ReCaptcha è stato crackato / hackerato / OCR / sconfitto / rotto? [chiuso]

Question

Sono stati usati metodi di programmazione per sconfiggere reCAPTCHA?

Sono interessato a vedere prove e potenzialmente dimostrazioni che reCAPTCHA in particolare è stato reso obsoleto con metodi completamente automatizzati e privi di esseri umani.

Per chiarire, non cercare soluzioni imbrogliare reCAPTCHA che coinvolgano in qualche modo gli umani, sia che i team abbiano il compito di compilare i CAPCHA, i cercatori di pornografia o il Turk meccanico.

Sto anche non alla ricerca di alternative a reCAPTCHA, come scegliere il tipo di animale, o campi di sfondo o inganno javascript.

Answer 1

Noto che quasi tutte le risposte qui si riferiscono all'inefficacia del concetto di CAPTCHA, in linea di principio - e mentre sono molto d'accordo con loro, in realtà ha dato un parla a OWASP qualche mese fa spiegando proprio questo - la domanda è molto specifica, quindi fornirò una dimostrazione.
Ma prima ribadirò questa dimostrazione a parte, rileggerò gli altri commenti, poiché è vero che CAPTCHA è inutile e non utile, irrilevante per l'implementazione ....

Ma davvero, dai un'occhiata a CAPTCHA Killer . Puoi caricare un'immagine CAPTCHA e fornirà automaticamente, se non immediatamente, la risposta OCR. Fornisce anche un'API (REST, penso, ma forse anche SOAP). Personalmente ho provato numerose immagini reCAPTCHA, ed è stata effettivamente una delle più semplici (o almeno la più veloce) rotta.

AGGIORNAMENTO : il sito web di CAPTCHA Killer è ora rimosso, apparentemente sotto pressione legale. Vedi http://captcha.org/ per una panoramica completa dell'argomento.

E sì, l'OCR non è il modo migliore per rompere un sito protetto da CAPTCHA - ci sono molti altri modi migliori.

Answer 2

Potresti essere interessato a questo rapporto dettagliato su come 4chan sconfitto reCAPTCHA e usato per manipolare i risultati del sondaggio TIME 100 annuale di Time.com .

  

Hacking Recaptcha (aka & # 8216; The Penis Flood & # 8217;)

     

La tattica successiva è stata quella di vedere se potevano trovare un difetto nell'implementazione di reCAPTCHA. Una cosa che hanno scoperto su reCAPTCHA è che presenta sempre due parole a un utente per la decodifica: una parola è una parola di controllo conosciuta dal sistema reCAPTCHA, mentre l'altra è una parola sconosciuta (reCAPTCHA utilizza gli umani per correggere errori OCR). Wikipedia descrive il processo: & # 8220; Il testo digitalizzato è sottoposto ad analisi da due diversi programmi di riconoscimento ottico dei caratteri; nei casi in cui i programmi non sono d'accordo, la parola discutibile viene convertita in CAPTCHA. La parola viene visualizzata insieme a una parola di controllo già nota ed è etichettata dall'essere umano. Quelle parole che ricevono costantemente una sola etichetta dai giudici umani vengono riciclate come parole di controllo & # 8221 ;. 2iasdo4 Ciò che Anonymous si rese conto era che se avessero sempre etichettato il testo scansionato sconosciuto con la stessa parola - e se lo avessero fatto migliaia e migliaia di volte, alla fine una grande percentuale delle parole sconosciute sarebbe etichettata erroneamente con la loro parola. Tutto quello che dovevano fare era guardare le due parole nel captcha, inserire l'etichetta corretta per & # 8216; easy & # 8217; uno (presumibilmente quello su cui i due scanner ottici sarebbero d'accordo) e inserire la parola & # 8220; pene & # 8221; per quello difficile. Se lo facessero abbastanza spesso, presto una percentuale significativa delle immagini verrebbe etichettata come & # 8216; penis & # 8217; e la capacità di autovote sarebbe stata ripristinata (un effetto collaterale, che non era perso su Anonimo, era l'idea che per gli anni a venire ci sarebbero stati un certo numero di libri digitali con la parola & # 8216; pene & # 8217; inseriti casualmente in tutto aggiornamento: ho chiesto a Ben Maurer, ingegnere capo di reCAPTCHA su questo attacco del pene, Ben dice che hanno anticipato questo tipo di attacco e hanno numerose protezioni che manterranno i peni dal penetrare nella barriera reCAPTCHA.

     

Ottimizzazione di reCAPTCHA

     

Accattivante quanto l'idea di spolverare la parola & # 8216; pene & # 8217; nei messaggi, la squadra anonima sapeva che il tempo stringeva e se avessero ripristinato il messaggio non avrebbero avuto il tempo di aspettare che gli autovoter tornassero online - avrebbero dovuto votare manualmente, molti , molte volte. E quindi dovevano essere in grado di entrare in captcha il più velocemente possibile. Hanno sviluppato una serie di linee guida che hanno permesso loro di decidere rapidamente quali parole reCAPTCHA potevano saltare. Ad esempio:

     

    

Ti verranno date 2 parole: 1 reale, 1 falso.

