaan siitä, että mikä tahansa käänteinen Turing-testi on luonnostaan voitettavissa, kun läpäisyehdot ovat tiedossa.
Niin kauan kuin on olemassa s, tulee olemaan 2:n kaltaisia palveluita, koska talous pelaa niin hyvin rikollisten käsiin. Edullisen ihmistyövoiman hyödyntäminen minimoi liiketoiminnan kustannukset ja antaa tietoverkkorikollisille mahdollisuuden saada voittoja, jotka voivat suuressa mittakaavassa tikittää jopa miljoonia dollareita. Ja maailmassa tulee aina olemaan alueita, joilla työvoimakustannukset ovat halpoja, joten jatkuva kysyntä takaa jatkuvan tarjonnan 2:n puolella.
Maailman ei tarvitse kehittää parempaa , koska koko tällä lähestymistavalla on perustavanlaatuisia rajoituksia. Sen sijaan meidän pitäisi tunnustaa nämä rajoitukset ja toteuttaa puolustuksia, joissa läpäisyehdot ovat tuntemattomia tai ainakin hyökkääjien on vaikea selvittää.
Lähteet
Holmes, Tamara E. ”Prepaid Card and Gift Card Statistics.” CreditCards.com. Creditcards.com, 01.12.2015. Web.
Hunt, Troy. ”Breaking with Automated Humans”. Blogikirjoitus. Troy Hunt. Troy Hunt, 22. tammikuuta 2012. Web.
Motoyama, Marti, Kirill Levchenko, Chris Kanich ja Stefan Savage. Re: s-Understanding -solving Services in an Economic Context. Proc. of 19th USENIX Security Symposium, Washington DC. Print.
Learn More
Watch the video, ”Learn How Cybercriminals Defeat”
.
