¿Se ha agrietado / pirateado / OCR'd / derrotado / roto reCaptcha? [cerrado]
https://stackoverflow.com/questions/448963
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Se han utilizado métodos de programación para derrotar a reCAPTCHA?
Estoy interesado en ver evidencia y potencialmente demostraciones de que reCAPTCHA en particular se ha vuelto obsoleto por métodos completamente automatizados y sin humanos.
Para aclarar, no busca soluciones para hacer trampa reCAPTCHA que involucren a los humanos de cualquier manera, ya sea que los equipos se encarguen de completar CAPCHA, buscadores de pornografía o Mechanical Turk.
Tampoco no busco alternativas a reCAPTCHA, como elegir el tipo de animal, los campos de fondo o el truco de JavaScript.
Solución
Noto que casi todas las respuestas aquí se relacionan con la ineficacia del concepto de CAPTCHA, en principio, y aunque estoy muy de acuerdo con ellas, de hecho le dio un charla en OWASP hace unos meses explicando exactamente eso : la pregunta es muy específica, por lo que proporcionaré una demostración.
Pero primero, reiteraré esa demostración a un lado, releeré los otros comentarios, ya que es verdad que CAPTCHA no tiene sentido y no es útil, irrelevante para la implementación ...
Pero realmente, echa un vistazo a CAPTCHA Killer . Puede cargar una imagen CAPTCHA, y automáticamente, si no de inmediato, proporcionará la respuesta de OCR. También proporciona una API (REST, creo, pero tal vez también SOAP). Personalmente probé numerosas imágenes de reCAPTCHA, y en realidad fueron algunas de las más fáciles (o al menos las más rápidas) rotas.
ACTUALIZACIÓN : el sitio web de CAPTCHA Killer ahora está desactivado, aparentemente bajo presión legal. Consulte http://captcha.org/ para obtener una descripción completa del tema.
Y sí, OCR no es la mejor manera de romper un sitio protegido con CAPTCHA: hay muchas otras formas mejores.
Otros consejos
Puede que le interese este informe detallado sobre cómo 4chan derrotó a reCAPTCHA y lo usó para manipular los resultados anuales de la Encuesta TIME 100 de Time.com .
Hacking Recaptcha (también conocido como & # 8216; The Penis Flood & # 8217;)
La siguiente táctica utilizada fue ver si podían encontrar una falla en la implementación de reCAPTCHA. Una cosa que descubrieron sobre reCAPTCHA fue que siempre presenta dos palabras a un usuario para la decodificación: una palabra es una palabra de control conocida por el sistema reCAPTCHA, mientras que la otra es una palabra desconocida (reCAPTCHA usa a los humanos para ayudar a corregir los errores de OCR). Wikipedia describe el proceso: & # 8220; El texto escaneado se somete a análisis por dos programas de reconocimiento óptico de caracteres diferentes; En los casos en que los programas no están de acuerdo, la palabra cuestionable se convierte en CAPTCHA. La palabra se muestra junto con una palabra de control ya conocida y está etiquetada por el humano. Esas palabras a las que los jueces humanos les dan constantemente una sola etiqueta se reciclan como palabras de control & # 8221 ;. 2iasdo4 Anónimo se dio cuenta de que si siempre etiquetaban el texto escaneado desconocido con la misma palabra, y si lo hacían miles y miles de veces, eventualmente un gran porcentaje de las palabras desconocidas estarían mal etiquetadas con su palabra. Todo lo que tenían que hacer era mirar las dos palabras en el captcha, ingresar la etiqueta adecuada para el & # 8216; fácil & # 8217; uno (presumiblemente ese sería el que los dos escáneres ópticos estarían de acuerdo) e ingrese la palabra & # 8220; pene & # 8221; para el duro Si lo hicieran con la frecuencia suficiente, pronto un porcentaje significativo de las imágenes se etiquetaría como & # 8216; pene & # 8217; y se restablecería la capacidad de votar automáticamente (un efecto secundario, que no se perdió en Anónimo, fue la noción de que en los próximos años habría una serie de libros digitales con la palabra & # 8216; pene & # 8217; insertada al azar en todo Actualización: le pregunté a Ben Maurer, ingeniero jefe de reCAPTCHA sobre este & # 8216; inundación del pene & # 8216; ataque, Ben dice que han anticipado este tipo de ataque y tienen numerosas protecciones que mantendrán los penes de penetrar la barrera reCAPTCHA.
Optimizando reCAPTCHA
Tan atractivo como la noción de rociar la palabra & # 8216; pene & # 8217; en mensajes de texto, el equipo de Anonymous sabía que el reloj estaba marcando, y si iban a restaurar el Mensaje, no tendrían tiempo para esperar a que los autovotantes volvieran a estar en línea; iban a tener que votar manualmente, muchos , muchas veces. Y, por lo tanto, necesitaban poder ingresar al captcha lo más rápido posible. Desarrollaron un conjunto de pautas que les permitieron decidir rápidamente qué palabras reCAPTCHA podrían omitir. Por ejemplo:
Se le darán 2 palabras: 1 real, 1 falso.
