當駭客用真人破解 CAPTCHA 驗證……

本文引述三個研究案例說明駭客如何利用在地代理器 (residential proxy) 與 CAPTCHA 破解服務,來避開線上服務網站的反垃圾郵件、反機器人與反濫用措施。

今日線上服務網站有一項必要安全措施就是:確定來訪的真人、而非自動化機器人。這麼做可以讓網站過濾垃圾郵件、未經授權的網站爬梳、大量的假帳號註冊、回應及評論,以及最重要的,來自殭屍網路大軍的攻擊。其中最常被用來過濾自動化機器人的工具就是用來辨別電腦和真人的全自動化公開圖靈測驗 (CAPTCHA) 驗證。

CAPTCHA 是一種「質詢/應答」驗證,理論上只有真人能通過驗證。一些常見的 CAPTCHA 驗證會在一張含有紋路的背景圖案上顯示一些扭曲的數字和英文字母,然後要求使用者將圖中所顯示的數字和字母輸入到一個文字方塊中。今日還出現了一些進階版的 CAPTCHA 驗證,要求使用者從一些方形圖片中找出某種物件,例如:交通號誌、汽車等等。

簡單的 CAPTCHA (例如只包含數字和字母) 有時可利用光學辨識 (OCR) 技巧加以破解,而較難的 CAPTCHA (例如扭曲的字元) 也可以被採用機器學習 (ML) 技術的自動化解謎程式破解。為了反制這些 CAPTCHA 破解技巧,一些更進階的 CAPTCHA 驗證已被開發出來,包括:在一個網格當中找出某些物體,或是將某個物體旋轉至正確的位置。但假使駭客在破解 CAPTCHA 驗證時使用的不是機器人而是真人,那麼線上服務業者將面臨截然不同的挑戰。

繼續閱讀

機器人如何變壞?

測試工業機器人的安全極限

今日智慧工廠工業機器人攻擊示範
今日智慧工廠工業機器人攻擊示範

 

今日世界在各方面都極度仰賴工業機器人,然而,目前的機器人生態體系在安全方面是否足以抵擋駭客的網路攻擊?

機器人可不可能遭到駭客入侵?

基於效率、準確與安全的理由,工業機器人在許多大型生產線上早已取代了人力。這些可程式化的機械裝置,幾乎已遍及各種工業領域:汽車、飛機零件製造、食品包裝,甚至提供重要的公共服務。

很快地,機器人將成為現代化工廠一項普遍的特色,因此,我們有必要停下來思考一下,當今的工業機器人生態體系在安全上是否足以抵擋網路攻擊?這是我們前瞻威脅研究 (FTR) 團隊以及我們的合作夥伴 Politecnico di Milano (POLIMI) 在檢視今日工業機器人攻擊面時所共同思考的一個問題。更重要的是,我們希望藉由這次的機會來證明這些機器人是否真的有可能被入侵。

以下影片當中的攻擊示範,是在實驗室環境下針對工廠實際會用的工業機器人所做的測驗。由於今日工業機器人在結構上大同小異,此外也有嚴格的標準,因此,本研究所用的機器人對於為數眾多的工業機器人來說,可算具有代表性。

所謂的工業機器人,就是一套「經由自動控制、可重複程式化、多重用途的操作手臂,具備三軸或更多軸可程式化,可固定於某地,也可四處行動,主要應用於工業自動化。」

機器人可能遭到什麼樣的攻擊?

一具工業機器人需要多個部位共同配合才能順利加以操作。程式化人員或操作人員通常透過遠端存取介面,如:教導盒 (teach pendant) 來經由網路來下達一些高階指令給控制器。控制器 (基本上就是一台電腦) 接著將指令轉換成低階的指令給機器手臂的各個部位去解讀並執行。 繼續閱讀