Det fullständiga automatiska offentliga Turing-testet för att skilja datorer och människor åt (Completely Automated Public Turing test to tell Computers and Humans Apart), utformades ursprungligen för att förhindra att robotar, skadlig kod och artificiell intelligens (AI) ska kunna interagera med en webbsida. På 90-talet innebar detta att förhindra skräppostrobotar. Numera använder organisationer det i ett försök att förhindra mer ondskefulla automatiserade attacker som t.ex. credential stuffing.
Nästan så snart det infördes utvecklade dock cyberkriminella effektiva metoder för att kringgå det. De goda killarna svarade med ”härdade” s men resultatet förblir detsamma: testet som försöker stoppa automatisering kringgås med automatisering.
Det finns flera sätt kan besegras. En vanlig metod är att använda en lösningstjänst, som utnyttjar billig mänsklig arbetskraft i utvecklingsländer för att lösa bilder. Cyberkriminella prenumererar på en tjänst för lösningar, som strömlinjeformas in i deras automatiseringsverktyg via API:er och fyller på svaren på målwebbplatsen. Dessa skumma företag är så allestädes närvarande att många kan hittas med en snabb Google-sökning, bland annat:
- Deathby
- 2
- Kolotibablo
- ProTypers
- Antigate
Denna artikel kommer att använda 2 för att demonstrera hur angriparna integrerar lösningen för att orkestrera attacker med autentiseringsuppgifter.
2
När besökaren går in på webbplatsen 2.com möts han eller hon av bilden nedan, där man frågar om besökaren vill 1) arbeta för 2 eller 2) köpa 2 som en tjänst.
Option 1 – Arbeta för 2
För att arbeta för 2 registrerar man sig helt enkelt för ett konto, och anger en e-postadress och ett PayPal-konto för betalningsinsättningar. Under ett test validerades ett konto inom några minuter.
Nyanställda måste gå en engångsutbildning som lär dem hur man snabbt löser s. Den ger också tips, t.ex. om när fall spelar roll och inte spelar roll. Efter att ha slutfört utbildningen med tillräcklig noggrannhet kan arbetstagaren börja tjäna pengar.
När arbetstagaren har valt ”Start Work” (påbörja arbete) kommer han/hon till skärmen för arbetsområdet, som visas ovan. Arbetstagaren får sedan en och uppmanas att skicka in en lösning. När lösningen har lösts korrekt sätts pengar in i en elektronisk ”plånbok”, och arbetstagaren kan begära utbetalning när han eller hon vill. Det finns till synes ingen gräns för antalet s som visas i arbetsområdet, vilket tyder på en stadig efterfrågan på tjänsten.
2 arbetare har incitament att lämna in korrekta lösningar på samma sätt som en Uber-chaufför har incitament att ge utmärkt service – kundbetyg. 2 kunder betygsätter korrektheten i de lösningar de fått. Om en 2-arbetares betyg hamnar under ett visst tröskelvärde sparkas hon bort från plattformen. Omvänt kommer arbetare med de högsta betygen att belönas under tider av låg efterfrågan genom att prioriteras vid distributionen.
Option 2 – 2 som tjänst
För att använda 2 som tjänst måste en kund (dvs, en angripare) integrerar 2 API:et i sin attack för att skapa en digital försörjningskedja, som automatiskt matar in pussel från målplatsen och tar emot lösningar som ska matas in på målplatsen.
2 tillhandahåller hjälpligt exempelskript för att generera API-anrop i olika programmeringsspråk, inklusive C#, JavaScript, PHP, Python, med mera. Exempelkoden skriven i Python har återgivits nedan:
Integrera 2 i en automatiserad attack
Hur skulle en angripare kunna använda 2 i en attack för att fylla på autentiseringsuppgifter? Diagrammet nedan visar hur de olika enheterna interagerar i en bypass-process:
Teknisk process:
- Anfallaren begär iframe-källan och den URL som används för att bädda in bilden från målwebbplatsen och sparar den lokalt
- Anfallaren begär API-token från 2:s webbplats
- Anfallaren skickar den till 2:s tjänst med hjälp av HTTP POST och får ett ID, vilket är ett numeriskt ID som hänför sig till bilden som skickades in till 2:s webbplats. ID:t används i steg 5 för en API GET-förfrågan till 2 för att hämta den lösta .
- 2 tilldelar den till en arbetare som löser den och skickar lösningen till 2.
- Attacker programmerar ett skript för att pinga 2 med hjälp av ID:t (var 5:e sekund tills den har lösts). 2 skickar sedan den lösta . Om lösningen fortfarande håller på att lösas får angriparen ett inlägg från 2 som anger ”_NOT_READY” och programmet försöker igen 5 sekunder senare.
- Angriparen skickar en inloggningsbegäran till målsidan med fälten ifyllda (dvs. en uppsättning autentiseringsuppgifter från en stulen lista) tillsammans med lösningen.
- Angriparen itererar över denna process med varje bild.
I kombination med ramverk för webbtestning som Selenium eller PhantomJS kan en angripare se ut att interagera med målwebbplatsen på ett människoliknande sätt, och på så sätt effektivt kringgå många befintliga säkerhetsåtgärder för att starta en credential stuffing-attack.
Monetisering &Kriminellt ekosystem
Med en sådan elegant lösning på plats, hur ser det finansiella ekosystemet ut och hur tjänar parterna var och en pengar?
