ReCaptcha a-t-il été fissuré / piraté / OCR'd / vaincu / cassé? [fermé]
https://stackoverflow.com/questions/448963
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Des méthodes de programmation ont-elles été utilisées pour vaincre reCAPTCHA?
Je voudrais voir des preuves et éventuellement des démonstrations du fait que reCAPTCHA en particulier est devenu obsolète grâce à des méthodes entièrement automatisées et sans personne.
Pour clarifier, ne chercher des solutions de fraude à reCAPTCHA qui impliquent de quelque manière que ce soit les humains, qu’il s’agisse d’équipes chargées de renseigner les CAPCHAs, les chercheurs de porn, ou Mechanical Turk.
De plus, je ne recherche pas d'alternative à reCAPTCHA, comme la sélection du type d'animal, des champs d'arrière-plan ou une supercherie javascript.
La solution
Je remarque que presque toutes les réponses ici se rapportent à l'inefficacité du concept de CAPTCHA, en principe - et même si je suis tout à fait d'accord avec elles, a en fait donné un parler à OWASP il y a quelques mois en expliquant cela - la question est très précise, je vais donc vous fournir une démonstration.
Mais tout d’abord, je vais réitérer cette démonstration, relire les autres commentaires, car c’est vrai que CAPTCHA est inutile et inutile, peu utile à la mise en œuvre ....
Mais vraiment, consultez CAPTCHA Killer . Vous pouvez télécharger une image CAPTCHA. Celle-ci fournira automatiquement, sinon immédiatement, la réponse de l'OCR. Il fournit également une API (REST, je pense, mais peut-être aussi SOAP). J'ai personnellement essayé de nombreuses images reCAPTCHA, et c'étaient en fait des images les plus faciles (ou du moins les plus rapides) cassées.
MISE À JOUR : le site Web de CAPTCHA Killer est maintenant fermé, apparemment sous pression légale. Voir http://captcha.org/ pour un aperçu complet du sujet.
Et oui, l'OCR n'est pas le meilleur moyen de casser un site protégé par CAPTCHA - il existe de nombreux autres moyens plus efficaces.
Autres conseils
Vous pourriez être intéressé par ce rapport détaillé sur la 4chan reCAPTCHA a été vaincu et utilisé pour manipuler les résultats annuels du sondage TIME 100 de Time.com .
Piratage de Recaptcha (aka "L'inondation du pénis" # 8217;)
La tactique suivante était de voir s’ils pouvaient trouver une faille dans la mise en œuvre de reCAPTCHA. ReCAPTCHA a notamment découvert qu’il présentait toujours deux mots à un utilisateur pour le décodage: un mot est un mot de contrôle connu du système reCAPTCHA, tandis que l’autre est un mot inconnu (reCAPTCHA utilise les humains pour aider à corriger les erreurs d’OCR). Wikipedia décrit le processus: & # 8220; Le texte numérisé est soumis à l'analyse de deux programmes de reconnaissance optique de caractères différents; en cas de désaccord entre les programmes, le mot discutable est converti en CAPTCHA. Le mot est affiché avec un mot de contrôle déjà connu et est étiqueté par l'homme. Les mots auxquels les juges humains attribuent systématiquement une seule étiquette sont recyclés en tant que mots de contrôle & # 8221 ;. 2iasdo4 Ce que Anonymous a compris, c’est que s’ils marquaient toujours le texte scanné inconnu avec le même mot - et s’ils le faisaient des milliers et des milliers de fois, un grand pourcentage des mots inconnus finirait par être mal étiquetés. Tout ce qu’ils avaient à faire, c’était de regarder les deux mots du captcha, puis de saisir l’étiquette appropriée pour le mot-clé "# 8216; facile". un (probablement celui sur lequel les deux scanners optiques s’accorderaient) et entrez le mot "pénis" # 8220; pour le dur. Si cela se produisait assez souvent, un pourcentage important des images seraient bientôt étiquetées comme "pénis" et # 8217; et la capacité de vote automatique serait rétablie (un effet secondaire, qui n’a pas été perdu pour Anonymous, est l’idée que pendant des années, il y aurait un certain nombre de livres numériques avec le mot "pénis" inséré de manière aléatoire dans l'ensemble Mise à jour: j’ai interrogé Ben Maurer, ingénieur en chef de reCAPTCHA, au sujet de cette attaque par "inondation du pénis", Ben dit qu’ils avaient anticipé ce type d’attaque et qu’ils disposaient de nombreuses protections qui garderaient les pénis. de pénétrer dans la barrière reCAPTCHA.
Optimiser reCAPTCHA
Aussi attrayant que la notion de saupoudrer le mot & # 8216; pénis & # 8217; Dans les textes, l’équipe des Anonymes savait que le temps comptait, et s’ils voulaient rétablir le message, ils n’auraient pas le temps d’attendre que les autotélecteurs reviennent en ligne - ils allaient devoir voter manuellement, beaucoup , plusieurs fois. Et donc, ils devaient pouvoir entrer le captcha aussi vite que possible. Ils ont développé un ensemble de directives leur permettant de décider rapidement quels mots reCAPTCHA ils pourraient ignorer. Par exemple:
On vous donnera 2 mots: 1 réel, 1 faux.
