ReCaptcha был взломан / взломан / OCR'd / победил / сломан? [закрыто]

172

Были ли использованы какие-либо методы программирования для победы над reCAPTCHA?

Я заинтересован в том, чтобы увидеть свидетельства и потенциальные демонстрации того, что reCAPTCHA, в частности, устарела с помощью полностью автоматизированных, безгражданских методов.

Для того, чтобы уточнить, не ищет рекапчи-обман решения , которые включают людей в любом случае, будь то задача команды с заполнением из CAPCHAs, порно убежища или Mechanical Turk.

Я также не ищу альтернатив reCAPTCHA, таких как выбор типа животного, фоновых полей или хитрости javascript.

Дейв Ратледж
источник
18
количество дезинформации в этих ответах удивительно. Если ReCaptcha был «сломан», тогда кто-то лучше расскажет Facebook, Craigslist и TicketMaster, stat! : p
Джефф Этвуд
15
Джефф, им сказали, и единственная дезинформация относится к CAPTCHA как к действующему механизму безопасности. Он был эмпирически разбит, как в общих реализациях, так и в теории (не только reCAPTCHA, но и сама концепция CAPTCHA). С другой стороны, он не ПОЛНОСТЬЮ бесполезен, я на самом деле назвал этот сайт как действительный вариант использования CAPTCHA - в дополнение ко многим другим механизмам он может работать вместе, чтобы немного «обойтись» атакующим Больше.
AviD
13
Я разочарован тем, что в теме нет pwnedэтого слова
скаффман
2
Еще несколько исследований по этой теме: schneier.com/blog/archives/2010/10/analyzing_captc.html . На самом деле я нашел комментарии более интересными, чем пост или само исследование ...
AviD 20.10.10
9
Оо! Лучшая капча! xkcd.com/810
AviD 25.10.10

Ответы:

92

Я замечаю, что почти все ответы здесь относятся к неэффективности концепции CAPTCHA, в принципе - и хотя я с ними очень согласен, на самом деле несколько месяцев назад выступил в OWASP с объяснением, объясняя только это - вопрос очень специфический так что обеспечу демонстрацию.
Но сначала я повторю эту демонстрацию в стороне, перечитайте другие комментарии, поскольку это правда, что CAPTCHA бессмысленна и не полезна, не имеет отношения к реализации ....

Но на самом деле, проверьте CAPTCHA Killer . Вы можете загрузить изображение CAPTCHA, и оно автоматически, если не сразу, предоставит ответ OCR. Это также обеспечивает API (REST, я думаю, но, возможно, также SOAP). Я лично пробовал множество изображений reCAPTCHA, и это были действительно самые простые (или, по крайней мере, самые быстрые) сломанные.

ОБНОВЛЕНИЕ : веб-сайт CAPTCHA Killer теперь закрыт, по-видимому, под юридическим давлением. Смотрите http://captcha.org/ для полного обзора темы.

И да, OCR - не лучший способ взломать защищенный сайт CAPTCHA - есть много других лучших способов.

алчный
источник
3
Интересно, как работает капча-убийца. Почему-то мне кажется, что он использует дешевую рабочую силу и зарабатывает на рекламе на сайте. (И мерчендайзинг.)
Георг Шолли
3
Полезный ответ про капчу вообще, но вопрос был про reCAPTCHA конкретно.
Майк
2
Только что попробовал Captcha Killer с тремя reCAPTCHA. Все три истекли без ответа.
lfaraone
21
CAPTCHA Убийца, кажется, был убит: он был жестоко уничтожен транснациональными корпорациями, стремящимися распространить свое господство и уничтожить свободу творческого самовыражения! Такой красивый убийца, такая ранняя смерть!
Кирилл
4
Я думаю, что это просто смена домена и версия стала платной сейчас, проверьте это bypasscaptcha.com/captchakiller.php
MarmiK
54

Возможно, вас заинтересует этот подробный отчет о том, как 4chan победил reCAPTCHA и использовал его для манипулирования ежегодными результатами Time.com 100 Poll .

