A (Completely Automated Public Turing test to tell Computers and Humans Apart), eredetileg arra tervezték, hogy megakadályozza a botok, malware-ek és mesterséges intelligencia (AI) interakcióját egy weboldallal. A 90-es években ez a spam botok megakadályozását jelentette. Napjainkban a szervezetek a baljósabb automatizált támadások, például a hitelesítő adatok kitöltése ellen próbálják használni.

Majdnem a bevezetése után azonban a kiberbűnözők hatékony módszereket fejlesztettek ki a teszt megkerülésére. A jófiúk “edzett” s-ekkel válaszoltak, de az eredmény ugyanaz maradt: az automatizálást megállítani próbáló tesztet automatizálással kijátsszák.

Az automatizálás többféleképpen is legyőzhető. Az egyik gyakori módszer a képmegoldó szolgáltatás használata, amely a fejlődő országokban olcsó emberi munkaerőt használ fel a képek megoldására. A kiberbűnözők előfizetnek egy szolgáltatásra a megoldásokért, amelyek API-kon keresztül áramvonalasodnak az automatizálási eszközeikbe, és feltöltik a válaszokat a célzott webhelyre. Ezek a kétes vállalkozások olyannyira mindenütt jelen vannak, hogy sokuk egy gyors Google-kereséssel is megtalálható, például:

  • Deathby
  • 2
  • Kolotibablo
  • ProTypers
  • Antigate

Ez a cikk a 2 segítségével mutatja be, hogyan integrálják a támadók a megoldást a hitelesítő adatok kitöltését célzó támadások megszervezéséhez.

2

A 2.com oldalra való belépéskor a látogatót az alábbi kép fogadja, amely megkérdezi, hogy a látogató 1) a 2-nek szeretne-e dolgozni, vagy 2) a 2-t szolgáltatásként kívánja-e megvásárolni.

1. lehetőség – A 2-nek dolgozni

Azért, hogy a 2-nek dolgozzon, egyszerűen regisztráljon egy fiókot, megadva egy e-mail címet és egy PayPal-fiókot a fizetési befizetésekhez. Egy teszt során a fiókot perceken belül érvényesítették.

Az új dolgozóknak egy egyszeri tanfolyamon kell részt venniük, amely megtanítja őket, hogyan kell gyorsan megoldani s. Tippeket is ad, például mikor számít az eset és mikor nem. A képzés kellő pontossággal történő elvégzése után a dolgozó elkezdhet pénzt keresni.

A “Munkakezdés” kiválasztása után a dolgozó a munkaterület képernyőjére kerül, amely a fenti ábrán látható. A dolgozó ezután kap egy és felszólítást a megoldás beküldésére. A helyes megoldás után a pénz egy elektronikus “pénztárcába” kerül, és a dolgozó bármikor kérheti a kifizetést. Úgy tűnik, nincs vége a munkaterületen megjelenő s-ek számának, ami a szolgáltatás iránti folyamatos keresletet jelzi.

2 A dolgozókat a helyes megoldások benyújtására ösztönzik, hasonlóan ahhoz, ahogyan az Uber-sofőröket is arra ösztönzik, hogy kiváló szolgáltatást nyújtsanak – az ügyfelek értékelései. 2 ügyfél értékeli a kapott megoldások pontosságát. Ha egy 2 dolgozó értékelése egy bizonyos küszöbérték alá esik, kirúgják a platformról. Ezzel szemben a legmagasabb értékeléssel rendelkező dolgozókat jutalmazzák az alacsony kereslet idején azzal, hogy elsőbbséget kapnak az elosztásban.

2. lehetőség – 2 mint szolgáltatás

A 2 mint szolgáltatás használatához egy ügyfél (ill, támadó) integrálja a 2 API-t a támadásába, hogy digitális ellátási láncot hozzon létre, automatikusan táplálja a rejtvényeket a célhelyről, és megoldásokat kap a célhelyre történő bevitelhez.

