reCaptcha가 크랙/해킹/OCR 처리/패배/깨졌나요?[닫은]

Question

reCAPTCHA를 무력화하기 위해 프로그래밍 방법이 사용되었습니까?

저는 특히 reCAPTCHA가 완전히 자동화되고 사람이 필요 없는 방법으로 인해 쓸모 없게 되었다는 증거와 잠재적인 시연을 보고 싶습니다.

명확히 하기 위해, ~ 아니다 CAPCHA 작성을 담당하는 팀, 포르노를 찾는 사람, Mechanical Turk 등 어떤 방식으로든 인간을 포함하는 reCAPTCHA 부정 행위 솔루션을 찾고 있습니다.

나는 또한 해요 ~ 아니다 동물 유형 선택, 배경 필드 선택, 자바스크립트 속임수 등 reCAPTCHA에 대한 대안을 찾고 있습니다.

Answer 1

나는 여기서 거의 모든 답이 개념 CARTCHA의 원칙적으로 - 그리고 나는 그들과 매우 동의하지만 실제로는 OWASP에서 이야기하십시오 몇 개월 전에 그것을 설명합니다 - 질문은 매우 구체적이므로 데모를 제공 할 것입니다.
그러나 먼저, 나는 그 시연을 제쳐두고 다른 의견을 다시 읽을 것입니다. 보안관이 무의미하고 도움이되지 않고, 구현과 관련이 없다는 것은 진실이기 때문입니다 ....

그러나 실제로 체크 아웃하십시오 CARTCHA KILLER. 보안 문자 이미지를 업로드 할 수 있으며 즉시 그렇지 않더라도 OCR'D의 답변을 제공합니다. 그것은 또한 API를 제공합니다 (휴식은 생각하지만 비누도 생각합니다). 나는 개인적으로 수많은 Recaptcha 이미지를 시도했으며 실제로 가장 쉬운 것 중 일부 (또는 적어도 가장 빠른) 이미지 중 일부였습니다.

업데이트: Captcha Killer의 웹 사이트는 이제 법적 압력을 받고 분명히 철회되었습니다. 보다 http://captcha.org/ 주제에 대한 완전한 개요.

그렇습니다. OCR은 보안관 보호 사이트를 깨는 가장 좋은 방법이 아닙니다. 다른 많은 방법이 있습니다.

Answer 2

당신은 관심이있을 수 있습니다 4chan이 어떻게 Recaptcha를 물리 치고 그것을 사용하여 Time.com의 연간 시간 100 설문 조사 결과를 조작하는 방법에 대한 자세한 보고서.

해킹 리 캡처 (일명 '음경 홍수')

다음 전술은 그들이 찰과 구현에서 결함을 찾을 수 있는지 확인하는 것이 었습니다. 그들이 Recaptcha에 대해 발견 한 한 가지는 항상 디코딩을 위해 사용자에게 두 단어를 제시한다는 것입니다. 한 단어는 Recaptcha 시스템에서 알려진 제어 단어이며 다른 단어는 알려지지 않은 단어입니다 (Recaptcha는 인간을 사용하여 OCR 오류를 수정합니다). Wikipedia는 다음 과정을 설명합니다.“스캔 된 텍스트는 두 가지 다른 광학 문자 인식 프로그램에 의해 분석됩니다. 프로그램이 동의하지 않는 경우, 의심스러운 단어는 보안 문자로 변환됩니다. 이 단어는 이미 알려진 통제 단어와 함께 표시되며 인간이 표시합니다. 인간 판사들에 의해 일관되게 단일 레이블이 주어진 단어는 통제 단어로 재활용됩니다.” 2ISDO4 익명으로 깨달은 것은 그들이 항상 같은 단어로 알려지지 않은 스캔 텍스트에 레이블을 붙인 경우 - 그들이 수천, 수천 번을했다면 결국 알 수없는 단어의 많은 비율이 그들의 단어와 오해 될 것입니다. 그들이해야 할 일은 보안 문자의 두 단어를 보는 것이었고, '쉬운'에 대한 적절한 레이블을 입력하는 것입니다 (아마도 두 광학 스캐너가 동의 할 것입니다). 어려운 것. 그들이 이것을 충분히 자주했다면, 곧 이미지의 상당 부분이 '음경'으로 표시 될 것이며 오토 봇의 능력이 복원 될 것입니다 (한 가지 부작용, 익명에서는 잃어버린 것은 없으며 앞으로 몇 년 동안 오는 개념이었습니다. 텍스트 전체에 '음경'이라는 단어가있는 여러 디지털 서적이있을 것입니다. 텍스트 전체에 무작위로 삽입되었습니다. 업데이트 : 나는이 '음경 홍수'공격에 대해 Recaptcha의 수석 엔지니어 인 Ben Maurer에게 물었습니다. Ben은 이러한 유형의 공격을 예상했다고 말했습니다. 그리고 그들은 페니스가 캡처 장벽을 관통하는 것을 막을 수있는 수많은 보호를 가지고 있습니다.

