Czy reCaptcha został złamany / zhakowany / OCR / pokonany / uszkodzony? [Zamknięte]

Czy zostały użyte jakieś metody programowania, aby pokonać reCAPTCHA?

Jestem zainteresowany zobaczeniem dowodów i potencjalnie demonstracji, że w szczególności reCAPTCHA stała się przestarzała dzięki całkowicie zautomatyzowanym, bezludzkim metodom.

Aby wyjaśnić, nie szukamy rozwiązań do oszukiwania reCAPTCHA, które w jakikolwiek sposób angażują ludzi, niezależnie od tego, czy są to zespoły zajmujące się wypełnianiem CAPCHA, poszukiwacze porno czy Mechaniczny Turk.

Ja również nie szuka alternatyw dla reCAPTCHA, jak zbieranie rodzaj zwierzęcia, lub pola tła lub oszustwa javascript.

Zauważam, że prawie wszystkie odpowiedzi tutaj odnoszą się w zasadzie do nieskuteczności koncepcji CAPTCHA - i choć bardzo się z nimi zgadzam, to tak naprawdę kilka miesięcy temu wygłosiłem wykład w OWASP wyjaśniając tylko to - pytanie jest bardzo konkretne , więc zapewnię demonstrację.
Ale najpierw powtórzę tę demonstrację na boku, ponownie przeczytam inne komentarze, ponieważ prawdą jest, że CAPTCHA jest bezcelowe i nie jest pomocne, nie ma znaczenia w implementacji ...

Ale tak naprawdę, sprawdź CAPTCHA Killer . Możesz przesłać obraz CAPTCHA, który automatycznie, jeśli nie natychmiast, dostarczy odpowiedź OCR. Zapewnia również API (myślę, że REST, ale może też SOAP). Osobiście wypróbowałem wiele obrazów reCAPTCHA i faktycznie były to jedne z najłatwiejszych (lub przynajmniej najszybszych) zepsutych.

AKTUALIZACJA : Witryna CAPTCHA Killer została usunięta, najwyraźniej pod presją prawną. Zobacz http://captcha.org/, aby uzyskać pełny przegląd tematu.

I tak, OCR nie jest najlepszym sposobem na rozbicie strony chronionej CAPTCHA - jest wiele innych lepszych sposobów.

Możesz być zainteresowany tym szczegółowym raportem o tym, jak 4chan pokonał reCAPTCHA i wykorzystał go do manipulowania wynikami corocznej ankiety Time.com TIME 100 .

Hacking Recaptcha (inaczej „The Penis Flood”)

Następną zastosowaną taktyką było sprawdzenie, czy uda im się znaleźć lukę w implementacji reCAPTCHA. Jedną z rzeczy, które odkryli na temat reCAPTCHA, było to, że zawsze przedstawia użytkownikowi dwa słowa do dekodowania - jedno słowo jest słowem kontrolnym znanym z systemu reCAPTCHA, a drugie jest nieznane (reCAPTCHA wykorzystuje ludzi do pomocy w poprawianiu błędów OCR). Wikipedia tak opisuje ten proces: „Zeskanowany tekst jest poddawany analizie przez dwa różne programy do optycznego rozpoznawania znaków; w przypadkach, gdy programy nie zgadzają się, wątpliwe słowo jest konwertowane na CAPTCHA. Słowo jest wyświetlane wraz ze słowem kontrolnym już znanym i jest oznaczone przez człowieka. Te słowa, które są konsekwentnie oznaczane jedną etykietą przez ludzkich sędziów, są przetwarzane jako słowa kontrolne ”. 2iasdo4 Anonymous zdał sobie sprawę, że gdyby zawsze oznaczali nieznany zeskanowany tekst tym samym słowem - a jeśli robili to tysiące i tysiące razy, w końcu duży procent nieznanych słów byłby oznaczony błędnie. Wszystko, co musieli zrobić, to spojrzeć na dwa słowa w captcha, wpisać odpowiednią etykietę dla tego „łatwego” (prawdopodobnie byłaby to ta, na którą zgodzą się oba skanery optyczne) i wpisać słowo „penis” dla ciężki przypadek. Gdyby robili to wystarczająco często, to wkrótce znaczny procent obrazów zostałby oznaczony jako `` penis '' i przywrócono by zdolność do autowotowania (jednym efektem ubocznym, który nie został utracony na Anonymous, był pogląd, że przez wiele lat byłoby wiele książek cyfrowych ze słowem „penis” losowo wstawionym w całym tekście. Aktualizacja: zapytałem Bena Maurera,

