Wednesday, June 6, 2012

Lớp bảo mật Google reCAPTCHA bị bẻ khóa

Standard

Google reCAPTCHA, hệ thống cung cấp một lớp bảo mật cho nhiều website đã bị bẻ khóa bởi những hacker trong cuộc trình diễn tại hội thảo bảo mật LayerOne với tỉ lệ thành công lên đến 99%.
Một khung gửi bình luận (comment) trên website tích hợp reCAPTCHA, buộc khách truy cập phải nhập ký tự hiển thị mới có thể gửi bình luận - Ảnh minh họa: Internet
Các hacker đã phát triển một đoạn mã dạng "proof of concept" (*) mang tên "Stillwalker" có thể bẻ khóa hệ thống Google reCAPTCHA qua buổi trình diễn tại hội thảo LayerOne. Mặc dù đã thử nghiệm thành công với tỉ lệ 99% trước đó, nhưng buổi trình diễn đã gặp trục trặc do Google nhanh tay cải tiến hệ thống reCAPTCHA trước đó một tiếng. Một cuộc chạy đua thú vị giữa hacker và nhóm bảo mật Google!
Hội thảo bảo mật máy tính LayerOne diễn ra từ ngày 26 đến 27-5 tại Los Angeles, Hoa Kỳ, bao gồm các buổi trình diễn và hội thảo về bảo mật và bẻ khóa máy tính. 
CAPTCHA là hệ thống bảo vệ cho website chống lại các đợt tấn công của hacker vận hành những đoạn mã tự động gửi các dữ liệu "rác" làm ngập lụt máy chủ web, có thể làm website bị ngưng trệ hoặc bị thâm nhập.
Ngày nay, hầu như tất cả các website đều sử dụng CAPTCHA trên những trang cho phép khách truy cập nhập dữ liệu vào, ví dụ trang đăng ký tài khoản (nhập thông tin đăng ký) hay trang liên hệ. Ngoài nội dung cần thiết, CAPTCHA sẽ yêu cầu họ phải nhập thêm một dãy số hay ký tự ngẫu nhiên trùng khớp với dãy số/ ký tự của hệ thống đưa ra. Nếu không trùng khớp, hệ thống sẽ không gửi nội dung dữ liệu từ khách truy cập tới máy chủ web. Tránh được các đoạn mã có thể tạo nội dung tự động.
Google reCAPTCHA là một trong những hệ thống CAPTCHA được sử dụng nhiều nhất nhờ độ linh hoạt, an toàn, miễn phí và dễ tích hợp lên website / blog.
Một ví dụ về hệ thống reCAPTCHA của Google, nội dung hiển thị ngẫu nhiên bao gồm hai từ "morning" và "upon", người dùng cần nhập đúng vào ô bên dưới để tiếp tục thao tác trên website - Ảnh: Internet
Thay vì phân tích các ký tự hiển thị trong reCAPTCHA, các hacker đã phân tích phiên bản âm thanh của hệ thống này, đây là một chức năng Google bổ sung nhằm giúp người khiếm thị có thể nghe được các ký tự hiển thị để nhập cho trùng khớp.
Mã Stillwalker sử dụng nhiều kỹ thuật khác nhau để bẻ khóa reCAPTCHA, nhưng tập trung khai thác nhiều nhất vào vốn từ vựng rất hạn chế của giọng nói trên máy tính. Trong khi các ký tự CAPTCHA cực kỳ phức tạp, lựa chọn ngẫu nhiên từ hàng triệu từ với nhiều font chữ khác nhau, hệ thống âm thanh trong Google reCAPTCHA lại chỉ dùng vỏn vẹn 58 từ tiếng Anh khác nhau.
Trước một tiếng "Stillwalker" được giới thiệu tại LayerOne, Google nhanh tay bổ sung một lớp âm thanh nền với những tiếng rè rè đặc trưng của máy tính để mã Stillwalker khó phân tích và dò ra được.
(*) Proof-of-concept: tạm dịch là “mã khai thác và trục lợi từ lỗi bảo mật”, có độ rủi ro và nguy hiểm rất cao.


------------------ HẾT ------------------

NHÀ CUNG CẤP DỊCH VỤ CHUYÊN NGHIỆP
PHÁT TRIỂN
WEBDESIGN - HOSTING - DOMAIN

0 comments:

Post a Comment