Kate Li (Taiwan)的部落格

首頁

驗證碼的前世今生(前世篇)

作者 lace 時間 2020-03-20
all

常在網上晃悠的人,對上面這張圖都不會陌生。特別是在注册新帳號、確認交易時,它們都會頻繁出現,要求我們輸入正確的驗證碼,那這些看上去跟我們要做的事情完全無關的驗證碼到底有何作用呢?

0×1誕生

首先,先介紹下驗證碼程式的提出者,路易斯·馮·安(Luis von Ahn)。2002年,路易士和他的小夥伴在卡內基梅隆第一次提出了CAPTCHA(驗證碼)這樣一個程式概念。該程式是指,向請求的發起方提出問題,能正確回答的即是人類,反之則為機器。這個程式基於這樣一個重要假設:提出的問題要容易被人類解答,並且讓機器無法解答。

在當時的條件下,識別扭曲的圖形,對於機器來說還是一個很艱難的任務,而對於人來說,則相對可以接受。yahoo在當時第一個應用了圖形化驗證碼這個產品,很快解决了yahoo郵箱上的垃圾郵件問題,囙此圖形類驗證碼開始了大發展時期。

0×2發展與問題

圖形化驗證碼在被證明有效後,在互聯網上迅速得到了推廣。國內外各大網站,在關鍵的業務點上都加入了這一類型的驗證碼。

首先,由於開發者水准的良莠不齊,導致驗證碼本身的實現存在問題,從而導致漏洞可以繞過,常見的有以下幾種類型:

[1]驗證碼的生成邏輯、答案用戶可見

如將驗證碼答案輸出到頁面中、寫在cookie裏。打比方就是說,在發卷的時候,把答案寫在了卷子背面。(老師再也不用擔心我的成績)

[2]驗證碼的生命週期未控制好

如驗證碼可以重複使用、不設超時。驗證一次,永久使用。

[3]業務邏輯與驗證碼結合點存在問題

如修改業務參數可導致不用校驗驗證碼也可通過、甚至驗證碼就是擺設。結合到具體的業務點上有什麼危害呢?

a.驗證碼寫在cookie中。此處可導致旅客資訊洩露。

b.驗證碼與圖片存在對應關係,囙此直接訪問html即可得到答案。此處可導致撞庫與暴力破解密碼。

(上述兩例轉自烏雲)

0×3圖片驗證碼對抗與攻擊陞級

在開篇我們提到了一個重要的假設:

CAPTCHA提出的問題要容易被人類解答,並且讓機器無法解答。

實際上,CAPTCHA所要處理的問題是:將普通人與惡意的用戶(駭客、垃圾消息發送者)區分開來。那當時間點到達2016年時,駭客們與普通用戶之間的差距已經很大了(想像下中國足球隊對巴西足球隊,而且此時留給中國隊的時間已經不多了)。

囙此,CAPTCHA在圖片驗證碼這一應用點上已經無法滿足這一假設了。在這段時間內,出現了很多的加强和識別圖形驗證碼的方法(每一種方法的詳細原理和解釋,可以參見wooyun drops,在此不做詳述):

附上部分名詞解釋:

預處理:灰度值二值化、去噪點、連通性補全等切割:通過滴水算灋、統計方法等得到單個字元的所在位置機器學習算灋:將經過處理的每個字元進行訓練,訓練後得到識別答案(SVM、KNN、神經網絡等)字形檔:與機器學習算灋類似,將處理後的字元人工導入,構造字形檔,對長期不變的驗證碼較為有效

如上圖所示,原始的影像使用了字體旋轉、背景色混淆等手段,在專業的驗證碼工具面前,也就是幾個命令拼接即可完成識別

如上圖所示,是一個驗證碼識別軟件自建字形檔的過程,通過回車確認驗證碼識別正確,如有錯誤,稍帶修改繼續。當保存了上千個正確識別的字形檔後,該程式便可達到一個可用的可用的準確率。(其實若不不做其他限制,此時準確率在30%以上時,即可造成很大的危害,畢竟對於攻擊者來說,發3個包與發1個包的成本差別不大)

看到這裡,客戶們大概可以回答這個問題了:

那普通驗證碼難道沒用了嗎?

