Czy reCaptcha została złamana / zhakowana / OCR ' d / pokonana / złamana? [zamknięte]

Możesz być zainteresowany

Tym szczegółowym raportem o tym, jak 4chan pokonał reCAPTCHA i użył go do manipulowania Time.com 100 wyników ankiety [[7]}.

Hacking Recaptcha (aka 'The Penis Flood')

Następną taktyką było sprawdzenie, czy uda im się znaleźć wadę w implementacji reCAPTCHA. Jedną z rzeczy, które odkryli na temat reCAPTCHA, było to, że zawsze przedstawia dwa słowa użytkownikowi do dekodowania - jedno słowo jest słowem kontrolnym znanym przez system reCAPTCHA, podczas gdy drugi jest nieznanym słowem (reCAPTCHA używa ludzi, aby poprawić błędy OCR). Wikipedia opisuje proces: "zeskanowany tekst jest poddawany analizie przez dwa różne programy do optycznego rozpoznawania znaków; w przypadkach, gdy programy się nie zgadzają, wątpliwe słowo jest konwertowane na CAPTCHA. Słowo jest wyświetlane wraz ze znanym już słowem kontrolnym i jest oznaczane przez człowieka. Te słowa, które są konsekwentnie nadawane jednej etykiecie przez sędziów ludzkich, są poddawane recyklingowi jako kontrola słowa". 2iasdo4 Anonymous zdawali sobie sprawę, że gdyby zawsze oznaczali nieznany zeskanowany tekst tym samym słowem - a gdyby robili to tysiące i tysiące razy, w końcu duży procent nieznanych słów byłby błędnie oznaczony ich słowem. Wszystko, co musieli zrobić, to spojrzeć na dwa słowa w captcha, wprowadzić właściwą etykietę dla " łatwy "jeden (prawdopodobnie, że byłoby to jeden, że dwa Skanery optyczne zgodziłyby się na) i wprowadzić słowo "penis" dla twardego jeden. Jeśli oni czy to wystarczająco często, a następnie wkrótce znaczny procent obrazów będzie oznaczony jako "penis" i zdolność do autovote zostanie przywrócony (jeden efekt uboczny, który nie został utracony na Anonymous, było przekonanie, że przez lata nie będzie wiele książek cyfrowych ze słowem "penis" losowo wstawione w całym tekście. Aktualizacja: zapytałem Ben Maurer, główny inżynier reCAPTCHA o ten atak "penis flood", Ben mówi, że przewidzieli ten rodzaj ataku i mają liczne zabezpieczenia, które zapobiegną penetracji penisa przez barierę reCAPTCHA.

Optymalizacja reCAPTCHA

Tak pociągający jak pomysł posypania słowa "penis" w tekstach, anonimowy zespół wiedział, że zegar tyka, a jeśli mieli przywrócić wiadomość, nie mieli czasu czekać, aż autovoterzy wrócą online - będą musieli głosować ręcznie, wiele, wiele razy. I tak musieli być w stanie wejść captcha tak szybko jak mogliby. Opracowali zestaw wytycznych, które pozwoliły im szybko zdecydować, które słowa reCAPTCHA mogą pominąć. Na przykład:

Otrzymasz 2 słowa: 1 prawdziwy, 1 fałszywy.

Dla [REAL FAKE] LUB [FAKE REAL], możesz po prostu wpisać REAL i powinno być przyjęte.

Jeśli jest to [LOOKSREAL LOOKSREAL] lub [LOOKSFAKE LOOKSFAKE], zwykle szybciej jest wpisać oba słowa. Nie trać cennego czasu decydując, który z nich jest prawdziwy.

Użyj zarówno wyglądu i rodzaj słowa do identyfikacji fałszywego słowo. Nie polegaj tylko na jednym z nich.

Cały zestaw reguł jest tutaj: fake captcha .

Słabością systemów CAPTCHA jest to, że ludzie tworzą pokoje pełne ludzi w Chinach, których jedynym zadaniem jest spojrzeć na obraz CAPTCHA i wpisać wynik, który podłącza się do zautomatyzowanego systemu, który faktycznie robi spam.

Niewiele można z tym zrobić.

Jest to również znacznie tańsze niż próba wykonania rozpoznawania obrazu, OCR itp. Na rzeczywistym obrazie(możesz uzyskać odpowiedź za mniej niż $0.01 w inny sposób).