A 2 segítőkészen példaszkripteket ad az API-hívások létrehozásához különböző programozási nyelveken, többek között C#, JavaScript, PHP és Python nyelven. A Python nyelven írt példakódot az alábbiakban reprodukáljuk:

A 2 integrálása egy automatizált támadásba

Hogyan használná egy támadó a 2-t egy hitelesítő adatok kitöltését célzó támadásban? Az alábbi ábra azt mutatja, hogy a különböző entitások hogyan hatnak egymásra egy megkerülési folyamatban:

Technikai folyamat:

  1. A támadó lekéri a kép beágyazásához használt iframe forrását és URL-címét a céloldaltól, és helyben elmenti
  2. A támadó API tokent kér a 2 weboldalától
  3. A támadó elküldi a 2 szolgáltatásnak HTTP POST segítségével, és kap egy ID-t, amely egy numerikus azonosító, amelyet a 2-nek elküldött képhez rendelnek. Az ID-t az 5. lépésben egy API GET kéréshez használjuk a 2-hez, hogy lekérdezzük a megoldott képet.
  4. 2 hozzárendeli a dolgozóhoz, aki megoldja, majd elküldi a megoldást a 2-nek.
  5. A támadó szkriptet programoz, hogy az ID segítségével pingelje a 2-t (5 másodpercenként, amíg meg nem oldódik). 2 ezután elküldi a megoldott . Ha a megoldás még mindig megoldásra vár, a támadó egy “_NOT_READY” jelzést kap a 2-től, és a program 5 másodperc múlva újra megpróbálja.
  6. A támadó egy bejelentkezési kérelmet küld a céloldalra a kitöltött mezőkkel (azaz egy lopott listáról származó hitelesítő adatokkal) a megoldással együtt.
  7. A támadó ezt a folyamatot minden egyes képnél ismétli.

A webtesztelési keretrendszerekkel, például a Seleniummal vagy a PhantomJS-szel kombinálva a támadó úgy tűnhet, hogy emberhez hasonló módon lép kapcsolatba a célweboldallal, hatékonyan megkerülve számos meglévő biztonsági intézkedést, hogy hitelesítő adatokkal töltött támadást indítson.

Monetizáció & Bűnügyi ökoszisztéma

Egy ilyen elegáns megoldás mellett hogyan néz ki a pénzügyi ökoszisztéma, és hogyan keresnek pénzt az egyes felek?

Monetizáció: megoldó

A megoldóként dolgozni messze nem jövedelmező. A 2 weboldalán megadott mérőszámok alapján a következő kifizetést lehet kiszámolni:

Feltételezve, hogy 6 másodpercet vesz igénybe egy , egy dolgozó 10 s-t küldhet be percenként vagy 600 s-t óránként. Egy 8 órás napon ez 4800 s. Abból kiindulva, amit a 2 munkavállalójaként végzett próbánk során kerestünk (nagyjából 0,0004 $/megoldás), ez napi 1,92 $-nak felel meg.

A fejlett országokban élő egyének számára ez időpocsékolás, de azok számára, akik olyan helyeken élnek, ahol napi néhány dollár viszonylag sokat ér, a megoldási szolgáltatások könnyű pénzkereseti lehetőséget jelentenek.

Monetizáció: A támadó 1000 darabos kötegekben fizet a harmadik félnek, 2-nek a megoldásokért. A támadók licitálnak a megoldásokra, kötegenként 1 és 5 dollár közötti összeget fizetve.

Sok támadó a -megoldó szolgáltatásokat egy nagyobb hitelesítő adatokkal való kitöltési támadás részeként használja, ami indokolja a költségeket. Tegyük fel például, hogy egy támadó támadást indít, hogy egymillió hitelesítő adatot teszteljen a Pastebinből egy céloldalon. Ebben a forgatókönyvben a támadónak minden egyes hitelesítő adatokkal meg kell kerülnie egyet, ami nagyjából 1000 dollárba kerülne. Feltételezve, hogy a hitelesítő adatok sikeres újrafelhasználásának aránya 1,5%, a támadó 15 000 fiókot tud megszerezni, amelyek mindegyike pénzzé tehető.

Monetizáció: 2

2 1000 fiókonként kap fizetést a támadótól. Ahogy fentebb említettük, az ügyfelek (azaz a támadók) 1000 s-onként 1 és 5 dollár közötti összeget fizetnek. Az olyan szolgáltatások, mint a 2, ezután részesedést vesznek a licitárból, a maradékot pedig kiosztják az emberi munkaerőnek. Mivel a megoldási szolgáltatásokat méretarányos megoldásként használják, a nyereség szépen összeadódik. Még ha a 2 csak 1 $-t kap 1000 megoldott s-onként, akkor is legalább 60 centet kapnak csomagonként. Ezeknek az oldalaknak a tulajdonosai gyakran maguk is fejlődő országokban vannak, így a látszólag alacsony bevétel jelentős.