Pour
[REAL FAKE]ou[FAKE REAL], il vous suffit de taperREALpour que ce soit accepté.Si
[LOOKSREAL LOOKSREAL]ou[LOOKSFAKE LOOKSFAKE], il est généralement plus rapide de taper les deux mots. Ne perdez pas un temps précieux à décider laquelle d’entre elles est réelle.Utilisez à la fois l'apparence et le type de mot pour identifier un faux mot. Ne comptez pas sur un seul d'entre eux.
L'ensemble des règles est ici: faux captcha .
La faiblesse des systèmes CAPTCHA réside dans le fait que les personnes installent des salles remplies de personnes en Chine dont le seul travail consiste à examiner une image CAPTCHA et à taper le résultat, ce qui se branche sur le système automatisé qui effectue réellement le spam.
Vous ne pouvez vraiment pas faire grand chose à ce sujet.
C’est aussi beaucoup moins cher que d’essayer de faire de la reconnaissance d’image, de l’OCR, etc. sur l’image réelle (vous pouvez obtenir une réponse pour moins de 0,01 USD dans l’autre sens).
Avant de céder à la pression liée à l’utilisation de captcha, réfléchissez aux solutions de contournement créatives, telles que l’utilisation d’un champ intitulé "Vos commentaires". qui est caché par CSS. Si le champ est saisi, la demande est abandonnée par le serveur. La plupart des robots craqueront même s'il n'y a toujours pas un bon moyen de vaincre la salle pleine d'ouvriers sous-payés, ce que captcha n'aide pas de toute façon.
MISE À JOUR : il vous suffit de lire un étude de cas où la suppression de CAPTCHA a augmenté les taux de conversion de près de 10%. Cela m'indiquerait que c'est plutôt cassé si vous perdez 10% de vos prospects simplement pour filtrer les bots. Imaginez ce que 10% signifient pour la plupart des entreprises.
Mon captcha préféré provient de Microsoft: http: // research. microsoft.com/en-us/um/redmond/projects/asirra/
Asirra (image d'espèce animale) Reconnaissance pour la restriction d'accès) est une HIP qui fonctionne en demandant aux utilisateurs d'identifier les photographies de chats et les chiens. Cette tâche est difficile pour les ordinateurs, mais nos études d’utilisateur ont montré que les gens peuvent le faire rapidement et avec précision. Beaucoup pensent même que c'est amusant!
C'est un service gratuit et ils ont un exemple de code pour vous aider à démarrer.
Je me demande combien de temps il faudra avant qu'il ne soit fissuré.
reCAPTACHA n'est pas en panne et ce ne sera pas pour très longtemps. Le problème, c’est que si vous implémentez votre propre captcha s’il est cassé, il faudra probablement beaucoup de temps pour le réparer.
Cette information provient de la page sur la sécurité de reCAPTCHA :
reCAPTCHA est un service Web. Cela signifie que toutes les images sont générées et classé par nos serveurs. (& # 8230;) cela aussi fournit un niveau supplémentaire de protection: nos CAPTCHAs peuvent être automatiquement mis à jour chaque fois qu'une sécurité la vulnérabilité est trouvée.
Par exemple, si quelqu'un écrit un programme capable de lire notre texte déformé images, nous pouvons ajouter plus de distorsions dans très peu de temps, et sans Web maîtres ayant à changer quoi que ce soit sur leur côté.
Comme ils sont spécialisés dans les captchas, je pense qu'ils ont des versions améliorées stockées, prêtes à être déployées rapidement si besoin est. (Pourquoi devraient-ils renforcer la sécurité lorsque le plus faible n’est pas encore brisé?)
Non seulement elle a été vaincue, mais aussi une application utile a été construite avec succès pour devenir l'outil le plus étonnant pour vaincre toutes sortes de protections de comptes gratuits d'une grande liste de sites de téléchargement direct (pas seulement megaupload et rapidshare).
Jdownloader est open source et écrit en Java pour donner un aperçu de la le code source peut répondre non seulement à s'il est rompu , mais également à comment . . / p>
Modifier : la plupart des sites de téléchargement direct n'utilisent pas reCaptcha, mais une méthode plus simple, celle de Captcha (3 lettres majuscules de différentes couleurs). Néanmoins, Jdownloader et les Cryptload (un programme similaire à Jdownloader) sont les seules implémentations fonctionnelles qui, je le sais, ont cassé une méthode Captcha. . Je n'ai entendu parler d'aucune implémentation permettant de craquer reCaptcha.
Mise à jour : au moins une implémentation de reCaptcha (et non de reCaptcha complète) a également été craqué .
Mise à jour déc. 2010 : Jdownloader semble enfin vaincre reCaptcha . Le plugin est toujours expérimental et ne fonctionne que sur les versions Windows de Jdownloader, mais, comme l’a dit un collègue qui l’a essayé, cela fonctionne.