Przed poddaniem się presji korzystania z captcha, rozważ twórcze obejścia, takie jak posiadanie pola oznaczonego jako "Twoje komentarze", które jest ukryte przez CSS. Jeśli pole jest wprowadzone, żądanie jest odrzucane przez serwer. Większość botów da się na to nabrać, nawet jeśli nadal nie ma dobrego sposobu na pokonanie pokoju pełnego słabo opłacanych robotników, z czym captcha i tak nie pomaga.

Aktualizacja : po prostu przeczytaj studium przypadku gdzie usunięcie CAPTCHA zwiększyło współczynniki konwersji o prawie 10%. To wskazywałoby mi, że jest raczej zepsute, jeśli tracisz 10% swoich potencjalnych klientów, aby odfiltrować boty. Wyobraź sobie, co 10% oznacza dla większości firm.

Mój ulubiony captcha jest od Microsoftu: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Obraz Gatunków Zwierząt Uznanie za ograniczenie dostępu) jest HIP, który działa, prosząc użytkowników o zidentyfikowanie zdjęć kotów i psy. To zadanie jest trudne dla komputerów, ale nasz użytkownik bada pokazały, że ludzie mogą to osiągnąć szybko i dokładnie. Wielu nawet myśli, że to zabawne!

Jest to usługa bezpłatna i mają przykładowy kod na początek.

Zastanawiam się, ile czasu minie zanim pęknie.

ReCAPTACHA nie jest złamana i nie będzie przez bardzo długi czas. Chodzi o to, że jeśli zaimplementujesz własną captcha, jeśli jest zepsuta, naprawa prawdopodobnie zajmie dużo czasu.

To pochodzi ze strony o zabezpieczeniach reCAPTCHA :

ReCAPTCHA to serwis internetowy. To znaczy że wszystkie obrazy są generowane i ocenione przez nasze serwery. (...) to także zapewnia dodatkowy poziom ochrony: nasze CAPTCHAs mogą być automatycznie aktualizacja za każdym razem, gdy zabezpieczenie wykryto lukę.

przykładowo, jeśli ktoś napisze program, który potrafi odczytać nasze zniekształcone obrazów, możemy dodać więcej zniekształceń w bardzo mało czasu, i bez www mistrzowie muszą coś zmienić na ich strony.

Uważam, że ponieważ specjalizują się w captchach, mają zapisane ulepszone wersje, gotowe do wdrożenia w krótkim czasie, jeśli zajdzie taka potrzeba. (Dlaczego mają tworzyć silniejsze zabezpieczenia, gdy słabsze nie są jeszcze zepsute?)

Nie tylko został pokonany, ale także przydatna aplikacja została z powodzeniem zbudowana na nim, aby stać się najbardziej niesamowitym narzędziem do pokonania wszelkiego rodzaju zabezpieczeń darmowych kont dużej listy bezpośrednich stron pobierania (nie tylko megaupload i rapidshare).

Jdownloader jest open source i napisany w Javie, więc zerknięcie na kod źródłowy może odpowiedzieć nie tylko jeśli jest uszkodzony, ale także Jak.

Edit : Większość bezpośrednich strony pobierania nie używają reCaptcha, ale prostszej metody Captcha (3 duże litery kolorowe w różnych kolorach). Niemniej jednak Jdownloader i Cryptload (program podobny do JDownloadera) są jedynymi działającymi implementacjami, które skutecznie złamały metodę Captcha. Nie słyszałem o żadnej implementacji do złamania reCaptcha.

Update: wygląda na to, że co najmniej jedna implementacja reCaptcha (nie cała sama reCaptcha) została złamana too .

Aktualizacja Grudzień 2010: Jdownloader wydaje się w końcu pokonać reCaptcha. Plugin jest nadal eksperymentalny i działa tylko na wersjach JDownloader dla systemu Windows, ale, jak powiedziano mi przez kolegę, który go wypróbował, działa.

W zeszłym roku na Defcon odbyło się przemówienie, w którym omówiono problemy z CAPTCHAs. Jedną z rzeczy, które zrobili, jest użycie wielu darmowych silników OCR i kazali głosować na najlepsze słowa. Dzięki temu udało im się osiągnąć całkiem przyzwoitą szansę na sukces. Dla jednego rodzaju, to było 40% lub tak, nie sądzę, że to reCaptcha, chociaż.