리 캡처 최적화

익명의 팀은 '음경'이라는 단어를 텍스트로 뿌려야한다는 개념으로 호소력이있는 것처럼, 익명 팀은 시계가 똑딱 거리고 있음을 알았으며, 메시지를 복원하려면 자동 복구기가 온라인으로 돌아올 때까지 기다릴 시간이 없었습니다. 그들은 수동으로, 여러 번 수동으로 투표해야했습니다. 그래서 그들은 가능한 한 빨리 Captcha를 입력 할 수 있어야했습니다. 그들은 건너 뛸 수있는 찰경 단어를 신속하게 결정할 수있는 일련의 지침을 개발했습니다. 예를 들어:

당신은 두 단어가 주어집니다 : 1 진짜, 1 가짜.

을 위한 [REAL FAKE] 또는 [FAKE REAL], 당신은 만 입력 할 수 있습니다 REAL 그리고 그것은 받아 들여야합니다.

그렇다면 [LOOKSREAL LOOKSREAL] 또는 [LOOKSFAKE LOOKSFAKE], 일반적으로 두 단어를 모두 입력하는 것이 더 빠릅니다. 그들 중 하나가 진짜인지 결정하는 데 귀중한 시간을 낭비하지 마십시오.

모양과 단어의 유형을 모두 사용하여 가짜 단어를 식별하십시오. 그들 중 하나에 의존하지 마십시오.

전체 규칙 세트가 여기에 있습니다. 가짜 보안관.

Answer 3

보안관 시스템의 약점은 사람들이 중국에있는 사람들로 가득 찬 방을 설치 한 것입니다.

당신이 정말로 그것에 대해 할 수있는 일은 많지 않습니다.

실제 이미지에서 이미지 인식, OCR 등을 시도하는 것보다 훨씬 저렴합니다 (다른 방법으로 $ 0.01 미만의 응답을 얻을 수 있습니다).

Answer 4

보안 문자 사용 압력을 받기 전에 CSS에 의해 숨겨진 "귀하의 의견"이라는 필드를 표시하는 것과 같은 창의적인 해결 방법을 고려하십시오. 필드가 입력되면 요청이 서버에 의해 삭제됩니다. 보트 샤는 어쨌든 도움이되지 않는 저임금 노동자들로 가득 찬 방을 물리 칠 수있는 좋은 방법이 없어도 대부분의 봇이 떨어질 것입니다.

업데이트: 그냥 읽으십시오 사례 연구 보안관을 제거하는 경우 전환율이 거의 10%증가했습니다. 그것은 당신이 봇을 걸러 내기 위해 리드의 10%를 잃어 버리면 다소 깨 졌다는 것을 나타냅니다. 대부분의 비즈니스에 10%가 무엇을 의미하는지 상상해보십시오.

Answer 5

내가 가장 좋아하는 보안관은 Microsoft의 것입니다. http://research.microsoft.com/en-us/um/redmond/projects/asirra/

ASIRRA (액세스 제한을위한 동물 종 이미지 인식)는 사용자가 고양이와 개 사진을 식별하도록 요청함으로써 작동하는 엉덩이입니다. 이 작업은 컴퓨터에게는 어렵지만 사용자 연구에 따르면 사람들이 신속하고 정확하게 달성 할 수 있음을 보여주었습니다. 많은 사람들은 그것이 재미 있다고 생각합니다!

무료 서비스이며 시작할 수있는 예제 코드가 있습니다.

나는 그것이 금이 가기 전에 얼마나 오래 걸릴지 궁금합니다.

Answer 6

Recaptacha는 부러지지 않았고 오랫동안 오랫동안 그렇지 않습니다. 문제는 자신의 보안관이 고장난 경우 자신의 보안관을 구현하면 아마도 그것을 고치는 데 오랜 시간이 걸릴 것입니다.

이것은에서 가져옵니다 Recaptcha 보안에 관한 페이지:

Recaptcha는 웹 서비스입니다. 즉, 모든 이미지가 서버에서 생성되고 등급이 매겨집니다. (…) 이것은 또한 추가 수준의 보호를 제공합니다. 보안 취약점이 발견 될 때마다 보안 문자를 자동으로 업데이트 할 수 있습니다.

