Höj din röst, gör den hörd!

HEM

BLOGG

OM MIG

REGGA DIG

LOGGA IN

INDEX

ARKIV

GALLERI

SAJTKARTA

KONTAKT

INFO

VILLKOR

GDPR

COOKIES

COPYRIGHT

Notis – Nätsäkerhet

I’m not a robot – Jag är ingen robot, kryss, kryss, markera alla trappor, broar och brandposter, eller lös talet 3+3, nej, nej, snälla inga fler trafikljus, mopeder och bussar och förbannade cyklar.

KATEGORI

, ,

LÄSTID

10 min.

FÖRFATTARE

Roy Destroy

DATUM

Med Anledning

av att jag installerade hCAPTCHA, och inte minst den gigantiska lösenordsläckan, vilken beskrivs i mitt inlägg – Säkert Internet – 2025-06-20, fortsätter jag här med att skriva om CAPTCHA. Begreppet står för  Completely Automated Public Turing test to tell Computers and Humans Apart, (Helautomatiserat publikt Turing-test för att skilja datorer och människor åt). En forskare Alan Turing skapade testet, the imitation game 1949 och gick ut på att bedöma en maskins förmåga att uppvisa en med människan likvärdigt intelligent beteende. Bakom ligger århundraden av filosofiska kontroverser över vad som är en maskin och vad som är medvetande, intelligens och hur man ska betrakta artificiell intelligens, vilken om än superintressant, dock inte ryms inom ramen för detta inlägg. Meniallafall! Det var tidigare relativt enkelt att avgöra vad som vad var person och maskin, då inga maskiner/program med någon större framgång kunde efterlikna mänskliga beteenden och resonemang. Självfallet blev en automatisk Turing-test, en avgörande faktor för grundläggande Cybersäkerhet, när invasiva bottar började dyka upp på nätet och ställa till problem för fredliga användare. hCAPTCHA och reCaptcha, vilka är de vanligast förekommande, skyddar som de flesta känner till all interaktion mellan användare och sajter, vad gäller registrerings-, logga in-, och kontaktsidor för att nämna några. Detta fungerar fortfarande som regel utan problem, men i horisonten syns och hopar sig mörka orosmoln, i form av AI-system med vältränade och hårt reglerade språkmodeller. Dessa börjar lära sig våra beteenden, egenskaper och blir allt duktigare på att härma oss, och det utan att AI blivit det minsta lilla mer intelligent, utan uteslutande endast mer kunnig.

Chatbottarnas Svar

är fortfarande baserat på sökmotorernas algoritmer, vilka är avsedda att leverera relevanta sökträffar. AI behöver faktiskt inte bli intelligent, för att tas för en fysik person. Då nättekniker och programmering till den grad utvecklats, att ett system av robotar med låsmekanismer, vilka är avsedda att skydda närvaron på nätet, lätt blir slaget av AI-bottar. Jag finner det ganska ironiskt att dessa tenderar att snabbare än människor låsa upp mekanismerna och penetrera skyddet. Vi är inte där, helt och hållet ännu, men på god väg, om man ska/kan lita på de senaste studierna i ämnet. De visar att vad som hänt med bl.a. CAPTCHA, är att, robotar i flera fall blivit bättre på att bevisa att de är vi än vad vi är. I studien satte ett team av forskare en AI-modell mot tusen fysiska personer av varierande ålder, kön, utbildning och ort på olika CAPTCHA-system och på över hundra populära webbplatser… Hur det gick? Vi, förlorade stort, dvs människorna stod sig slätt mot bottarna. Låt vara att akademiska studier genomförs under speciella redovisningsformer, konstruerade förutsättningar, och kan visserligen lämna antydningar om färdriktning och trender, men kan inte som förutsättningslösa studier på sajters produktionsnivå leverera säkra resultat. Men inte heller detta spelar, eller snarare kommer inte längre, att spela någon roll, vilken vidare läsning kommer att avslöja. Först, en reflexion; AI upplevs naturligtvis som ett hot mot varje kontext av cybersäkerhet, men jag vet inte om CAPTCHA som  ett test för att avgöra om maskin eller människa interagerar med en webbplats, spelat ut sin roll. De flesta nätsurfare har sannolikt stött på CAPTCHA, på formulär, eller ja de finns i stort sett överallt. T.o.m. på Google dyker de ibland upp, om algoritmen tycker att du söker efter för många saker för snabbt. Ibland behöver bara en ruta kryssas i, för att avgöra, att du inte är en bott.