那倒也不是,安全是一個博弈的過程。綜合使用之前提到的驗證碼科技(特別是字體粘連等),並且保持關注和變化,攻擊者的識別率也比較低。當攻擊的成本大於可獲得的利益時,自然就沒人來攻擊了。(普通用戶在此應强烈要求存在感)

此時,雖然兩方大小上略有差距,但是總體戰鬥力還算是勉强打個平手,互相出招而已。只是隨著戰火的陞級,個人輪番上陣後,驗證碼已經違背了他最初設計時的初衷:對普通用戶的友好性逐漸消失。而普通用戶的體驗也就成了這場戰爭中的犧牲品,這也就造就了一批有一批被用戶吐槽的無法辨認的驗證碼。

正當普通用戶們不斷吐槽的時候,程式師表示這個鍋不想背但是也得背。因為業務總是要做的,而攻擊者們也是要吃飯的,陞級了驗證碼的成本,也就限制了風險的等級,於是就變成了這樣一個模式╮(╯_╰)╭:

程式師:熬一晚上陞級

攻擊者:熬一晚上破解

程式師:熬兩晚上陞級

攻擊者:熬兩晚上破解

….(心疼)…

大家就在這種你方唱罷我登臺的情况下看似和睦的度過了一段時間。

0×4圖片驗證碼的沒落

在日日夜夜的對抗中,攻擊者想到了一個辦法,可以一勞永逸的解决圖片驗證碼的問題。在我對這些搞灰產的人們表示憧憬之前,先說點題外話。

2009年,google買下了CMU的一個項目:recaptcha。這個項目是CAPTCHA的進階版本。它所基於的假設與CAPTCHA一致,但是它同時讓用戶識別兩張圖片,一張用於驗證用戶身份,而另一張用於幫助難以用機器識別的電子文檔。

恩,如果讀者有從事此類灰產相關工作的人,請注意recaptcha右下角的小字(stop spam.read books看看這情懷)。

而recaptcha的作者,當然又是:路易斯·馮·安。在recaptcha的基礎上,路易士進一步提出了一個概念:人類計算(Human Computation)。

簡單來說,他希望借由電腦和網絡平臺,發揮人類技能,去解决大規模、複雜的問題,具體到recaptcha項目來說,就是借助大家的力量去幫助數位化書籍。(該思想的具體應用還包括一個叫ESP GAME的遊戲以及後面會提到的no recaptcha)

但是,在2004年(我能搜到這個新聞的最早時間),就有人已經完美的實現了這個概念:人工打碼,並且起源地:中國(此處我應該感到自豪嗎)。

所謂的人工打碼就是,將驗證碼的請求轉發給某平臺,該平臺會將這個資訊發送給平臺上的打碼工,然後打碼工人識別後,將答案反送回請求者。通過打碼平臺的api,攻擊者可以寫程式實現對目標的自動化操作,而驗證碼的部分只要交給打碼平臺就可以了。

打碼平臺在國內市場上的火爆,有幾個原因:

[1].從2006年開始,國內互聯網的迅猛發展,使得流量變現成為了可能。各種郵件行銷、SEO、IM工具等都迫切的需要穩定的可以繞過圖形驗證碼的方法。而近些年興起的基於數據的詐騙、帳號盜取等更進一步加劇了這個趨勢。

[2].打碼平臺的爆發式發展也同時得益於中國經濟蓬勃發展的原因之一:人口多並且人力成本低。網絡上一種常見的網賺模式,就是打碼工模式,一個只要會上網,能識別驗證碼的人就可以參與。PS:難道你沒有看見過下麵這些廣告嗎?大學生、欧巴桑,無需學歷,只要會上網、會打字,一天包賺XXXXX。當然其中除了打碼平臺,還有很多騙子。

可以打碼的類型包括:

1.普通字母驗證碼

2.中文驗證碼

3.滑鼠類型類驗證碼

4.選擇題類型(比如某些網遊中做任何會遇到的驗證碼)

5.旋轉類驗證碼

6.知識常識問答型驗證碼

以上驗證碼的價格在平臺上都是明碼標價,普通的字母驗證碼1條在1分錢左右,而知識問答類在6分錢左右,相較於利用這些灰產所會產生的利益,真是件美物廉,重點是還非常穩定。

同時我注意到國外的價格現在與國內的價格已經相差不大,現在美國的價錢約為$1.5/1000,美國的打碼工已經向東南亞擴展。打碼平臺一出現,2. 2中提到的加强驗證碼的方法都無用了。因為不管你怎麼變化,驗證碼總需要是人類能够通過的。

0×5新的征程

打碼平臺的出現,雖然沒有從理論上打破CAPTCHA的原則,但是也從事實上擊破了防止程式自動提交的防禦,囙此我們需要新型的安全的驗證管道。這些探索也帶來了現在各種多樣的驗證碼形式,這些我們將在下篇探討。

最後用一個“富有情懷”的圖片結束。

這張圖不是來自改變世界的極客,也不是來自富有愛心的藝術家。它來自某知名打碼平臺的官網,是不是太有情懷了?(你們的確改變了我們的工作方式)

面對這樣的情懷,我想我現在只能做一件事情。

作者:目明@阿裡安全,更多安全類技術文章,請訪問阿裡聚安全部落格