Para
[REAL FAKE]o[FAKE REAL], puede escribirREALy debería ser aceptado.Si es
[LOOKSREAL LOOKSREAL]o[LOOKSFAKE LOOKSFAKE], generalmente es más rápido escribir las dos palabras. No pierdas un tiempo precioso decidiendo cuál de ellos es real.Use tanto la apariencia como el tipo de palabra para identificar un falso palabra. No confíe en solo uno de ellos.
Todo el conjunto de reglas está aquí: falso captcha .
La debilidad de los sistemas CAPTCHA es que las personas preparan habitaciones llenas de personas en China cuyo único trabajo es mirar una imagen CAPTCHA y escribir el resultado, que se conecta al sistema automatizado que realmente está enviando correo no deseado.
Realmente no puedes hacer mucho al respecto.
También es mucho más barato que tratar de hacer reconocimiento de imagen, OCR, etc. en la imagen real (puede obtener una respuesta por menos de $ 0.01 en el otro sentido).
Antes de ceder ante la presión de usar captcha, considere soluciones creativas como tener un campo etiquetado " Sus comentarios " eso está oculto por CSS. Si se ingresa el campo, el servidor descarta la solicitud. La mayoría de los bots caerán en él, incluso si todavía no hay una buena manera de derrotar la habitación llena de trabajadores mal pagados, lo que captcha no ayuda de ninguna manera.
ACTUALIZACIÓN : solo lea un estudio de caso donde eliminar CAPTCHA aumentó las tasas de conversión en casi un 10%. Eso me indicaría que está bastante roto si está perdiendo el 10% de sus clientes potenciales solo para filtrar los bots. Imagine lo que significa el 10% para la mayoría de las empresas.
Mi captcha favorito es de Microsoft: http: // research. microsoft.com/en-us/um/redmond/projects/asirra/
Asirra (Imagen de especies animales Reconocimiento por restringir el acceso) es un HIP que funciona pidiendo a los usuarios que identifiquen fotografías de gatos y perros Esta tarea es difícil para las computadoras, pero nuestros usuarios estudian han demostrado que las personas pueden lograrlo de manera rápida y precisa. ¡Muchos incluso piensan que es divertido!
Es un servicio gratuito y tienen un código de ejemplo para comenzar.
Me pregunto cuánto tiempo pasará antes de que se rompa.
reCAPTACHA no está roto y no lo estará por mucho tiempo. La cuestión es que si implementas tu propio captcha si está roto, probablemente tarde mucho tiempo en solucionarlo.
Esto está tomado de la página sobre la seguridad de reCAPTCHA :
reCAPTCHA es un servicio web. Eso significa que todas las imágenes se generan y calificado por nuestros servidores. (& # 8230;) esto también proporciona un nivel adicional de protección: nuestros CAPTCHA pueden ser automáticamente actualizado cada vez que una seguridad vulnerabilidad encontrada.
Por ejemplo, si alguien escribe un programa que puede leer nuestros distorsionados imágenes, podemos agregar más distorsiones en muy poco tiempo, y sin Web maestros que tienen que cambiar nada en a su lado.
Creo que, como están especializados en captchas, tienen versiones mejoradas almacenadas, listas para ser implementadas en poco tiempo si es necesario. (¿Por qué deberían crear una seguridad más fuerte cuando la más débil aún no está rota?)
No solo ha sido derrotado, sino que también se ha creado con éxito una aplicación útil encima para convertirse en la herramienta más sorprendente para vencer todo tipo de protecciones de cuenta gratuita de una gran lista de sitios de descarga directa (no solo megaupload y rapidshare).
Jdownloader es de código abierto y está escrito en Java, así que echa un vistazo a código fuente puede responder no solo si está roto sino también cómo .
Editar : la mayoría de los sitios de descarga directa no utilizan reCaptcha, sino un método Captcha más simple (3 letras mayúsculas de diferentes colores). Sin embargo, Jdownloader y Cryptload (un programa similar a Jdownloader) son las únicas implementaciones que sé que efectivamente han roto un método Captcha . No he oído hablar de ninguna implementación para crackear reCaptcha.
Actualización : Parece que al menos una implementación de reCaptcha (no reCaptcha completa en sí) también ha sido descifrado .
Actualización de diciembre de 2010 : Jdownloader parece por fin estar derrotando a reCaptcha . El complemento aún es experimental y solo funciona en las versiones de Windows de Jdownloader, pero, como me dijo un compañero que lo probó, funciona.