Optymalizacja reCAPTCHA

Równie pociągający jak pomysł pokropienia słowa `` penis '' w tekstach, zespół Anonymous wiedział, że zegar tyka i jeśli mieli zamiar przywrócić Przesłanie, nie mieli czasu czekać, aż autowotery wrócą do sieci - będą musieli głosować ręcznie, wiele, wiele razy. Musieli więc być w stanie wejść do captcha tak szybko, jak tylko mogli. Opracowali zestaw wskazówek, które pozwoliły im szybko zdecydować, które słowa reCAPTCHA mogą pominąć. Na przykład:

Otrzymasz 2 słowa: 1 prawdziwe, 1 fałszywe.

W przypadku [REAL FAKE]lub [FAKE REAL]możesz po prostu wpisać REALi powinno zostać zaakceptowane.

Jeśli to [LOOKSREAL LOOKSREAL]czy [LOOKSFAKE LOOKSFAKE]jest to zwykle po prostu szybciej Wystarczy wpisać w obu słów. Nie trać cennego czasu na zastanawianie się, który z nich jest prawdziwy.

Użyj zarówno wyglądu, jak i typu słowa, aby zidentyfikować fałszywe słowo. Nie polegaj tylko na jednym z nich.

Cały zestaw reguł jest tutaj: fałszywa captcha .

Słabość systemów CAPTCHA polega na tym, że ludzie w Chinach tworzą pokoje pełne ludzi, których jedynym zadaniem jest spojrzenie na obraz CAPTCHA i wpisanie wyniku, który podłącza się do zautomatyzowanego systemu, który faktycznie wykonuje spam.

Tak naprawdę niewiele możesz z tym zrobić.

Jest to również znacznie tańsze niż próba rozpoznania obrazu, OCR itp. Na rzeczywistym obrazie (w drugą stronę możesz otrzymać odpowiedź za mniej niż 0,01 USD).

Zanim poddasz się presji związanej z używaniem captcha, rozważ kreatywne obejścia, takie jak umieszczenie pola z etykietą „Twoje komentarze”, które jest ukryte przez CSS. Jeśli pole jest wpisane, żądanie jest odrzucane przez serwer. Większość botów da się na to nabrać, nawet jeśli nadal nie ma dobrego sposobu na pokonanie pokoju pełnego niedostatecznie opłacanych pracowników, w czym i tak captcha nie pomaga.

AKTUALIZACJA : Wystarczy przeczytać studium przypadku, w którym usunięcie CAPTCHA zwiększyło współczynniki konwersji o prawie 10%. To by mi wskazywało, że jest raczej zepsuty, jeśli tracisz 10% potencjalnych klientów tylko po to, aby odfiltrować boty. Wyobraź sobie, co 10% oznacza dla większości firm.

Moja ulubiona captcha pochodzi od firmy Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (rozpoznawanie obrazów gatunków zwierząt w celu ograniczenia dostępu) to HIP, który działa, prosząc użytkowników o identyfikację zdjęć kotów i psów. To zadanie jest trudne dla komputerów, ale nasze badania użytkowników wykazały, że ludzie mogą je wykonać szybko i dokładnie. Wielu nawet myśli, że to zabawne!

Jest to usługa bezpłatna i mają przykładowy kod, dzięki któremu możesz zacząć.

Zastanawiam się, ile czasu minie, zanim pęknie.

reCAPTACHA nie jest zepsuta i to nie potrwa długo. Chodzi o to, że jeśli zaimplementujesz własną captcha, jeśli jest zepsuta, prawdopodobnie naprawienie tego zajmie dużo czasu.