         

Per [REAL FAKE] o [FAKE REAL] , puoi semplicemente digitare REAL e dovrebbe essere accettato.

         

Se è [LOOKSREAL LOOKSREAL] o [LOOKSFAKE LOOKSFAKE] , di solito è più veloce digitare semplicemente entrambe le parole. Non perdere tempo prezioso a decidere quale di essi è reale.

         

Usa sia l'aspetto che il tipo di parola per identificare un falso       parola. Non fare affidamento solo su uno di essi.

  

     

L'intero set di regole è qui: captcha falso .

Answer 3

Il punto debole dei sistemi CAPTCHA è che le persone hanno creato stanze piene di persone in Cina il cui unico compito è guardare un'immagine CAPTCHA e digitare il risultato, che si collega al sistema automatizzato che sta effettivamente facendo spamming.

Non puoi fare molto al riguardo.

È anche molto più economico che provare a riconoscere l'immagine, l'OCR, ecc. sull'immagine reale (potresti ottenere una risposta per meno di $ 0,01 nell'altro modo).

Answer 4

Prima di cedere alla pressione dell'uso di captcha, considera soluzioni alternative creative come avere un campo etichettato "I tuoi commenti". che è nascosto dai CSS. Se il campo viene inserito, la richiesta viene eliminata dal server. La maggior parte dei robot fallirà anche se non c'è ancora un buon modo per sconfiggere la stanza piena di lavoratori sottopagati, che captcha non aiuta comunque.

AGGIORNAMENTO : basta leggere un case study dove la rimozione di CAPTCHA ha aumentato i tassi di conversione di quasi il 10%. Ciò indicherebbe a me che è piuttosto rotto se stai perdendo il 10% dei tuoi lead solo per filtrare i robot. Immagina cosa significa il 10% per la maggior parte delle aziende.

Answer 5

Il mio captcha preferito è di Microsoft: http: // research. microsoft.com/en-us/um/redmond/projects/asirra/

  

Asirra (Immagine di specie animale   Riconoscimento per la limitazione dell'accesso)   è un HIP che funziona chiedendo agli utenti di identificare le fotografie dei gatti   e cani. Questa attività è difficile per i computer, ma il nostro utente studia   hanno dimostrato che le persone possono realizzarlo in modo rapido e preciso.   Molti addirittura pensano che sia divertente!

È un servizio gratuito e hanno un codice di esempio per iniziare.

Mi chiedo quanto tempo passerà prima che si rompa.

Answer 6

reCAPTACHA non è rotto e non lo sarà per molto tempo. Il fatto è che se si implementa il proprio captcha se è rotto, probabilmente ci vorrà molto tempo per risolverlo.

Questo è tratto dalla pagina sulla sicurezza di reCAPTCHA :

  

reCAPTCHA è un servizio Web. Questo significa   che tutte le immagini sono generate e   classificato dai nostri server. (& # 8230;) anche questo   fornisce un ulteriore livello di protezione:   i nostri CAPTCHA possono essere automaticamente   aggiornato ogni volta che una sicurezza   vulnerabilità rilevata.

     

Ad esempio, se qualcuno scrive un programma in grado di leggere il nostro distorto   immagini, possiamo aggiungere più distorsioni   pochissimo tempo, e senza Web   i maestri devono cambiare qualcosa   dalla loro parte.

Credo che, essendo specializzati in captcha, abbiano versioni migliorate archiviate, pronte per essere distribuite in poco tempo, se necessario. (Perché dovrebbero creare maggiore sicurezza quando il più debole non è ancora rotto?)

Answer 7

Non solo è stato sconfitto, ma anche un'applicazione utile è stata costruita con successo su di essa, per diventare lo strumento più sorprendente per sconfiggere tutti i tipi di protezioni per account gratuiti di un grande elenco di siti di download diretto (non solo megaupload e rapidshare).

Jdownloader è open source e scritto in Java, quindi una sbirciatina al codice sorgente può rispondere non solo se è rotto ma anche come .

Modifica : la maggior parte dei siti di download diretto non utilizza reCaptcha, ma un metodo Captcha più semplice (3 lettere maiuscole colorate con colori diversi). Ciononostante Jdownloader e Cryptload (un programma simile a Jdownloader) sono le uniche implementazioni funzionanti che so che hanno effettivamente rotto un metodo Captcha . Non ho sentito parlare di alcuna implementazione per rompere reCaptcha.

Aggiornamento : sembra che almeno un'implementazione di reCaptcha (non tutto reCaptcha stesso) è stato anche risolto .

Aggiornamento dicembre 2010 : Jdownloader sembra finalmente sconfiggendo reCaptcha . Il plug-in è ancora sperimentale e funziona solo su versioni Windows di Jdownloader, ma, come mi è stato detto da un compagno che l'ha provato, funziona.

