Riset: Begitu Mudahnya AI Bobol Skema CAPTCHA

Jakarta, Cyberthreat.id – Fitur CAPTCHA sering dipakai para pemilik situs web sebagai alat verifikasi pengunjung saat belanja online, survei online, atau mendaftar sebuah akun online. Tujuannya, untuk memastikan bahwa pengunjung atau pengguna situs web itu adalah manusia, bukan bot (robot yang diprogram khusus).

Fitur CAPTCHA juga dipakai Badan Pusat Statistik Republik Indonesia pada aplikasi Sensus Penduduk Online 2020. Seperti fungsi yang dikembangkan oleh penemunya, fitur ini sebagai benteng keamanan sebuah aplikasi berbasis web. BPS sendiri menyatakan, CAPTCHA diadopsi sebagai cara menghindari bot yang mengintrusi ke situs web.

• Aplikasi Sensus Penduduk Online Pakai CAPTCHA, Amankah?
• Ada Bug di Aplikasi Sensus Penduduk, BPS: Sudah Ditambal!

CAPTCHA kependekan dari Completely Automated Public Turing test to tell Computers and Humans Apart yang diciptakan oleh empat serangkai dari Carnegie Mellon University pada 2000. Mereka adalah Luis von Ahn, Manuel Blum, Nicholas Hopper, dan John Langford.

CAPTCHA meminta pengguna menyelesaikan teka-teki, membaca teks yang terdistorsi dan mengetik huruf ke dalam kotak sebelum mendaftar akun, memposting komentar blog, membeli produk dan layanan, dan lain-lain.

Karena bot dan program komputer lainnya tidak mampu melakukan tugas-tugas seperti manusia itu, CAPTCHA diyakini membantu mencegah bentuk manipulasi akses online. Namun, apakah CAPTCHA benar-benar aman dari serangan bot?

Pada konferensi Black Hat Asia di Singapura 2016 ditunjukkan bagaimana peretas dapat membobol CAPTCHA. Diperlihatkan pula di acara itu, tingkat keberhasilan cracking pada CAPTCHA lebih dari 70 persen dengan rata-rata waktu berjalan hanya 19,2 detik.

“Meskipun CAPTCHA paling baik digunakan untuk mencegah bot. Ini bukan alat yang efektif untuk mencegah pembuatan akun palsu,” tulis Infosecurity Magazine.

Dua tahun kemudian, sejumlah peneliti gabungan menerbitkan sebuah riset bertajuk Yet Another Text Captcha Solver: A Generative Adversarial Network Based Approach (PDF). Riset ini menyoroti keamanan komputer dan bagaimana bot kecerdasan buatan (artificial intelligence/AI) dapat mengakali sistem CAPTCHA yang diterapkan di sebuah web.

“Kami menunjukkan untuk pertama kalinya musuh dapat dengan cepat meluncurkan serangan pada skema CAPTCHA berbasis teks. Ini menakutkan,” kata Dr. Zheng Wang, dosen senior di Sekolah Komputer dan Komunikasi Universitas Lancaster, Inggris seperti dikutip dari The Week.

Tidak dapat diandalkan

“Itu artinya pertahanan keamanan pertama banyak situs web tidak lagi dapat diandalkan. Berarti CAPTCHA membuka kerentanan keamanan besar yang dapat dieksploitasi dengan serangan dalam banyak hal," tutur Wang, juga salah satu penulis laporan riset tersebut.

Menurut riset itu, peneliti menciptakan alat kecerdasan buatan baru yang dapat membaca skema teks CAPTCHA; menggunakan algoritma yang didasarkan pada metode pembelajaran dalam (deep learning method). “AI tersebut dapat memecahkan CAPTCHA dalam waktu 0,05 detik dengan menggunakan komputer desktop,” kata peneliti. 

Metode tersebut, tulis The Week, melibatkan pengajaran program generator CAPTCHA yang menghasilkan sejumlah besar CAPTCHA pelatihan. Hasil CAPTCHA pelatihan inilah yang sulit dibedakan dengan aslinya.

Dengan menggunakan generator CAPTCHA otomatis yang dipelajari mesin itu, para peneliti, atau berpura-pura sebagai peretas (hacker), dapat secara signifikan mengakali skema fitur tersebut. Program ini diuji pada 33 skema CAPTCHA, 11 di antaranya digunakan oleh banyak situs web paling populer di dunia, termasuk eBay, Wikipedia, dan Microsoft.

Ini memungkinkan musuh untuk meluncurkan serangan pada layanan, seperti serangan Denial of Service (DoS) atau spending spam, atau phishing untuk mencuri data pribadi pengguna," kata Guixin Ye, peneliti juga penulis riset tersebut.

"Mengingat tingkat keberhasilan yang tinggi dari pendekatan kami di sebagian besar skema captcha teks, situs web harus meninggalkan CAPTCHA," Ye menyarankan.

Tahun sebelumnya, pada 2017, Vicarious—perusahaan kecerdasan buatan asal California, AS –mengembangkan suatu algoritma yang meniru bagaimana otak manusia merespons petunjuk visual dari CAPTCHA. Proyek ini didanai oleh pendiri Amazon Jeff Bezos dan CEO Facebook Mark Zuckerberg. Riset tersebut diterbitkan di jurnal Science 2013.