To pochodzi ze strony o zabezpieczeniach reCAPTCHA :

reCAPTCHA to usługa internetowa. Oznacza to, że wszystkie obrazy są generowane i oceniane przez nasze serwery. (…) Zapewnia to również dodatkowy poziom ochrony: nasze CAPTCHA mogą być automatycznie aktualizowane po wykryciu luki w zabezpieczeniach.

Na przykład, jeśli ktoś napisze program, który może odczytać nasze zniekształcone obrazy, możemy dodać więcej zniekształceń w bardzo krótkim czasie i bez konieczności zmiany czegokolwiek po swojej stronie przez webmasterów.

Uważam, że ponieważ specjalizują się w captcha, mają zapisane ulepszone wersje, gotowe do wdrożenia w krótkim czasie, jeśli zajdzie taka potrzeba. (Dlaczego mieliby tworzyć silniejsze zabezpieczenia, skoro słabszy jeszcze się nie zepsuł?)

Nie tylko został pokonany, ale także z powodzeniem zbudowano na nim przydatną aplikację , która stała się najbardziej niesamowitym narzędziem do pokonywania wszelkiego rodzaju zabezpieczeń bezpłatnych kont z dużej listy witryn do bezpośredniego pobierania (nie tylko megaupload i rapidshare ).

Jdownloader jest open source i napisany w Javie, więc zerknięcie na kod źródłowy może odpowiedzieć nie tylko na to, czy jest uszkodzony, ale także w jaki sposób .

Edycja : Większość witryn do bezpośredniego pobierania nie używa reCaptcha, ale prostszą metodę Captcha (3 duże litery w różnych kolorach). Niemniej jednak Jdownloader i Cryptload (program podobny do Jdownloadera) to jedyne działające implementacje, o których wiem, że skutecznie złamały metodę Captcha. Nie słyszałem o żadnej implementacji do złamania reCaptcha.

Aktualizacja : Wygląda na to, że co najmniej jedna implementacja reCaptcha (a nie cała reCaptcha) również została złamana .

Aktualizacja grudzień 2010 : Wydaje się, że Jdownloader w końcu pokonuje reCaptcha . Wtyczka jest nadal eksperymentalna i działa tylko w wersjach Jdownloadera dla systemu Windows, ale, jak powiedział mi kolega, który ją wypróbował, działa.

W zeszłym roku na Defcon odbyło się przemówienie, które dotyczyło ogólnych problemów z CAPTCHA. Jedną z rzeczy, które zrobili, było użycie wielu bezpłatnych silników OCR i skłonienie ich do głosowania na najlepsze słowa. Robiąc to, byli w stanie osiągnąć dość przyzwoitą szansę na sukces. W przypadku jednego rodzaju było to około 40%, chociaż nie sądzę, by to była reCaptcha.

• „W rzeczywistości, to [reCAPTCHA] stał się bezużyteczny na 4 stycznia [2011] kiedy spamerzy najwyraźniej dostali zbiorowe ręce na kawałku oprogramowania, które omija reCAPTCHA i pozwala na w pełni zautomatyzowanym procesie rejestracji. Boty zostały zajęte, bardzo zajęty rzeczywiście od „ [1]

2-3 lata temu podejście captcha oparte na wpisywaniu tekstu przekroczyło granicę, gdy przegrali bitwę, tj. Dalsze komplikacje sprawiają, że są one stosunkowo (ponieważ zwiększa się moc komputera, podczas gdy ludzie nie) są łatwiejsze dla maszyn i bardziej odrażające i odpychające, jeśli nie. całkowicie niemożliwe dla ludzi. Jest to sprzeczne z oryginalnym paradygmatem CAPTCHA jako testem zapewniającym, że odpowiedź nie jest generowana przez komputer

Aktualizacja: pamiętaj,
że reCAPTCHA jest własnością Google Inc., ale Google Inc. nie używa go we własnych usługach.
Oto link do strony internetowej z captcha używanej przez samo Google / wewnętrznie np. Do rejestracji w Gmailu:

Pamiętaj, że reCAPTCHA Google zawsze zawiera 2 słowa.
Oto link do obrazu z reCAPTCHA Google oferowanym do wykorzystania przez innych .