Mi a helyzet a Google Invisible re-vel?

Ez év márciusában a Google kiadta a re egy továbbfejlesztett változatát “Invisible re” néven. A “no re”-vel ellentétben, amely minden felhasználónak meg kellett kattintania a hírhedt “Nem vagyok robot” gombot, az Invisible re átengedi az ismert emberi felhasználókat, miközben csak a gyanús felhasználóknak szolgáltat egy re képi kihívást.

Azt gondolhatnánk, hogy ez megakasztja a támadókat, mert nem láthatják, mikor tesztelik őket. Mégis, alig egy nappal azután, hogy a Google bevezette az Invisible re-t, 2 blogbejegyzést írt arról, hogyan lehet legyőzni.

A Google úgy tudja, hogy egy felhasználó ember, ha a felhasználó korábban már meglátogatta a kért oldalt, amit a Google a böngésző cookie-jainak ellenőrzésével állapít meg. Ha ugyanez a felhasználó új eszközt kezdett használni, vagy nemrég törölte a gyorsítótárát, a Google nem rendelkezik ezzel az információval, és kénytelen újbóli kihívást kiadni.

Hogy egy támadó automatizálni tudja a hitelesítő adatok kitöltését célzó támadást a 2 segítségével, garantálnia kell a kihívást. Így az Invisible re megkerülésének egyik módja az, hogy a támadó szkripthez hozzáad egy kódsort, amely minden egyes kérésnél törli a böngészőt, így garantálva egy megoldható re kihívást.

Az Invisible re kissé trükkös része az, hogy a kihívás rejtve van, de van egy megoldás. Az “inspect element” böngésző eszközzel “megtalálható”. Tehát a támadó küldhet egy POST-ot a 2-nek, amely tartalmaz egy paramétert, amely részletezi, hogy hol található a rejtett. Miután a támadó megkapja a megoldást a 2-től, az Invisible re kétféle módon automatizálással legyőzhető:

  1. JavaScript-akció, amely egy függvényt hív meg, hogy a megoldott tokent az oldal űrlap elküldésével adja meg
  2. HTML-kód módosítása közvetlenül a weboldalon, hogy a megoldott token bevitelével egy normál kódrészletet helyettesítsen.

Az, hogy az Invisible re megkerülhető, nem azért van, mert az újabb . Hanem az, hogy minden fordított Turing-teszt eleve legyőzhető, ha ismertek az átjutási feltételek.

Amíg vannak s, addig lesznek olyan szolgáltatások, mint a 2, mert a gazdaságosság annyira a bűnözők kezére játszik. Az alacsony költségű emberi munkaerő kihasználása minimalizálja az üzletkötés költségeit, és lehetővé teszi a kiberbűnözők számára, hogy olyan nyereséget arassanak, amely méretarányosan akár több millió dolláros nagyságrendben is ketyeghet. És mindig lesznek a világnak olyan régiói, ahol olcsó a munkaerőköltség, így az állandó kereslet biztosítja az állandó kínálatot a 2 oldalán.

A világnak nem kell kifejleszteni egy jobb , mivel ennek az egész megközelítésnek alapvető korlátai vannak. Ehelyett el kell ismernünk ezeket a korlátokat, és olyan védekezéseket kell megvalósítanunk, ahol az átadási feltételek ismeretlenek, vagy legalábbis a támadók számára nehéz megállapítani őket.

Források

Holmes, Tamara E. “Prepaid Card and Gift Card Statistics”. CreditCards.com. Creditcards.com, 2015. december 01. Web.

Hunt, Troy. “Szakítás az automatizált emberekkel”. Blogbejegyzés. Troy Hunt. Troy Hunt, 2012. január 22. Web.

Motoyama, Marti, Kirill Levchenko, Chris Kanich és Stefan Savage. Re: s-Understanding -solving Services in an Economic Context. Proc. of 19th USENIX Security Symposium, Washington DC. Print.

Learn More

Nézze meg a “Learn How Cybercriminals Defeat”

videót.

admin

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.

lg