Взлом Recaptcha (он же «Поток пениса»)

Следующая используемая тактика состояла в том, чтобы увидеть, могут ли они найти изъян в реализации reCAPTCHA. Одна вещь, которую они обнаружили в reCAPTCHA, заключалась в том, что он всегда представляет пользователю два слова для декодирования: одно слово - это контрольное слово, известное системе reCAPTCHA, а другое - неизвестное слово (reCAPTCHA использует людей для исправления ошибок распознавания). Википедия описывает процесс: «Отсканированный текст подвергается анализу с помощью двух разных программ оптического распознавания символов; в случае несогласия программ сомнительное слово преобразуется в капчу. Слово отображается вместе с уже известным контрольным словом и помечено человеком. Те слова, которым последовательно присваивается единый ярлык судьями-людьми, превращаются в контрольные слова ». 2iasdo4 Аноним осознал, что если они всегда маркируют неизвестный отсканированный текст одним и тем же словом - и если они делают это тысячи и тысячи раз, в конечном итоге большой процент неизвестных слов будет помечен их словом. Все, что им нужно было сделать, это взглянуть на два слова в капче, ввести правильную метку для «легкого» (предположительно это будет тот, с которым согласятся два оптических сканера) и ввести слово «пенис» для тяжелый Если бы они делали это достаточно часто, то вскоре значительный процент изображений был бы помечен как «пенис», и способность к автоматическому голосованию была бы восстановлена ​​(одним побочным эффектом, который не был утерян на Anonymous, было представление о том, что на долгие годы было бы несколько цифровых книг со словом «пенис», случайно вставленных по всему тексту. Обновление: я спросил Бена Маурера,

Оптимизация reCAPTCHA

Так же, как и идея разбивать слово «пенис» на тексты, команда Anonymous знала, что часы тикают, и если они собираются восстановить сообщение, у них не будет времени ждать, когда автопоставщики вернутся в сеть - они собирались голосовать вручную, много-много раз. И поэтому им нужно было вводить капчи так быстро, как только могли. Они разработали ряд рекомендаций, которые позволили им быстро решить, какие слова reCAPTCHA они могут пропустить. Например:

Вам дадут 2 слова: 1 реальное, 1 фальшивое.

Для [REAL FAKE]или [FAKE REAL], вы можете просто ввести, REALи это должно быть принято.

Если это [LOOKSREAL LOOKSREAL]или [LOOKSFAKE LOOKSFAKE], обычно просто быстрее набрать оба слова. Не тратьте драгоценное время, решая, какой из них настоящий.

Используйте как внешний вид, так и тип слова для определения поддельного слова. Не полагайтесь только на один из них.

Весь набор правил здесь: поддельная капча .

Матиас Биненс
источник
4
Но разве смысл этой истории в том, что они не сломали reCAPTCHA? Вместо этого им удалось оптимизировать ручной процесс голосования, чтобы решительные волонтеры могли голосовать тысячи раз каждый.
ПДК
4
@pdc, просто потому, что они не распознавали изображения (хотя это тоже можно было сделать), не означает, что они не нарушали reCAPTCHA. Подумайте об этом примерно так: цель reCAPTCHA - представить неразборчивые изображения? Или это для предотвращения автоматического затопления? Если его первый, вы могли бы утверждать , что она не была нарушена (спорно, но я не согласен с вами), но если ее второй - то есть эмпирическое доказательство того, что рекапчи не работает. Я также думаю, что должно быть совершенно ясно, что помимо развлекательной ценности, ВТОРАЯ цель является реальной и единственной, которая имеет значение.
AviD
@AviD А? Согласно статье, автоматическое затопление уже невозможно. Скорее, преданные люди могли голосовать в несколько раз быстрее, чем они могли бы (и различные методы, не связанные с капчей, использовались, чтобы помешать неэффективным мерам против такого тяжелого голосования людьми). В основном эквивалентно использованию дешевого человеческого труда - что, конечно, reCAPTCHA не претендует на остановку.
ToolmakerSteve
@ToolmakerSteve в этом и заключается проблема, reCAPTCHA не пытается остановить реальную проблему. CAPTCHA пытается решить не ту проблему, плохо.
AviD
32

Слабость систем CAPTCHA заключается в том, что люди создают комнаты, заполненные людьми в Китае, единственной задачей которых является просмотр изображения CAPTCHA и ввод результата, который подключается к автоматизированной системе, которая фактически выполняет рассылку спама.

Не так много, что вы можете сделать с этим на самом деле.

Это также намного дешевле, чем попытка распознавания изображения, распознавания текста и т. Д. На реальном изображении (в противном случае вы можете получить ответ менее чем за 0,01 доллара США).