Un discours prononcé devant Defcon l'année dernière a porté sur les problèmes liés aux CAPTCHA en général. Une des choses qu’ils ont faites est d’utiliser plusieurs moteurs d’OCR gratuits et de leur faire voter les meilleurs mots. Ce faisant, ils ont réussi à obtenir une chance assez décente de réussir. Pour un type, c'était 40% ou plus, je ne pense pas que c'était reCaptcha, cependant.
- " En fait, il [reCAPTCHA] est devenu assez inutile le 4 janvier [2011] logiciel qui contourne reCAPTCHA et permet un processus d’enregistrement entièrement automatisé. Les robots sont occupés, voire très occupés, depuis "" [1]
Il y a 2 ou 3 ans, l'approche captchas basée sur la saisie de texte a franchi la ligne d'arrivée quand ils ont perdu la bataille. En d'autres termes, des complications les rendent relativement faciles (car la puissance de l'ordinateur augmente, alors que celle de l'homme n'est pas) plus faciles pour les machines et plus répugnantes et repoussantes. , sinon tout à fait impossible, aux humains. Cela correspond au paradigme original de CAPTCHA pour vérifier que la réponse n'est pas générée par un ordinateur
Mise à jour:
Notez que reCAPTCHA est la propriété de Google Inc. , mais Google Inc. ne l'utilise pas par leurs propres services.
Voici un lien vers une page Web contenant le captcha utilisé par Google lui-même / en interne par exemple, pour l'enregistrement Gmail:
Notez que les reCAPTCHA de Google ont toujours 2 mots.
Voici le lien pour image avec l'outil reCAPTCHA de Google proposé pour être utilisé par d'autres .
Et la capture d'écran de reCAPTCHA:
Je pars pour tirer les conclusions évidentes à un lecteur.
Cité:
[1]
Les forums vBulletin attaqués par reCAPTCHA attaquent le spam bot | Blog PC Pro
Publié le 12 janvier 2011 par Davey Winder
Je vois des commentaires de blog sur un système protégé par reCAPTCHA où la page est chargée et une seconde plus tard, la publication a été faite avec succès. L'agent utilisateur était absurde (dans ce cas particulier, il prétendait exécuter Ubuntu 9.25 / Firefox 3.8), le parrain était issu d'un site totalement indépendant, sans lien avec nous.
Ceci est clairement automatisé.
reCAPTCHA n'a pas été vaincu. Si tel avait été le cas, pourquoi Google l'aurait-il acheté et annoncé-t-il qu'il appliquerait la technologie au sein de Google pour renforcer la protection anti-spam et anti-spam des produits Google?
à partir de Google acquiert reCAPTCHA dans le blog Google sur. 16/09/09:
De cette manière, la technologie unique de reCAPTCHA améliore le processus de conversion des images numérisées en texte brut, connu sous le nom de reconnaissance optique de caractères (OCR). Cette technologie alimente également des projets de numérisation de texte à grande échelle tels que Google Livres et Google News Archive Search. Avoir la version texte des documents est important car le texte brut peut être recherché, facilement affiché sur des appareils mobiles et affiché aux utilisateurs malvoyants. Nous allons donc appliquer la technologie au sein de Google non seulement pour renforcer la protection anti-fraude et anti-spam des produits Google, mais également pour améliorer nos processus de numérisation de livres et de journaux.
Le meilleur moyen de vaincre Captchas est Amazon Mechanical Turk. Il y a un gars du nom de Kermit Welda qui paye un centime chacun à chacun pour enregistrer ses comptes Hotmail, AOL et Gmail. Cela représente 6 000 faux comptes de messagerie à 5 cents = 300 $ par jour. Le coût des affaires est assez bon marché lorsque d’autres personnes font le sale boulot pour vous. Pas étonnant que les filtres anti-spam de notre serveur veuillent rejeter quoi que ce soit de Hotmail.
Assez drôle si quelqu'un réussit à l'obtenir, alors tout le projet RE-captcha est inutile, car re-captcha a conçu des livres numérisés qui ne peuvent pas être réalisés de manière automatisée.
BTW:
La faiblesse des systèmes CAPTCHA est que les gens mettent en place des salles pleines de les gens en Chine dont le seul travail est est de regarder une image et le type CAPTCHA dans le résultat, qui se branche sur le système automatisé qui fait réellement le spam.
Vous ne pouvez pas sécuriser un système pensant ainsi, cela revient à dire "votre application Web n'est pas suffisamment sécurisée si votre hôte ne se trouve pas dans un ancien bunker militaire, car les utilisateurs peuvent désormais voler votre machine".
De nombreuses méthodes sont utilisées pour crap recaptcha. Même si son réseau difficile à utiliser permet aux programmes de les résoudre automatiquement, il est possible de saisir l’image et d’avoir le génie mécanique d’Amazon ou un programme équivalent pour les résoudre.
http://codemagician.wordpress.com/2010/01/ 22 / résoudre-recaptcha /