Answer 8

C'è stato un discorso a Defcon dell'anno scorso che ha avuto problemi con i CAPTCHA in generale. Una delle cose che hanno fatto è usare più motori OCR gratuiti e farli votare le parole migliori. In questo modo, sono stati in grado di raggiungere una discreta possibilità di successo. Per un tipo, era circa il 40%, non credo che fosse reCaptcha, tuttavia.

Answer 9

• " In effetti, [reCAPTCHA] è diventato piuttosto inutile il 4 gennaio [2011] quando apparentemente gli spammer hanno messo le mani collettive su un software che elude reCAPTCHA e consente un processo di registrazione completamente automatizzato. I robot sono stati occupati, davvero molto impegnati, da allora " [1]

2-3 anni fa l'approccio basato sui tipi di testo basato sul captcha ha superato la linea quando hanno perso la battaglia, vale a dire ulteriori complicazioni li rendono relativamente (poiché la potenza del computer sta aumentando, mentre quella umana non è) più facile per le macchine e più ripugnante e repellente , se non del tutto impossibile, per l'uomo. Questo dimostra il paradigma originale di CAPTCHA come test per garantire che la risposta non sia generata da un computer

Aggiornamento:
Tieni presente che reCAPTCHA è di proprietà di Google Inc. ma Google Inc. non lo utilizza dai propri servizi.
Ecco un link che contiene una pagina web con captcha utilizzato da Google stesso / internamente per es., Per la registrazione Gmail:

---

---

Nota che reCAPTCHA di Google ha sempre 2 parole.
Ecco il link per con l'immagine di reCAPTCHA di Google offerta per essere utilizzata da altri .

E lo screenshot di reCAPTCHA:

Lascio per trarre le ovvie conclusioni a un lettore.

citati: [1]
forum vBulletin colpiti da reCAPTCHA cracking bot di spam | Blog di PC Pro
Pubblicato il 12 gennaio 2011 da Davey Winder

Answer 10

Sto vedendo i commenti del blog su un sistema protetto da reCAPTCHA in cui la pagina viene caricata e 1 secondo dopo il post è stato pubblicato correttamente. L'Utente-Agente era una sciocchezza (in questo caso particolare sosteneva di eseguire Ubuntu 9.25 / Firefox 3.8), il referrer proveniva da un sito completamente non correlato senza link a noi.

Questo è chiaramente automatizzato.

Answer 11

reCAPTCHA non è stato sconfitto. Se lo è stato, perché Google l'ha appena acquistato e ha annunciato che applicherà la tecnologia all'interno di Google per aumentare la protezione da frodi e spam per i prodotti Google?

da Google Acquires reCAPTCHA pubblicato sul blog di Google su 9/16/09:

  

In questo modo, la tecnologia unica di reCAPTCHA migliora il processo che converte le immagini scansionate in testo normale, noto come riconoscimento ottico dei caratteri (OCR). Questa tecnologia alimenta anche progetti di scansione di testo su larga scala come Google Libri e Google News Archive Search. Avere la versione testuale dei documenti è importante perché il testo normale può essere cercato, reso facilmente su dispositivi mobili e visualizzato agli utenti ipovedenti. Quindi applicheremo la tecnologia all'interno di Google non solo per aumentare la protezione da frodi e spam per i prodotti Google, ma anche per migliorare il nostro processo di scansione di libri e giornali.

Answer 12

Il modo più semplice per sconfiggere i captcha è Amazon Mechanical Turk. C'è un ragazzo di nome Kermit Welda che paga alla gente un centesimo per registrare account Hotmail, AOL e Gmail. Sono 6.000 account di posta elettronica falsi a 5 centesimi = $ 300 al giorno. Il costo per fare affari è piuttosto economico quando hai altre persone che fanno il lavoro sporco per te. Non c'è da stupirsi che i filtri antispam del nostro server vogliano rifiutare qualsiasi cosa da Hotmail.

Answer 13

AFAIK In pratica non esiste uno strumento per decifrare l'implementazione di RE-captcha, tuttavia alla fine presumo che qualcuno lo capirà.

Abbastanza divertente se qualcuno riesce a ottenerlo, l'intero progetto RE-captcha è inutile perché re-captcha ha progettato digitalizzare i libri che non possono essere eseguiti in modo automatizzato.

A proposito:

  

La debolezza dei sistemi CAPTCHA è   di cui le persone creano stanze piene   persone in Cina il cui unico lavoro è   è guardare un'immagine e digitare CAPTCHA   nel risultato, che si collega al   sistema automatizzato che sta effettivamente facendo   lo spamming.

Non puoi proteggere un sistema pensando in questo modo, è come dire "la tua applicazione web non è abbastanza sicura se il tuo host non si trova in un vecchio bunker militare, perché ora le persone possono rubare la tua macchina".

Answer 14

Esistono molti metodi usati per catturare il recaptcha. Sebbene sia difficile usare i programmi neurali abilitati per la rete netwpork per risolverli automaticamente, è possibile catturare l'immagine e avere il turk meccanico di Amazon o un programma equivalente per risolverli.

http://codemagician.wordpress.com/2010/01/ 22 / solving-recaptcha /