I zrzut ekranu reCAPTCHA:

Zostawiam czytelnikowi oczywiste wnioski.

Cytowane: [1]
fora vBulletin dotknięte przez reCAPTCHA cracking spam bot | Blog PC Pro
Wysłany 12 stycznia 2011 przez Davey Winder

Widzę komentarze na blogu w systemie chronionym przez reCAPTCHA, gdzie strona ładuje się i 1 sekundę później post został pomyślnie utworzony. Agent użytkownika był nonsensem (w tym konkretnym przypadku twierdził, że działa w systemie Ubuntu 9.25 / Firefox 3.8), strona odsyłająca pochodzi z zupełnie niepowiązanej witryny bez linku do nas.

Jest to wyraźnie zautomatyzowane.

reCAPTCHA nie został pokonany. Gdyby tak było, dlaczego Google po prostu go kupił i ogłosił, że będzie stosować technologię Google w celu zwiększenia ochrony przed oszustwami i spamem w produktach Google?

od Google nabywa reCAPTCHA opublikowane na blogu Google 16.09.2009:

W ten sposób wyjątkowa technologia reCAPTCHA usprawnia proces konwersji zeskanowanych obrazów na zwykły tekst, znany jako optyczne rozpoznawanie znaków (OCR). Technologia ta obsługuje również projekty skanowania tekstu na dużą skalę, takie jak Google Books i Google News Archive Search. Posiadanie wersji tekstowej dokumentów jest ważne, ponieważ zwykły tekst można przeszukiwać, łatwo renderować na urządzeniach mobilnych i wyświetlać użytkownikom niedowidzącym. Dlatego będziemy stosować technologię Google nie tylko w celu zwiększenia ochrony przed oszustwami i spamem w produktach Google, ale także w celu ulepszenia naszego procesu skanowania książek i gazet.

Najłatwiejszym sposobem na pokonanie Captchas jest Amazon Mechanical Turk. Jest facet o imieniu Kermit Welda, który płaci każdemu po 5 centów za rejestrowanie kont Hotmail, AOL i Gmail. To 6000 fałszywych kont e-mail po 5 centów = 300 dolarów dziennie. Koszt prowadzenia działalności gospodarczej jest dość niski, gdy inni ludzie wykonują za Ciebie brudną robotę. Nic dziwnego, że filtry antyspamowe naszego serwera chcą odrzucać cokolwiek z usługi Hotmail.

AFAIK W praktyce nie ma narzędzia do złamania implementacji RE-captcha, ale zakładam, że ostatecznie ktoś je dostanie.

To dość zabawne, jeśli komuś się to uda, to cały projekt RE-captcha jest bezcelowy, ponieważ re-captcha zaprojektował digitalizację książek, których nie można zrobić w sposób zautomatyzowany.

BTW:

Słabość systemów CAPTCHA polega na tym, że ludzie w Chinach tworzą pokoje pełne ludzi, których jedynym zadaniem jest spojrzenie na obraz CAPTCHA i wpisanie wyniku, który podłącza się do zautomatyzowanego systemu, który faktycznie wykonuje spam.

Nie możesz zabezpieczyć systemu myślącego w ten sposób, to tak, jakby powiedzieć "twoja aplikacja internetowa nie jest wystarczająco bezpieczna, jeśli twojego hosta nie ma w starym wojskowym bunkrze, ponieważ teraz ludzie mogą ukraść twoją maszynę".

Istnieje wiele metod, które są używane do bzdurnej recaptchy. Chociaż trudno jest używać programów obsługujących sieć neuronową do automatycznego rozwiązywania problemów, możliwe jest pobranie obrazu i skorzystanie z mechanicznego turka amazona lub innego równoważnego programu do ich rozwiązania.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/