Andra Gånger

måste man kanske dechiffrera en kod, eller ombeds att identifiera alla rutor som innehåller trafikljus, cyklar, broar, trappor och vette fan vad mer, jo brandposter, övergångsställen, motorcyklar och bussar. Säkerhet ska visserligen prioriteras, men jag för min del, kan inte avhjälpa min kraftiga irritation, när jag ska behöva identifiera repetitiva motiv på bilder, femton gånger på rad för att äntligen släppas in. Det går inte att komma runt att CAPTCHA faktiskt är en mer än tjugo år gamla teknik, vilken svårligen kommer att räcka till för att hålla webbplatser fria från elaka bottar. Poängen med den nämnda studien var att visa på, just det faktum, att med de framsteg AI-modellerna under senare tid gjort, är bottar nu mycket bättre på att klara dessa tester. Och det, under vissa förutsättningar, bättre än vad vi kan. De kan slå oss både när det gäller noggrannhet och generell hastighet – ibland t.o.m. med ganska stor marginal. Studiens resultat oroade forskarna, vilka menade att det är angeläget, att frågan om nätsäkerhet ges högsta prioritet, och de efterlyste bättre utformade metoder för att skilja maskin och människa åt. Varför denna smått paniska inställning bland forskarna? Vi tar det från början; bottar, spindlar och kravlare föddes med nätet och under Internets barndom var dessa robotar för det mesta vänliga, hjälpsamma och också lite busiga. Men nyttiga robotar, som sökmotorer, krypterare och      , fick strax konkurrens av onyttiga, onda och skadliga kusiner, avsedda att förorsaka förödelse på webben, kodade för allsköns kriminella aktiviteter, som bl.a. att snoka upp persondata för identitets- och egendomsstölder. Det existerar därför sannolikt fler onda än goda robotar i Cyberspace. Med tanke på det elände de onda bottarna, spindlarna och kravlarna, redan ställt till, utan AI-modeller, krävs inte någon större fantasiförmåga, för att föreställa sig hur det kan komma att se ut om, säg fem, eller tio år.    

Saker Och Ting

förändrats dock snabbt nu, och det måste väl ändå vara självskrivet att likaväl som buset och företag tillämpar AI-modeller för att penetrera nätskyddet, och komma åt oss eller snarare det vi råkar äga på banken, måste vi tillämpa AI-modeller för att bygga system som kan skydda oss och samtidigt sköta sömlösa snabba inloggningar med ex.vis biometri och/eller omfattande beteendeanalyser och liknande tekniker. AI, är som äpplet i Edens lustgård, kunskap som kan användas för goda såväl som onda ändamål. Just nu befinner vi oss i en brytningstid, där det gamla är på väg ut och det nya, med buller och bång på väg in. Och nä! AI är varken enbart dåligt eller bara bra, men en nödvändighet, i ljuset av att CAPTCHA-teknikerna börjar krackelera och falla sönder. Jag kan väl knappast påstå att min saknad efter pussel, rebusar, kryss och bockar, samt webbens mest irriterande fotografier kommer att bli så där jättestor, då de sannolikt, inom kort försvinner för alltid! Hehe! Som sagt, saker och ting förändras snabbt, utan att AI blivit intelligent, det räcker med att aktören är det, om än ett ont genius, vilket följande story klart visar. I en synnerligen omfattande och detaljerad rapport sammanställd av säkerhetsföretaget SentinelLabs, beskriver en sofistikerad skräppostkampanj, eller snarare spamoperation, de kallar AkiraBot. Det är ett ramverk baserat på programspråket Python, vilket bl.a. utnyttjar webbplatsers kontaktformulär och livechatt-widgetar för att framgångsrikt kringgå spamfilter och leverera AI-genererade meddelanden, främst till små och medelstora företag. AkiraBot lyckades rikta sig till fler än 80 000 sajter, med endast ca 11 000 missar, på bara fyra månader och kunde på detta sätt, marknadsförde högst tvivelaktiga SEO-tjänster under ”varumärkena”; ”Akira” och ”ServiceWrap”.

AI:s Mörka Sida

framträder i skarpt ljus, då AkiraBots spamoperationer var baserade i GenAI:s stora språkmodell och de riktade sig till flera tiotusentals webbutiker, och hade kunnat spamma många hundratusentals. I LLM:er, (Large Language Models), lurar sannerligen, en mörk sida, vilken kan vara svår att avslöja, innan det är för sent. Traditionellt förlitar sig spamoperationer på repetitiva mallar, men till skillnad från den tekniken utnyttjade AkiraBot OpenAI:s chatt-API för att generera unika budskap, skräddarsydda för varje sajt. Botten renderar personligt innehåll med hjälp av webbplatsspecifika detaljer, vilka skrapats med appen, BeautifulSoup. Detta försämrar spamfiltrens förmåga att upptäcka maskinen bakom. AkiraBots ramverk är  modulärt uppbyggt och inkluderar avancerade tekniker för nätverksinvasion eller -kapning, samt lika avancerade mekanismer, för att lura vissa CAPTCHA-tekniker. Det använder appen Selenium WebDriver för att simulera legitimt surfbeteende, vilket tillsammans med skript som inject.js möjliggör manipulation av   webbläsarattribut, som grafikrendering, installerade teckensnitt, systemminne, och profiler. Dessa peek and poke-modifieringar gjorde det möjligt för AkiraBot att imitera ett verkligt användarbeteende och t.o.m. slå CAPTCHA-system, som hCAPTCHA och reCAPTCHA, sas på käften. Dessutom använder botten sig av proxy-rotation genom tjänster som SmartProxy, vilket innebär att trafiken diversifieras för att verka komma från olika källor, och undviker således IP-baserade begränsningar. Visst är det djävulusiskt, uttänkt, duktigt upplagt, och skickligt exekverat, synd bara att kunskapen inte kom det goda till godo. Meniallafall! SentinelLabs avslöjade i sin rapport ett arkiv med poster och filer, vilka går tillbaka till september 2024, och som dokumenterar AkiraBots utveckling.

