ReCaptcha был взломан / взломан / OCR'd / победил / сломан? [закрыто]

Были ли использованы какие-либо методы программирования для победы над reCAPTCHA?

Я заинтересован в том, чтобы увидеть свидетельства и потенциальные демонстрации того, что reCAPTCHA, в частности, устарела с помощью полностью автоматизированных, безгражданских методов.

Для того, чтобы уточнить, не ищет рекапчи-обман решения , которые включают людей в любом случае, будь то задача команды с заполнением из CAPCHAs, порно убежища или Mechanical Turk.

Я также не ищу альтернатив reCAPTCHA, таких как выбор типа животного, фоновых полей или хитрости javascript.

Я замечаю, что почти все ответы здесь относятся к неэффективности концепции CAPTCHA, в принципе - и хотя я с ними очень согласен, на самом деле несколько месяцев назад выступил в OWASP с объяснением, объясняя только это - вопрос очень специфический так что обеспечу демонстрацию.
Но сначала я повторю эту демонстрацию в стороне, перечитайте другие комментарии, поскольку это правда, что CAPTCHA бессмысленна и не полезна, не имеет отношения к реализации ....

Но на самом деле, проверьте CAPTCHA Killer . Вы можете загрузить изображение CAPTCHA, и оно автоматически, если не сразу, предоставит ответ OCR. Это также обеспечивает API (REST, я думаю, но, возможно, также SOAP). Я лично пробовал множество изображений reCAPTCHA, и это были действительно самые простые (или, по крайней мере, самые быстрые) сломанные.

ОБНОВЛЕНИЕ : веб-сайт CAPTCHA Killer теперь закрыт, по-видимому, под юридическим давлением. Смотрите http://captcha.org/ для полного обзора темы.

И да, OCR - не лучший способ взломать защищенный сайт CAPTCHA - есть много других лучших способов.

Возможно, вас заинтересует этот подробный отчет о том, как 4chan победил reCAPTCHA и использовал его для манипулирования ежегодными результатами Time.com 100 Poll .

Взлом Recaptcha (он же «Поток пениса»)

Следующая используемая тактика состояла в том, чтобы увидеть, могут ли они найти изъян в реализации reCAPTCHA. Одна вещь, которую они обнаружили в reCAPTCHA, заключалась в том, что он всегда представляет пользователю два слова для декодирования: одно слово - это контрольное слово, известное системе reCAPTCHA, а другое - неизвестное слово (reCAPTCHA использует людей для исправления ошибок распознавания). Википедия описывает процесс: «Отсканированный текст подвергается анализу с помощью двух разных программ оптического распознавания символов; в случае несогласия программ сомнительное слово преобразуется в капчу. Слово отображается вместе с уже известным контрольным словом и помечено человеком. Те слова, которым последовательно присваивается единый ярлык судьями-людьми, превращаются в контрольные слова ». 2iasdo4 Аноним осознал, что если они всегда маркируют неизвестный отсканированный текст одним и тем же словом - и если они делают это тысячи и тысячи раз, в конечном итоге большой процент неизвестных слов будет помечен их словом. Все, что им нужно было сделать, это взглянуть на два слова в капче, ввести правильную метку для «легкого» (предположительно это будет тот, с которым согласятся два оптических сканера) и ввести слово «пенис» для тяжелый Если бы они делали это достаточно часто, то вскоре значительный процент изображений был бы помечен как «пенис», и способность к автоматическому голосованию была бы восстановлена ​​(одним побочным эффектом, который не был утерян на Anonymous, было представление о том, что на долгие годы было бы несколько цифровых книг со словом «пенис», случайно вставленных по всему тексту. Обновление: я спросил Бена Маурера,

Оптимизация reCAPTCHA

Так же, как и идея разбивать слово «пенис» на тексты, команда Anonymous знала, что часы тикают, и если они собираются восстановить сообщение, у них не будет времени ждать, когда автопоставщики вернутся в сеть - они собирались голосовать вручную, много-много раз. И поэтому им нужно было вводить капчи так быстро, как только могли. Они разработали ряд рекомендаций, которые позволили им быстро решить, какие слова reCAPTCHA они могут пропустить. Например:

Вам дадут 2 слова: 1 реальное, 1 фальшивое.

Для [REAL FAKE]или [FAKE REAL], вы можете просто ввести, REALи это должно быть принято.