Клетус
источник
62
Или еще лучше, они хватают капчу с вашего сайта, и показать его в какой - то дрочила (буквально) в качестве требования к показывая им некоторое порно.
Пол Томблин
2
Человек ... это умно (кредит, когда кредит должен).
Клет
7
Обратите внимание, что это не делает его неэффективным инструментом. Это просто означает, что если ваш сайт достаточно популярен, то это может произойти. Для остальных 99,99% сайтов в мире подойдет простая капча.
Роберт П
1
Черт, капча CodingHorror даже не меняется и не запутывается, и ей удается хорошо выполнять свою работу!
Роберт П
5
На самом деле, это не совсем так. Хотя есть примеры того, что FAR дешевле OCR-взломать CAPTCHA. Использование потовых магазинов обычно НЕ экономически целесообразно для спамеров.
Дженс Роланд
21

Прежде чем поддаваться давлению использования капчи, рассмотрите творческие обходные пути, такие как наличие поля с пометкой «Ваши комментарии», которое скрыто CSS. Если поле введено, запрос отбрасывается сервером. Большинство ботов попадутся на это, даже если все еще нет хорошего способа победить комнату, полную неоплачиваемых рабочих, с которой капча не помогает в любом случае.

ОБНОВЛЕНИЕ : просто прочитайте пример, в котором удаление CAPTCHA увеличило коэффициент конверсии почти на 10%. Это бы указывало на то, что он довольно сломан, если вы теряете 10% своих лидов только для того, чтобы отфильтровать ботов. Представьте себе, что 10% означает для большинства предприятий.

DavGarcia
источник
2
Это очень умно, но не работает, если вы достаточно популярны. Yahoo или Google, например, никогда не смогут использовать это.
ныряет
2
Вопрос здесь в том, достаточно ли ценен ваш сайт для конкретной атаки. Большинство из них не так, и наличие небольших особенностей принесет пользу.
Дэвид Торнли
3
Я бы +1 за обновление re 10% потерь - ОЧЕНЬ важный момент. (но я не могу получить +1 потому что предложение о скрытом поле - это менее чем бесполезно.)
AviD
2
Есть 2 проблемы: «целевая атака» и «случайный спам». Ваше решение может спасти вашу задницу от случайного спама, хотя целевая атака затопит вашу систему в течение дня.
доктор зло
1
@dreeves: Google только что приобрел reCAPTCHA?
Прабу
18

Моя любимая капча от Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Распознавание изображений видов животных для ограничения доступа) - это HIP, который работает, предлагая пользователям идентифицировать фотографии кошек и собак. Эта задача трудна для компьютеров, но наши исследования показали, что люди могут выполнить ее быстро и точно. Многие даже думают, что это весело!

Это бесплатный сервис, и у них есть пример кода, чтобы вы начали.

Интересно, сколько времени пройдет, пока он не взломан.

BoltBait
источник
1
К сожалению, ответ Cletus выше показывает, как такой сервис будет неэффективным в большей борьбе со спамом.
Эрик Форбс
1
я потерпел неудачу, что 2 раза из 4, плохо освещенная картина шпица может выглядеть как кошка :(
Том Андерсон
3
Я прошел тест, и мне приятно знать, что я человек. :)
BoltBait
5
На самом деле лучшей капчей раньше была HotCaptcha, но в прошлый раз я проверял ее в автономном режиме. Основанный на HotOrNot.com, он не был ужасно эффективным, но ОЧЕНЬ популярен среди пользователей :-)
AviD
2
Проблема здесь в том, что было бы очень просто перебрать силу из-за небольшого пространства для ключей. Если вы начнете добавлять больше объектов к именам, то у вас возникнет неоднозначность в именовании (например, это кенгуру, джои или кенгуру младенца?). Вы должны убедиться, что у вас есть отношение один ко многим между именуемыми объектами и их возможными именами.
Oorang
11

ReCAPTACHA не сломан и не будет в течение очень долгого времени. Дело в том, что если вы внедрите свою собственную капчу, если она сломана, вероятно, потребуется много времени, чтобы исправить это.

Это взято со страницы о безопасности reCAPTCHA :

reCAPTCHA - это веб-сервис. Это означает, что все изображения создаются и оцениваются нашими серверами. (…) Это также обеспечивает дополнительный уровень защиты: наши CAPTCHA могут автоматически обновляться при обнаружении уязвимости безопасности.