Ursprungligen Kallad

Shopbot”, utvecklade aktörerna bakom ramverket AkiraBot och utvidgade sin målgrupp från Shopify-baserade webbplatser, till plattformar som GoDaddy, Wix, Squarespace och andra som vanligtvis används av små- och medelstora företag. Bottens grafiska interface gav operatörerna möjlighet att övervaka processen och mäta framgångarna, samt vid behov justera inställningar. På så vis kunde operatörerna samtidigt rikta in spammet till många fler webbplatser. Loggar över AkiraBots framgångsrika spammande, forskare undersökt avslöjade, att aktörerna bakom botten ämnade rikta spamoperationer mot mer än 420 000 unika domäner. Lyckligtvis, reagerade OpenAI blixtsnabbt efter det SentinelLabs flaggat för faran med AkiraBot, och inaktiverade API-nyckeln, vilken var associerad med botten och stängde ner verksamheten. OpenAI bekräftade därefter sitt åtagande att förhindra missbruk. – ”Att distribuera utdata från våra tjänster för skräppost strider mot vår policy. Vi tar missbruk på allvar och förbättrar kontinuerligt våra system för att upptäcka varje tendens till felaktiga bruk av dessa tjänster”. Det är visserligen bra men måste likväl hålla över tid, då användningen av AI-genererat innehåll i skräppostkampanjer eller spamoperationer innebär ett paradigmskifte och den där brytningstiden jag tidigare nämnde. Det är en betydande, nej radikal förändring av spamtaktik och speglar de stora språkmodellernas dubbelnatur. Samtidigt, driver katt och råtta-leken om nätsäkerheten, innovationer inom automatisering, kommunikation och säkerhet, framåt om man nu kan uttrycka utvecklingen så. Dessvärre tillhandahåller LLM:er också verktyg för fullir, onda och skadliga verksamheter. Jag delar SentinelLabs mening att aktörerna bakom AkiraBot sannolikt kommer fortsätta fila och förfina sina tekniker som tekniker när webbhotell och nätleverantörer stärker försvaret av och säkerheten i Cyberspace.

Jag Har Likväl

noterat, att AkiraBots inkludering i sitt ramverk av CAPTCHA-knäckande mekanismer och tekniker, samt proxy-rotation, verkligen uppvisar en hög ambitionsnivå, stor kunskap och än större beslutsamhet. Det hela är, dock inte mindre kriminellt för den saken skull, utan rejäl bullshit, ren jävla dynga ingen sann medborgare behöver i sina liv. De närmaste åren känns som det måste gjort då jakten på och eliminering av piraterna i Karibien på 1700-talet, eller brittiska flottans jakt på och sänkningar av Nazitysklands dödliga vargflockar under Nordatlantens mörka vatten, var aktuella. Dessa bägge kriminella företag hann ställa till en hel del problem för väldigt många människor, innan rullgardinen äntligen och slutligen drogs ner och avslutade skiten för gott! Därför, Gott Folk, se upp med interaktioner på nätet! Jag bävar inför vad som komma skall, inte för egen skull, men jag tänker på hur simpelt, ett gäng ärkebus skinnade gamlingar i parti och minut. Att ett sådan svinaktig beteende och horribel story, likväl fick ett, kanske svårligen lyckat, åtminstone tillfredställande avslut, i det att en hackare dokumenterade, fulspelet och skickade bevisen till snuten, hör tyvärr inte till vanligheterna. Hadé och krama varandra!         

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Ett ögonblick käre gäst...

Medborgarbloggen har uppdaterat sin privatpolicy i överensstämmelse med EU:s dataskyddsförordning samt för globala medlemmar. I uppdateringen ingår likväl ett klargörande av dina rättigheter och skyldigheter avseende din privata sfär och personinfo. Om du läser igenom bloggens privatpolicy kommer du att vara helt införstådd med vilka cookies vi använder och för vilka ändamål cookisarna samlar in data. Fortsätter du att gästa Medborgarbloggen godtar du den uppdaterade privatpolicyn. Väl mött!

Privatpolicy