• "w rzeczywistości [reCAPTCHA] stało się całkiem bezużyteczne w dniu 4 stycznia [2011] , Kiedy spamerzy najwyraźniej dostali w swoje zbiorowe ręce oprogramowanie, które omija reCAPTCHA i pozwala na w pełni zautomatyzowany proces rejestracji. Boty były zajęte, bardzo zajęte, od tamtej pory" [ 1 ]

2-3 lata temu podejście captchas oparte na pisaniu tekstu przekroczyło linię, gdy przegrali bitwę, tzn. dalsze komplikacje sprawiają, że relatywnie (ponieważ moc komputera wzrasta, podczas gdy człowiek nie) jest łatwiejsza dla maszyn i bardziej odrażająca i odpychająca, jeśli nie całkowicie niemożliwa, dla ludzi. Jest to test mający na celu upewnienie się, że odpowiedź nie jest generowana przez komputer

Update:
Należy pamiętać, że reCAPTCHA jest własnością Google Inc. ale Google Inc. nie korzysta z niego przez własne usługi.
Oto link strona z captcha używana przez samego Google / wewnętrznie dla ex., do rejestracji w Gmailu:

Zauważ, że Google reCAPTCHA zawsze ma 2 słowa.
Oto link do obrazu z Google reCAPTCHA oferowanego do wykorzystania przez innych.

I zrzut ekranu reCAPTCHA:

Cytowany: [ 1 ]
forum vBulletin hit by reCAPTCHA cracking spam bot / PC Pro blog
Posted on styczeń 12th, 2011 by Davey Winder

Widzę komentarze na blogu o systemie chronionym przez reCAPTCHA, w którym ładuje się strona, A 1 sekunda później post został pomyślnie wykonany. User-Agent był nonsensem (w tym konkretnym przypadku twierdził, że działa Ubuntu 9.25 / Firefox 3.8), referrer był z zupełnie niezwiązanej strony bez linku do nas.

To jest wyraźnie zautomatyzowane.

ReCAPTCHA nie została pokonana. Jeśli tak było, to dlaczego Google po prostu go kupił i ogłosił, że zastosuje technologię w Google, aby zwiększyć ochronę przed oszustwami i spamem dla produktów Google?

W ten sposób unikalna technologia reCAPTCHA usprawnia proces konwersji zeskanowanych obrazów na zwykły tekst, znany jako optyczne rozpoznawanie znaków (OCR). Ta technologia również obsługuje projekty skanowania tekstu na dużą skalę, takie jak Google Books i Google News Archive Search. Posiadanie wersji tekstowej dokumentów jest ważne, ponieważ zwykły tekst można przeszukiwać, łatwo renderować na urządzeniach mobilnych i wyświetlać użytkownikom niedowidzącym. Będziemy więc stosować tę technologię w Google nie tylko w celu zwiększenia ochrony przed oszustwami i spamem produktów Google, ale także w celu usprawnienia procesu skanowania książek i gazet.

Najprostszym sposobem na pokonanie Captchasa jest Amazon Mechanical Turk. Jest facet o imieniu Kermit Welda, który płaci ludziom po 5 centów za rejestrację kont Hotmail, AOL i Gmail. To 6000 fałszywych kont e-mail po 5 centów = 300 dolarów dziennie. Koszt prowadzenia biznesu jest dość tani, gdy inni ludzie robią za Ciebie brudną robotę. Nic dziwnego, że filtry antyspamowe naszego serwera chcą odrzucić cokolwiek z Hotmail.

AFAIK w praktyce nie ma narzędzia do złamania RE-captcha implementacji, jednak w końcu zakładam, że ktoś go dostanie.

Dość zabawne, jeśli komuś się uda to cały projekt RE-captcha jest bezcelowy, ponieważ re-captcha zaprojektował digitalizację książek, której nie da się zrobić w sposób zautomatyzowany.

BTW:

Słabością systemów CAPTCHA jest że ludzie urządzają pokoje pełne ludzie w Chinach, których jedyną pracą jest jest spojrzenie na obrazek CAPTCHA i Typ w rezultacie, który podłącza się do zautomatyzowany system, który faktycznie robi spamowanie.

Nie możesz zabezpieczyć systemu myśląc w ten sposób, to jak powiedzenie "Twoja aplikacja internetowa nie jest wystarczająco bezpieczna, jeśli twój host Nie znajduje się w starym bunkrze wojskowym, ponieważ teraz ludzie mogą ukraść twoją maszynę".

Istnieje wiele metod, które są używane do bzdur recaptcha. Podczas gdy jego trudne w użyciu neural netwpork włączone programy do automatycznego ich rozwiązywania, możliwe jest przechwycenie obrazu i Amazon mechaniczny turk lub jakiś równoważny program do ich rozwiązania.

Http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/