Если это [LOOKSREAL LOOKSREAL]или [LOOKSFAKE LOOKSFAKE], обычно просто быстрее набрать оба слова. Не тратьте драгоценное время, решая, какой из них настоящий.

Используйте как внешний вид, так и тип слова для определения поддельного слова. Не полагайтесь только на один из них.

Весь набор правил здесь: поддельная капча .

Слабость систем CAPTCHA заключается в том, что люди создают комнаты, заполненные людьми в Китае, единственной задачей которых является просмотр изображения CAPTCHA и ввод результата, который подключается к автоматизированной системе, которая фактически выполняет рассылку спама.

Не так много, что вы можете сделать с этим на самом деле.

Это также намного дешевле, чем попытка распознавания изображения, распознавания текста и т. Д. На реальном изображении (в противном случае вы можете получить ответ менее чем за 0,01 доллара США).

Прежде чем поддаваться давлению использования капчи, рассмотрите творческие обходные пути, такие как наличие поля с пометкой «Ваши комментарии», которое скрыто CSS. Если поле введено, запрос отбрасывается сервером. Большинство ботов попадутся на это, даже если все еще нет хорошего способа победить комнату, полную неоплачиваемых рабочих, с которой капча не помогает в любом случае.

ОБНОВЛЕНИЕ : просто прочитайте пример, в котором удаление CAPTCHA увеличило коэффициент конверсии почти на 10%. Это бы указывало на то, что он довольно сломан, если вы теряете 10% своих лидов только для того, чтобы отфильтровать ботов. Представьте себе, что 10% означает для большинства предприятий.

Моя любимая капча от Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Распознавание изображений видов животных для ограничения доступа) - это HIP, который работает, предлагая пользователям идентифицировать фотографии кошек и собак. Эта задача трудна для компьютеров, но наши исследования показали, что люди могут выполнить ее быстро и точно. Многие даже думают, что это весело!

Это бесплатный сервис, и у них есть пример кода, чтобы вы начали.

Интересно, сколько времени пройдет, пока он не взломан.

ReCAPTACHA не сломан и не будет в течение очень долгого времени. Дело в том, что если вы внедрите свою собственную капчу, если она сломана, вероятно, потребуется много времени, чтобы исправить это.

Это взято со страницы о безопасности reCAPTCHA :

reCAPTCHA - это веб-сервис. Это означает, что все изображения создаются и оцениваются нашими серверами. (…) Это также обеспечивает дополнительный уровень защиты: наши CAPTCHA могут автоматически обновляться при обнаружении уязвимости безопасности.

Например, если кто-то пишет программу, которая может читать наши искаженные изображения, мы можем добавить больше искажений за очень короткое время, и веб-мастерам не придется ничего менять на их стороне.

Я считаю, что, поскольку они специализируются на капчах, у них есть улучшенные сохраненные версии, готовые к развертыванию за короткое время, если это необходимо. (Почему они должны создавать более сильную безопасность, когда слабый еще не сломлен?)

Он не только побежден, но и над ним успешно создано полезное приложение , которое станет самым удивительным инструментом для защиты от всех видов защиты от бесплатных аккаунтов большого списка сайтов прямой загрузки (не только megaupload и rapidshare). ).

Jdownloader является открытым исходным кодом и написан на Java, поэтому взгляд на исходный код может ответить не только, если он сломан, но и как .

Изменить : Большинство сайтов прямой загрузки не используют reCaptcha, но более простой метод Captcha (3 заглавные буквы окрашены в разные цвета). Тем не менее, Jdownloader и Cryptload (программа, похожая на Jdownloader) являются единственными известными мне работающими реализациями, которые эффективно нарушили метод Captcha. Я не слышал ни о какой реализации взломать reCaptcha.

Обновление : Кажется, что по крайней мере одна реализация reCaptcha (не вся reCaptcha сама) была взломана тоже .

Обновление от декабря 2010 : Jdownloader, похоже, наконец-то побеждает reCaptcha . Плагин все еще является экспериментальным и работает только на версиях Jdownloader для Windows, но, как мне сказал товарищ, который попробовал его, он работает.

В прошлом году на Defcon была речь, в которой обсуждались проблемы с CAPTCHA в целом. Одна из вещей, которые они сделали, - это использование нескольких бесплатных механизмов распознавания текста, чтобы они голосовали за лучшие слова. Делая это, они смогли добиться несколько приличных шансов на успех. Для одного вида это было около 40%, но я не думаю, что это была reCaptcha.