Например, если кто-то пишет программу, которая может читать наши искаженные изображения, мы можем добавить больше искажений за очень короткое время, и веб-мастерам не придется ничего менять на их стороне.

Я считаю, что, поскольку они специализируются на капчах, у них есть улучшенные сохраненные версии, готовые к развертыванию за короткое время, если это необходимо. (Почему они должны создавать более сильную безопасность, когда слабый еще не сломлен?)

Георг Шолли
источник
9

Он не только побежден, но и над ним успешно создано полезное приложение , которое станет самым удивительным инструментом для защиты от всех видов защиты от бесплатных аккаунтов большого списка сайтов прямой загрузки (не только megaupload и rapidshare). ).

Jdownloader является открытым исходным кодом и написан на Java, поэтому взгляд на исходный код может ответить не только, если он сломан, но и как .

Изменить : Большинство сайтов прямой загрузки не используют reCaptcha, но более простой метод Captcha (3 заглавные буквы окрашены в разные цвета). Тем не менее, Jdownloader и Cryptload (программа, похожая на Jdownloader) являются единственными известными мне работающими реализациями, которые эффективно нарушили метод Captcha. Я не слышал ни о какой реализации взломать reCaptcha.

Обновление : Кажется, что по крайней мере одна реализация reCaptcha (не вся reCaptcha сама) была взломана тоже .

Обновление от декабря 2010 : Jdownloader, похоже, наконец-то побеждает reCaptcha . Плагин все еще является экспериментальным и работает только на версиях Jdownloader для Windows, но, как мне сказал товарищ, который попробовал его, он работает.

Фернандо Мигелес
источник
2
Знаете ли вы, какой из этих файловых хостеров использует RE-капчу, потому что rapidshare и megaupload нет.
доктор зло
@ dr.evil он покрывал список хостеров, почти все, что мы можем сказать, так как в нем было много сообщений, которые мы никогда не слышали, программа была достаточно умной, чтобы сломать большую часть капчи, и если нет, то запрашивала пользователя для то же самое, разве это не полезно? Я использовал это в прошлом лично. Это был один из лучших загрузчиков в некоторых случаях лучше, чем IDM. Обратите внимание: я не являюсь промоутером jDownloader. Спасибо
MarmiK
8

В прошлом году на Defcon была речь, в которой обсуждались проблемы с CAPTCHA в целом. Одна из вещей, которые они сделали, - это использование нескольких бесплатных механизмов распознавания текста, чтобы они голосовали за лучшие слова. Делая это, они смогли добиться несколько приличных шансов на успех. Для одного вида это было около 40%, но я не думаю, что это была reCaptcha.

FryGuy
источник
3
Это важный момент, спам-бот не должен разбивать все каптхи - 1% сделал бы, если бы он мог продолжать попытки.
Мартин Беккет
8
  • «На самом деле, это [рекапчи] стало бесполезно на 4 января [2011] , когда спамеры , видимо , получили свои коллективные руки на куске программного обеспечения , что позволяет обойти рекапчи и позволяют полностью автоматизированный процесс регистрации. Боты был занят, очень занят , на самом деле с тех пор " [1]

2-3 года назад подход, основанный на типизированном тексте с использованием капч, нарушил черту, когда они проиграли битву, то есть дальнейшие осложнения лишь делают их относительно (так как компьютерная мощь растет, а человек нет) более легкими для машин и более отвратительными и отталкивающими, если нет совершенно невозможно для людей. Это противоречит исходной парадигме CAPTCHA в качестве теста, чтобы гарантировать, что ответ не генерируется компьютером

Обновление.
Обратите внимание, что reCAPTCHA принадлежит Google Inc., но Google Inc. не использует его в своих собственных службах.
Вот ссылка на веб-страницу с капчей, используемой самим Google / для внутренних целей, например, для регистрации в Gmail:

альтернативный текст



Обратите внимание, что в Google reCAPTCHA всегда есть 2 слова.
Вот ссылка на изображение с reCAPTCHA от Google, предложенное для использования другими .

И скриншот reCAPTCHA:

альтернативный текст

Я оставляю очевидные выводы для читателя.