Hubo un discurso en Defcon el año pasado que abordó los problemas con CAPTCHA en general. Una de las cosas que hicieron fue usar múltiples motores OCR gratuitos y hacer que votaran las mejores palabras. Al hacer esto, pudieron lograr una posibilidad bastante decente de tener éxito. Para un tipo, fue del 40% más o menos, aunque no creo que fuera reCaptcha.
- " De hecho, [reCAPTCHA] se volvió bastante inútil el 4 de enero [de 2011] cuando los spammers aparentemente tuvieron sus manos colectivas en un pieza de software que evita el reCAPTCHA y permite un proceso de registro totalmente automatizado. Los robots han estado ocupados, muy ocupados desde entonces " [1]
Hace 2-3 años, el enfoque de captchas basado en la escritura de texto traspasó la línea cuando perdieron la batalla, es decir, otras complicaciones solo los hacen relativamente (ya que la potencia de la computadora aumenta, mientras que los humanos no) son más fáciles para las máquinas y más repugnantes y repelentes , si no completamente imposible, para los humanos. Esto contacta al paradigma original de CAPTCHA como prueba para garantizar que la computadora no genere la respuesta
Actualización:
Tenga en cuenta que reCAPTCHA es propiedad de Google Inc. pero Google Inc. no lo usa por sus propios servicios.
Aquí hay un enlace que contiene una página web con captcha utilizada por el propio Google / internamente por ejemplo, para el registro de Gmail:
??
Tenga en cuenta que Google reCAPTCHA siempre tiene 2 palabras.
Aquí está el enlace para la imagen con el reCAPTCHA de Google ofrecido para ser utilizado por otros .
Y la captura de pantalla de reCAPTCHA:
??
Les dejo hacer las conclusiones obvias a un lector.
Citado:
[1]
foros de vBulletin golpeados por reCAPTCHA cracking spam bot | Blog de PC Pro
Publicado el 12 de enero de 2011 por Davey Winder
Estoy viendo comentarios de blog en un sistema protegido por reCAPTCHA donde se carga la página y 1 segundo después la publicación se realizó con éxito. El User-Agent no tenía sentido (en este caso particular afirmaba estar ejecutando Ubuntu 9.25 / Firefox 3.8), el referente era de un sitio completamente no relacionado sin ningún enlace para nosotros.
Esto está claramente automatizado.
reCAPTCHA no ha sido derrotado. Si lo hubiera sido, ¿por qué Google simplemente lo compró y anunció que aplicará la tecnología dentro de Google para aumentar la protección contra el fraude y el spam para los productos de Google?
de Google adquiere reCAPTCHA publicado en el blog de Google en 16/09/09:
De esta forma, la tecnología única de reCAPTCHA mejora el proceso que convierte las imágenes escaneadas en texto plano, conocido como Reconocimiento óptico de caracteres (OCR). Esta tecnología también impulsa proyectos de escaneo de texto a gran escala como Google Books y Google News Archive Search. Tener la versión de texto de los documentos es importante porque se puede buscar texto sin formato, mostrarlo fácilmente en dispositivos móviles y mostrarlo a usuarios con discapacidad visual. Por lo tanto, aplicaremos la tecnología dentro de Google no solo para aumentar el fraude y la protección contra correo no deseado para los productos de Google, sino también para mejorar nuestro proceso de escaneo de libros y periódicos.
La forma más fácil de derrotar a Captchas es Amazon Mechanical Turk. Hay un tipo llamado Kermit Welda que paga a las personas un centavo cada una para registrar cuentas de Hotmail, AOL y Gmail. Eso es 6,000 cuentas de correo electrónico falsas a 5 centavos = $ 300 por día. El costo de hacer negocios es bastante barato cuando tienes a otras personas que hacen el trabajo sucio por ti. No es de extrañar que los filtros de spam de nuestro servidor quieran rechazar cualquier cosa de Hotmail.
AFAIK En la práctica no existe una herramienta para descifrar la implementación de RE-captcha, sin embargo, eventualmente supongo que alguien la obtendrá.
Es bastante divertido si alguien logra obtenerlo, entonces todo el proyecto RE-captcha no tiene sentido porque re-captcha diseñó libros digitalizados que no se pueden hacer de manera automatizada.
Por cierto:
La debilidad de los sistemas CAPTCHA es que la gente establece habitaciones llenas de personas en China cuyo único trabajo es es mirar una imagen CAPTCHA y escribir en el resultado, que se conecta al sistema automatizado que realmente está haciendo el spamming.
No puede asegurar un sistema que piense así, es como decir "su aplicación web no es lo suficientemente segura si su host no está en un antiguo búnker militar, porque ahora la gente puede robar su máquina".
Hay muchos métodos que se usan para hacer una recaptcha. Si bien es difícil usar programas habilitados para redes neuronales para resolverlos automáticamente, es posible tomar la imagen y tener el turk mecánico de Amazon o algún programa equivalente para resolverlos.
http://codemagician.wordpress.com/2010/01/ 22 / resolver-recaptcha /