• «На самом деле, это [рекапчи] стало бесполезно на 4 января [2011] , когда спамеры , видимо , получили свои коллективные руки на куске программного обеспечения , что позволяет обойти рекапчи и позволяют полностью автоматизированный процесс регистрации. Боты был занят, очень занят , на самом деле с тех пор " [1]

2-3 года назад подход, основанный на типизированном тексте с использованием капч, нарушил черту, когда они проиграли битву, то есть дальнейшие осложнения лишь делают их относительно (так как компьютерная мощь растет, а человек нет) более легкими для машин и более отвратительными и отталкивающими, если нет совершенно невозможно для людей. Это противоречит исходной парадигме CAPTCHA в качестве теста, чтобы гарантировать, что ответ не генерируется компьютером

Обновление.
Обратите внимание, что reCAPTCHA принадлежит Google Inc., но Google Inc. не использует его в своих собственных службах.
Вот ссылка на веб-страницу с капчей, используемой самим Google / для внутренних целей, например, для регистрации в Gmail:

Обратите внимание, что в Google reCAPTCHA всегда есть 2 слова.
Вот ссылка на изображение с reCAPTCHA от Google, предложенное для использования другими .

И скриншот reCAPTCHA:

Я оставляю очевидные выводы для читателя.

Цитируется: [1]
Форумы vBulletin пострадали от взломанного спама-робота reCAPTCHA | Блог
о PC Pro Опубликовано 12 января 2011 г. автором Davey Winder

Я вижу комментарии блога в системе, защищенной reCAPTCHA, где страница загружается, и через 1 секунду сообщение было успешно сделано. User-Agent был ерундой (в данном конкретном случае он утверждал, что работает под управлением Ubuntu 9.25 / Firefox 3.8), реферер был с совершенно несвязанного сайта без ссылки на нас.

Это явно автоматизировано.

reCAPTCHA не был побежден. Если это так, то почему Google просто купила его и объявила, что будет применять технологию в Google для повышения защиты от мошенничества и спама для продуктов Google?

от Google Приобретает reCAPTCHA, опубликованную в блоге Google 16.09.09:

Таким образом, уникальная технология reCAPTCHA улучшает процесс преобразования сканированных изображений в простой текст, известный как оптическое распознавание символов (OCR). Эта технология также поддерживает масштабные проекты сканирования текста, такие как Google Книги и Поиск по архиву новостей Google. Наличие текстовой версии документов важно, потому что простой текст можно искать, легко отображать на мобильных устройствах и отображать для слабовидящих пользователей. Таким образом, мы будем применять эту технологию в Google не только для усиления защиты от продуктов Google от мошенничества и спама, но и для улучшения процесса сканирования книг и газет.

Самый простой способ победить капчу - это Amazon Mechanical Turk. Есть парень по имени Кермит Уэлда, который платит людям по никелю за регистрацию учетных записей Hotmail, AOL и Gmail. Это 6000 фальшивых почтовых аккаунтов по 5 центов = 300 долларов в день. Стоимость ведения бизнеса довольно дешевая, если другие люди делают за вас грязную работу. Неудивительно, что спам-фильтры нашего сервера хотят отклонить что-либо из Hotmail.

AFAIK На практике не существует инструмента для взлома реализации RE-капчи, однако в конечном итоге я предполагаю, что кто-то получит его.

Забавно, что если кому-то удастся заполучить его, тогда весь проект RE-captcha не имеет смысла, потому что re-captcha разработал оцифровку книг, что невозможно сделать автоматически.

Кстати:

Слабость систем CAPTCHA заключается в том, что люди создают комнаты, заполненные людьми в Китае, единственной задачей которых является просмотр изображения CAPTCHA и ввод результата, который подключается к автоматизированной системе, которая фактически выполняет рассылку спама.

Вы не можете защитить систему, думая так, это все равно что сказать: «Ваше веб-приложение недостаточно защищено, если ваш хост не находится в старом военном бункере, потому что теперь люди могут украсть вашу машину».

Есть много методов, которые используются для обмана recaptcha. В то время как трудно использовать программы с поддержкой нейронной сети для автоматического их решения, возможно получить изображение и использовать механический турник от Amazon или какую-то эквивалентную программу для их решения.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/