2017年11月13日,GeekPwn2018国际安全极客大赛启动仪式在美国硅谷举办。来自全球的顶级黑客和人工智能领域的安全专家、学者带来了众多令人“脑洞大开”的破解演示和最前沿的议题分享。最值得一提的是,两位资深安全研究者李伟和沈里仅用20秒,就成功击败了世界上使用最广泛的用于区分人类与电脑的全自动图灵测试——Google reCAPTCHA人机鉴别验证码系统。
此次被选手破解的Google reCAPTCHA服务是目前使用最广泛、最受欢迎的验证码服务,包括Facebook在内的许多网站均将其作为拦截自动化机器不合法攻击的安全保护手段。Google指出,最新reCAPTCHA机制的部署,是基于机器学习和高风险分析的共同配合,因此它具有更高的用户友好度和安全性,可进一步提升人机鉴别机制的用户体验。
而Google reCAPTCHA技术也并非绝对安全。在GeekPwn2018国际安全极客大赛启动仪式的现场,李伟和沈里就向现场观众展示了Google reCAPTCHA的技术漏洞。据了解,他们的研究经历了六个月左右,用“神经网络”打造了一个能够自动预测并识别验证码图像的“机器人”,成功“欺骗”了reCAPTCHA安全系统。简单来说,Google reCAPTCHA安全系统相当于网站的“防盗门”,而选手则是利用AI成功复制出无数把“钥匙”。
李伟表示,验证码是一种利用人类很容易通过但机器人却难以完成的测试,来区分用户是计算机还是人类的公共安全自动化保护程序。它可以有效地防止攻击者利用暴力破解方式来对某一个特定注册用户进行不断的登录尝试,并在许多方面提供简单且实用的安全保护。例如,保护网站遭到恶意注册、防止博客出现大量垃圾评论以及确保网上票选的公正性等等。
因此,一旦安全系统失去验证码技术的保护,就会为攻击者打开方便之门。攻击者就能利用机器人程序注册海量账号,从而影响风险分析、绕过安全限制以及部署大规模攻击等。假设选手在GeekPwn现场所展示的技术及漏洞被别有用心者利用,发动大规模攻击,这将为全球用户带来极大的安全风险,甚至造成严重的经济损失。
作为全球最大关注智能生活的安全极客大赛,在GeekPwn2018启动仪式的现场,除了前所未见的AI对决外,还有远程劫持TCP技术、鼻尖解锁手机、“手机僵尸”隔空窃密等精彩纷呈的破解演示。据悉,GeekPwn2018年中赛选手招募已经正式启动, Geekpwn将于2018年5月12日继续在硅谷上演精彩的AI黑客与漏洞的“对决”。
