“天生反骨”的验证码总是让人类头痛不已。
比如最基础的英语数字组合验证码,就早已会让人深陷自我怀疑:
“I还是1?0还是O?2还是Z?9还是q?vv还是w?”
再例如无数网友被12306网站验证码支配的焦虑。
如果想顺利买到火车票,抢票页面的“余票充足”并不能代表能买到,只有在付款前的验证码环节顺利通关,才算成功一半。
要么是在一群名星的相片中找出影帝影后,要么是在一堆山寨商品中找出假货,更过于的是在一打方言中选出”海南话“……
无数被可恶验证码挡在网页外的网民,心里都有一声愤怒的呐喊:
验证码,人类一生之敌。
但验证码越来越“变态”的背后实际上是安全攻守人员与黑灰产之间的持续对抗。
1月12日下午15:00,顶象就验证码的攻守问题与你们展开讨论,顶象反欺诈专家大卫就现阶段验证码黑灰产会有什么破解方法谈起,从防御角度深度分析怎样应对黑灰产的功击,那么,验证码怎样以技术万变钳制黑灰产之变?验证码产品又改做什么产品安全能力设计?
验证码为何越变越复杂?人机验证码相信你们都不陌生。
人机验证从最早的传统字符型验证码到图形验证码再到行为验证码再到现在的智能验证码,验证方法可以说是千变万化的。
那么,为什么随着验证码的不断迭代,验证码反倒越来越“变态”?我们越来越无法证明我是人而不是机器?
要回答这个问题,大卫觉得可以从以下两个角度来剖析:
一是机器难度,即安全性;一是人的难度,即用户友好程度。
这两个要素仍然是验证码的核心关注点。可以看见,传统的字符类验证码其实难度不高,但对机器来说却几乎没有难度;为了降低机器破解的难度,针对其他验证方法做了混淆,比如在图片上做杂讯来提高安全性,这样一来,反而降低了人的视觉难度。
所以也就可以理解我们为何认为验证码越来越“变态”。
但整体来看,传统验证码验证方法设计不合理,只降低了人的难度, 缺乏感知能力 以及调整能力,安全纵深不足,这也挺好的解释了验证码为何迭代到现在的智能验证码。
验证码有什么破解方法?那么,对于黑灰产而言,验证码到底是怎么破解验证码的。
从上图可知,验证码的破解流程可分为三步:
第一步资源爬取,即通过机器爬取获得文字、图标、图片、音频等信息;第二步是工具辨识,常见的破解工具主要有OCR、打标训练、图像辨识平台等;第三步就是进行自动化递交破解验证码。
以智能验证码的破解为例。我们来看下验证码的破解过程。
首先是辨识元素的提取,即当一张图片出现用户须要晓得这张图片的答案在那里,比如说要把滑块拖到那个地方、图片上有什么元素、所在的位置是如何的,这些都是黑灰产须要破解的。
一般而言,有以下几个步骤:
一是辨识元素群,需要大量爬取目标验证码的元素。二是对目标验证码进行人工标明,标注的数目越多,样本数目就越多,最终训练的模型疗效就越好,这其中都会用到图象辨识的一些模型。
三是自动化辨识,即可通过模型就晓得这张图片的答案在那里,知道了答案以后,接下来就是怎样完成验证了。
对于智能验证码而言,它须要的除了是答案本身,更关注验证过程中的数据。这其中又有几种思路。
一种思路是可以破解整个JS文件,即完全逆向验证码JS文件,这样一来你就可以晓得它在验证过程中搜集什么数据,这些参数又是怎样拼装的,参数是怎样加密的,也就可以实现脱机运行,不用依赖浏览器环境自行组装参数递交验证,但这个方法成本相对较高,周期也会更长。
另一种思路是UI自动化。即当我们晓得图片上的答案以后,可通过自动化脚本去驱动浏览器上的元素自动化操作,进而完成验证。相对于上一种思路其成本较低。
除此之外,还有一种破解方法,即三方接码平台。
打码平台的基本原理是借助人工智能技术实现对验证码设计原理的突破。
黑灰产把获取到的验证码相关信息递交至打码平台,打码平台负责破解验证码,然后把正确的验证结果返回给黑灰产,让黑灰产在带着正确的验证结果去恳求数据页面,大大加强了验证码被破解的风险。
综上,原本的恳求流程只有黑灰产和数据页面的单向通讯,由于打码平台的加入,现在这条链路上便演弄成了黑灰产、数据页面、验证码、打码平台四者之间的通讯。
目前打码平台破解验证码方法主要是机器破解和人工打码两种。
机器破解的益处在于自动化程度高,识别速率快,而且对于黑灰产用户的词组调用价钱低,缺点是须要耗费大量的时间去破解验证码的验证方法,前期投入的工作量会比较大,而且有时候机器破解的辨识准确率也会有一定的偏差引致验证失败。
人工打码则是在打码平台构建一个任务平台,任务发布者是黑灰产方,将获取到的验证码信息封装成任务递交到打码平台,打码平台则作为中间的任务调度者,将一个个任务调度给标注者(专门做验证码验证的人),完成后将标明结果返回给黑灰产,由黑灰产带着标明结果去恳求数据页面。
标注结果打码平台也会储存一份,下次若碰到相同的验证码则直接返回此次的标明结果。如果验证码平台的验证图片长久不更新,那么都会有被拖库的风险,也就是其所有验证图片就会被标明,这时候就无需人工标明了,直接转变成机器打码的方式。
验证码怎样进行顶楼产品能力设计?那么,我们到底应当怎样提高防御能力?