Цитируется: [1]
Форумы vBulletin пострадали от взломанного спама-робота reCAPTCHA | Блог
о PC Pro Опубликовано 12 января 2011 г. автором Davey Winder

Геннадий Ванин Геннадий Ванин
источник
5

Я вижу комментарии блога в системе, защищенной reCAPTCHA, где страница загружается, и через 1 секунду сообщение было успешно сделано. User-Agent был ерундой (в данном конкретном случае он утверждал, что работает под управлением Ubuntu 9.25 / Firefox 3.8), реферер был с совершенно несвязанного сайта без ссылки на нас.

Это явно автоматизировано.

Бенджамин Франц
источник
3

reCAPTCHA не был побежден. Если это так, то почему Google просто купила его и объявила, что будет применять технологию в Google для повышения защиты от мошенничества и спама для продуктов Google?

от Google Приобретает reCAPTCHA, опубликованную в блоге Google 16.09.09:

Таким образом, уникальная технология reCAPTCHA улучшает процесс преобразования сканированных изображений в простой текст, известный как оптическое распознавание символов (OCR). Эта технология также поддерживает масштабные проекты сканирования текста, такие как Google Книги и Поиск по архиву новостей Google. Наличие текстовой версии документов важно, потому что простой текст можно искать, легко отображать на мобильных устройствах и отображать для слабовидящих пользователей. Таким образом, мы будем применять эту технологию в Google не только для усиления защиты от продуктов Google от мошенничества и спама, но и для улучшения процесса сканирования книг и газет.

Майк
источник
3

Самый простой способ победить капчу - это Amazon Mechanical Turk. Есть парень по имени Кермит Уэлда, который платит людям по никелю за регистрацию учетных записей Hotmail, AOL и Gmail. Это 6000 фальшивых почтовых аккаунтов по 5 центов = 300 долларов в день. Стоимость ведения бизнеса довольно дешевая, если другие люди делают за вас грязную работу. Неудивительно, что спам-фильтры нашего сервера хотят отклонить что-либо из Hotmail.

Доктор клан
источник
Это действительно ответ ...?
Остин Хенли
В этом есть смысл, похожий на « Смерть от капчи» .
Кенорб
ОП четко заявил, что это не то, что он ищет.
Скотт Солмер
2

AFAIK На практике не существует инструмента для взлома реализации RE-капчи, однако в конечном итоге я предполагаю, что кто-то получит его.

Забавно, что если кому-то удастся заполучить его, тогда весь проект RE-captcha не имеет смысла, потому что re-captcha разработал оцифровку книг, что невозможно сделать автоматически.

Кстати:

Слабость систем CAPTCHA заключается в том, что люди создают комнаты, заполненные людьми в Китае, единственной задачей которых является просмотр изображения CAPTCHA и ввод результата, который подключается к автоматизированной системе, которая фактически выполняет рассылку спама.

Вы не можете защитить систему, думая так, это все равно что сказать: «Ваше веб-приложение недостаточно защищено, если ваш хост не находится в старом военном бункере, потому что теперь люди могут украсть вашу машину».

др. злой
источник
3
Ваше настроение определено, но его применение неуместно: мышление (из приведенного вами комментария) заключается в том, что CAPTCHA не решает проблему, к которой стремится . Или, как я часто говорю, «CAPTCHA (в целом) - плохое решение не той проблемы». Проблема, которую пытается решить CAPTCHA (по определению): откуда мне знать, что пользователь - это человек, а не компьютер? Независимо от того, решает ли CAPTCHA это (но не решает), РЕАЛЬНАЯ проблема заключается в следующем: Как я могу предотвратить массовое заполнение моего сервиса? Фермы и прокси CAPTCHA показывают точную разницу. Вот почему любое решение по безопасности должно начинаться с угроз.
AviD
1
Вы правы, все сводится к «Почему вы используете CAPTCHA?». Для некоторых систем этого достаточно, а для некоторых - даже близко. Но так же, как размер ключа в криптографии помогает вам защитить что-то, заставляя грубое принуждение занимать годы (хотя в конечном итоге они взломают это! Но не в этот срок или не в ближайшие 10 лет) CAPTCHA в некоторых системах может помочь в достаточной безопасности в точно так же. Итак, как вы сказали, все сводится к тому, что вы используете CAPTCHA?
доктор зло
2

Есть много методов, которые используются для обмана recaptcha. В то время как трудно использовать программы с поддержкой нейронной сети для автоматического их решения, возможно получить изображение и использовать механический турник от Amazon или какую-то эквивалентную программу для их решения.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/

redstick
источник