Monetisering: lösare
Att arbeta som lösare är långt ifrån lukrativt. Baserat på de mätvärden som tillhandahålls på 2:s webbplats är det möjligt att beräkna följande utbetalning:
Antagen att det tar 6 sekunder per , kan en arbetstagare lämna in 10 s per minut eller 600 s per timme. Under en 8-timmarsdag blir det 4 800 s. Baserat på vad vi tjänade under vår provperiod som anställd hos 2 (ungefär 0,0004 dollar per lösning) motsvarar detta 1,92 dollar per dag.
Detta är slöseri med tid för personer i utvecklade länder, men för dem som bor på orter där några få dollar per dag kan räcka relativt långt, är lösningstjänster ett enkelt sätt att tjäna pengar.
Monetarisering: Angripare
Anfallaren betalar den tredje parten, 2, för lösningar i paket om 1000. Angriparna bjuder på lösningarna och betalar mellan 1 och 5 dollar per paket.
Många angripare använder -lösningstjänster som en del av en större attack för att fylla på autentiseringsuppgifter, vilket rättfärdigar kostnaden. Anta till exempel att en angripare lanserar en attack för att testa en miljon autentiseringsuppgifter från Pastebin på en målsida. I det här scenariot måste angriparen kringgå en med varje uppsättning autentiseringsuppgifter, vilket skulle kosta ungefär 1000 dollar. Om man antar att återanvändningen av autentiseringsuppgifter lyckas med 1,5 % kan angriparen ta över 15 000 konton, som alla kan tjäna pengar.
Monetisering: 2
2 tar emot betalning från angriparen per 1000. Som nämnts ovan betalar kunderna (dvs. angriparna) mellan 1 och 5 dollar per 1000 s. Tjänster som 2 tar sedan en del av budpriset och delar ut resten till sin mänskliga arbetskraft. Eftersom lösningstjänsterna används som en lösning i stor skala, blir vinsterna ganska stora. Även om 2 bara får 1 dollar per 1 000 lösta s tjänar de minst 60 cent per paket. Ägarna till dessa webbplatser befinner sig ofta själva i utvecklingsländer, så de till synes låga intäkterna är betydande.
Hur är det med Googles osynliga re?
I mars i år släppte Google en uppgraderad version av sin re kallad ”Invisible re”. Till skillnad från ”no re”, som krävde att alla användare klickade på den ökända ”I’m not a Robot”-knappen, låter ”Invisible re” kända mänskliga användare passera igenom, medan endast misstänkta användare får en utmaning i form av en re-bild.
Man skulle kunna tro att detta skulle göra angriparna förbryllade, eftersom de inte skulle kunna se när de testades. Ändå, bara en dag efter att Google introducerade Invisible re, skrev 2 ett blogginlägg om hur man slår det.
Det sätt på vilket Google vet att en användare är en människa är om användaren tidigare har besökt den begärda sidan, vilket Google fastställer genom att kontrollera webbläsarens cookies. Om samma användare har börjat använda en ny enhet eller nyligen rensat sin cache har Google inte den informationen och tvingas utfärda en ny utmaning.
För att en angripare ska kunna automatisera en attack mot autentiseringsuppgifter med hjälp av 2 måste han garantera en utmaning. Ett sätt att kringgå Invisible re är därför att lägga till en kodrad i angreppsskriptet som rensar webbläsaren vid varje begäran, vilket garanterar en lösbar re challenge.
Det lite knepiga med Invisible re är att utmaningen är dold, men det finns en lösning. Den kan ”hittas” genom att använda webbläsarverktyget ”inspect element”. Så angriparen kan skicka en POST till 2 som innehåller en parameter som beskriver var den dolda finns. När angriparen får lösningen från 2 kan Invisible re besegras via automatisering på ett av två sätt:
- JavaScript-åtgärd som anropar en funktion för att förse den lösta token med sidans formulär submit
- HTML-kodändring direkt på webbsidan för att ersätta ett stycke normal kod med inmatningen av den lösta token.
Det faktum att Invisible re kan kringgås beror inte på att det fanns ett ödesdigert fel i konstruktionen av de nyare . Det är att varje omvänt Turing-test i sig självt går att slå när villkoren för att passera är kända.
Så länge det finns s kommer det att finnas tjänster som 2 eftersom ekonomin spelar brottslingarna så väl i händerna. Att dra nytta av billig mänsklig arbetskraft minimerar kostnaderna för att göra affärer och gör det möjligt för cyberkriminella att skörda vinster som kan uppgå till miljontals dollar i stor skala. Och det kommer alltid att finnas regioner i världen med billiga arbetskostnader, så den konstanta efterfrågan säkerställer ett konstant utbud på 2:s sida.
Världen behöver inte utveckla en bättre , eftersom hela detta tillvägagångssätt har grundläggande begränsningar. Istället bör vi erkänna dessa begränsningar och implementera försvar där passeringsvillkoren är okända eller åtminstone svåra för angriparna att fastställa.
Källor
Holmes, Tamara E. ”Prepaid Card and Gift Card Statistics”. CreditCards.com. Creditcards.com, 01 dec. 2015. Web.
Hunt, Troy. ”Breaking with Automated Humans”. Blogginlägg. Troy Hunt. Troy Hunt, 22 januari 2012. Web.
Motoyama, Marti, Kirill Levchenko, Chris Kanich och Stefan Savage. Re: s-Understanding -solving Services in an Economic Context. Proc. of 19th USENIX Security Symposium, Washington DC. Print.
Lär dig mer
Se videon ”Learn How Cybercriminals Defeat”