Peneliti Vicarious mengklaim, bahwa temuannya berupa algoritma komputer dapat memilih huruf dan angka yang terdistorsi dari gambar CAPTCHA. Untuk membuat program komputer mengenali gambar, peneliti biasanya menggunakan jaringan saraf, yaitu sistem komputer yang berisi kumpulan unit yang berhubungan yang disebut “neuron buatan”.

“Jaringan saraf inilah yang dilatih untuk memecahkan masalah yang kompleks,” demikian tulis BBC. Jaringan saraf berisi ratusan lapisan, terinspirasi oleh otak manusia, dan setiap lapisan meneliti bagian berbeda dari masalahnya. Akhirnya, jawaban dari semua lapisan digabungkan bersama untuk menghasilkan satu hasil akhir.

Namun, jaringan saraf harus dengan susah payah dilatih menggunakan ribuan gambar yang telah diberi label oleh manusia, yang membuatnya menjadi tugas yang sangat sulit.

Peneliti Vicarious menyebut alat AI itu dengan sebutan “Recursive Cortical Network” (RCN). Peneliti Vicarious mengklaim mampu memecahkan skema teks CAPTCHA pada Google, Yahoo, PayPal dan Captcha.com dengan akurasi 90 persen.

Sejak penemuan itu, desainer CAPTCHA membuat langkah yang lebih sulit dikalahkan, tetapi peneliti dalam kesempatan berikutnya, mengatakan, perangkat lunak sekarang dapat mengakali reCaptcha buatan Google dengan akurasi 66,6 persen.

"Teknologi ini telah ada sejak lama - perlu ada versi yang lebih baik dari Captcha," kata Simon Edwards, ahli keamanan siber Trend Micro Eropa.

"Menurut saya, bentuk otentikasi terbaik adalah dua faktor (2FA). Ini satu-satunya cara nyata untuk mengatasi masalah ini," Edward menambahkan.

unCAPTCHA versus Google

Pada November 2019, The Daily Swig, media online khusus dunia siber, menerbitkan artikel tentang alat yang bisa mengakali reCAPTCHA v2 milik Google.

Tim peneliti Universitas Maryland menemukan alat yang mereka namai “UnCaptcha”. Menurut riset itu (PDF), alat ini merupakan sebuah program komputer berbasis Python yang dapat mengatasi tantangan audio dari reCAPTCHA.

Menggunakan perangkat lunak otomasi browser, UnCaptcha, dapat mengidentifikasi angka yang diucapkan dari versi audio dan memasukkannya kembali secara otomatis ke dalam bidang jawaban.

Segera setelah UnCaptcha dirilis, Google memperbarui celah  yang ada dengan memasukkan frasa yang diucapkan daripada angka.

Namun, kelihatannya mitigasi-mitigasi ini membantu memecahkan tantangan dengan lebih mudah dari sebelumnya. UnCaptcha2–v ersi modifikasi yang dirancang untuk menangani tantangan audio baru berbasis frasa–memiliki tingkat keberhasilan lebih dari 90 persen.

“Meskipun ini membuat desain UnCaptcha kami yang asli menjadi usang, penggunaan frasa sebenarnya jauh lebih sesuai dengan jenis suara yang dirancang untuk ditangani oleh fitur ini, sehingga membuat serangan lebih mudah dilakukan," ujar George Hughey dari Advanced Cybersecurity Honors College University of Maryland.

Menurut Hughey, serangan baru tersebut bekerja dengan baik pada berbagai layanan suara-ke-teks (ironisnya, termasuk yang dikembangkan oleh Google) tanpa pasca-pemrosesan.

Seperti versi aslinya, UnCaptcha2 dimaksudkan sebagai bukti demo konsep, bukan sebagai alat peretasan. "Kami tidak ingin serangan itu digunakan untuk tujuan jahat, itulah sebabnya kami hanya mempublikasikan serangan yang relatif kasar, menggunakan klik layar untuk bernavigasi," kata dia.

Dirilis pada 31 Desember 2019, alat tersebut juga memiliki fitur clicker layar meski belum sempurna untuk meniru interaksi manusia. 

Menurut peneliti, Google menyebutkan bahwa temuan bukan lagi, termasuk program bug bounty, tapi lebih tepatnya sebagai temuan yang memang sengaja ditargetkan.

Namun, bagi Hughey, temuan itu bisa sebagai kelemahan fitur yang bisa berdampak meluas di situs-situs di seluruh dunia.

"Ada sejumlah situs yang menggunakan reCAPTCHA sebagai garis pertahanan utama mereka (dan terkadang satu-satunya) melawan penyerang," kata Hughey.

“Misalnya, beberapa situs menggunakan CAPTCHA untuk mencegah serangan DDoS. Yang lain menggunakan reCAPTCHA untuk mencegah pembuatan akun [otomatis], seperti Reddit."

reCAPTCHA versi 3

Oktober 2019, Google meluncurkan reCAPTCHA versi 3. Versi terbaru dari alat verifikasi itu Google mendukung sistem berbasis skor dengan tahapan yang lebih canggih.

Hughey mengatakan, meski Google mengeluarkan versi terbaru, UnCaptcha2 memang tidak ditujukan untuk mengakali situs yang menggunakan reCAPTCHA v3. Justru, ia mengingatkan, saat ini masih banyak pemilik situs-situs web yang memakai versi sebelumnya.

"ReCAPTCHA v2 masih sangat banyak digunakan di internet, dan telah menjadi inspirasi untuk sistem CAPTCHA serupa lainnya, sementara versi 3 masih relatif dalam masa pengembangan," kata dia.[]

Redaktur: Andi Nugroho