大卫觉得应从以下三方面进行考虑:
1、识别对抗。
首先我们须要明晰辨识对抗的本质是哪些。
从字面意思不难理解,识别对抗的本质虽然就是对抗黑灰产的工具,但从技术层面来看,实际上指的是与黑灰产人工智能技术的对抗。
2、感知能力。
感知能力即辨识恶意爬虫、恶意流量的能力,它是区别于传统验证码与智能验证码的标志性能力。
因为智能验证码要求除了须要晓得答案,还须要具备答案是如何来的能力。
那么感知是从几个维度来做的呢?
一是行为数据,用户在验证过程中可能会形成按键上的敲打数据、鼠标的点击数据、触屏等数据,这些数据都须要我们去搜集,用来辅助判定用户在整个验证过程中是否具备人的行为特点。
二是终端风险,如果对方使用了自动化工具,如模拟器、虚拟机等等,我们可以通过在终端设备指纹的能力去辨识环境风险做辅助判定行为是否可信。
三是数据统计。通过大数据的剖析以及估算,能够大致圈定什么范围内的验证码的恳求是有问题的,进而针对这部份恳求做防御提高。
四是预警指标。通过实时估算的指标我们就能感知某一类验证码是否有被破解的可能性。
五是安全策略,通过测量功击行为的安全策略,根据风险情况对验证码作出调整。
3、以万变钳制黑灰产破解
不难看出,上述的攻守对抗都是围绕变字展开的。
以顶象验证码为例,我们来看下顶象验证码围绕变做了什么安全能力的设计。
首先是安全可信的通讯链路。前文中提及,黑灰产在破解验证码时首先要考虑的是是否要逆向JS文件来晓得你的通讯合同以及参数信息。对此,顶象降低了安全加密中心,安全加密中心会定期自动化的生成新的加密算码,把代码重新混淆一遍。有了这些的动态更新的机制后,即便黑灰产破解了某个版本的验证码JS 文件,在下一个更新窗口到来以后,这个验证码JS 文件也就失效了。
其次是验证方法和组合的实时变化。
前文中提及,识别对抗的本质是黑灰产的人工智能能力的对抗,因此我们的验证元素也要进行实时变换。例如文字点选类验证码,其核心验证要素是文字,机器破解假如辨识了图片中的文字要素,那么自然可以返回给黑灰产正确的验证结果。那么可以提高文字要素的辨识难度来抵挡机器破解。
最后是安全策略的实时调整。
针对私有化顾客,我们可以定向的验证私有化验证码,支持对接防御云,基于云服务拉取最新的更新模块、插件以及情报到私有化的环境中去,进而实现本地和云端的能力同步。
直播最后,大卫分享了人机验证未来的几个趋势,他觉得:
首先人机验证是企业业务安全必不可缺的一环。
其次,人机验证的对抗专业程度将会越来越高,从原先简单的OCR软件到现今的图象辨识技术甚至专业的打码平台,这些都是在攻守对抗过程中持续出现的工具,这就造成了人机安全的门槛也将越来越高。
随着安全厂商与黑灰产之间攻守对抗的不断迭代,各种各样的对抗手段及策略在不断对抗的过程中也在逐步提升,此时,对于中小型厂商而言,技术上是处于落后状态的,因此人机安全的门槛将会越来越高,甚至到最后可能只有少数的几个专业的安全厂商具备较好的人机防护能力。
最后再给你们简单介绍下顶象业务安全大讲堂。
顶象业务安全大讲堂汇集了业内大咖,分享万亿级业务安全攻守经验,打造时下最专业的业务安全直播课,通过“技术+方案+实践”三大核心专题,带您全面了解金融、互联网、航旅出游、跨境电商以及目前大热的NFT等各种业务风险及防范手段,深入解析背后的产品技术,抽丝剥茧攻守实战,助您构建零风险的数字业务。
春节后,顶象将开启第二季业务安全大讲堂,第二季业务安全大讲堂将构建安全圈生态,邀约著名大厂安全负责人和技术博主来给你们分享业务安全专业知识,敬请期盼!顶象在这儿提早祝愿你们新年快乐,新的一年“兔”飞猛进。
————————————
业务安全产品:免费试用
业务安全交流群:加入畅聊