예를 들어, 누군가가 왜곡 된 이미지를 읽을 수있는 프로그램을 작성하면, 우리는 거의 시간에 더 많은 왜곡을 추가 할 수 있습니다. 웹 마스터가 자신의 편을 바꿔야하지 않으면.

나는 그들이 보안관들에 대해 전문화되어 있기 때문에 그들이 개선 된 버전을 저장했으며, 필요한 경우 적은 시간에 배치 할 준비가되어 있다고 생각합니다. (약한 사람이 아직 깨지지 않을 때 왜 더 강력한 보안을 만들어야합니까?)

Answer 7

패배했을 뿐만 아니라, 유용한 응용 프로그램 는 그 위에 성공적으로 구축되어 대규모 직접 다운로드 사이트 목록(메가업로드 및 rapidshare뿐만 아니라)의 모든 종류의 무료 계정 보호를 무력화하는 가장 놀라운 도구가 되었습니다.

J다운로더 오픈 소스이며 Java로 작성되었으므로 소스 코드 대답할 수 있을 뿐만 아니라 깨진 경우 뿐만 아니라 어떻게.

편집하다:대부분의 직접 다운로드 사이트는 reCaptcha를 사용하지 않고 보다 간단한 Captcha 방법(다른 색상으로 표시된 대문자 3개)을 사용합니다.그럼에도 불구하고 Jdownloader와 암호화폐 (Jdownloader와 유사한 프로그램)은 Captcha 방법을 효과적으로 깨뜨린 것으로 제가 아는 유일한 작동 구현입니다.reCaptcha를 크랙하는 구현에 대해 들어본 적이 없습니다.

업데이트:적어도 하나의 reCaptcha 구현(전체 reCaptcha 자체는 아님)이 있는 것 같습니다. 역시 깨졌어.

2010년 12월 업데이트:J다운로더 드디어 reCaptcha를 물리친 것 같습니다.이 플러그인은 아직 실험적이며 Windows 버전의 Jdownloader에서만 작동하지만, 사용해 본 친구의 말에 따르면 작동합니다.

Answer 8

거기있었습니다 작년 Defcon에서 연설 그것은 일반적으로 보안관의 문제에 빠졌습니다. 그들이 한 일 중 하나는 여러 무료 OCR 엔진을 사용하고 최고의 단어에 투표 한 것입니다. 이렇게하면서 그들은 성공할 가능성이 다소 괜찮은 기회를 얻을 수있었습니다. 한 종류의 경우 40% 정도 였지만, 나는 그것이 찰경이라고 생각하지 않습니다.

Answer 9

• "사실, 그것은 [Recaptcha]가 꽤 쓸모 없게되었습니다. ~에 1 월 4 일 [2011 년 스패머가 분명히 Recaptcha를 우회하고 완전 자동화 된 등록 프로세스를 허용하는 소프트웨어에 집단 손을 넣었을 때. 봇은 바쁘고, 정말 바빴습니다. [ 1 ]

2-3 년 전 텍스트 유형 기반의 보안관 접근 방식은 전투를 잃었을 때 라인을 침입했습니다. 즉, 더 많은 합병증은 기계의 경우 컴퓨터 전력이 증가하고있는 동안 컴퓨터 전력이 증가하고 있지 않기 때문에 더 쉽고 반복적이고 반발하지 않으면 비교적 합병증을 만듭니다. 인간에게는 완전히 불가능합니다. 이 콘텐츠는 원래의 패러다임으로 컴퓨터에 의해 응답이 생성되지 않도록 테스트로서 CAPTCHA

업데이트:
주목하십시오 recaptcha 소유합니다 Google Inc. 하지만 Google Inc. 자신의 서비스로 사용하지 않습니다.
다음은 Google 자체가 사용하는 CAPTCHA와 함께/내부적으로 링크 콘테이션 웹 페이지입니다. Ex.의 경우 Gmail 등록 :

---

---

Google의 주목하십시오 recaptcha 항상 두 단어가 있습니다.
다음은 링크입니다 Google의 Recaptcha가 다른 사람들이 사용하도록 제안한 이미지.

그리고 Recaptcha의 스크린 샷 :

나는 독자에게 명백한 결론을 내기 위해 떠난다.

인용 : [1
recaptcha cracking spam bot | PC Pro 블로그
게시 2011 년 1 월 12 일 Davey Winder에 의해

Answer 10

나는 페이지로드와 1 초 후에 게시물이 성공적으로 만들어진 Recaptcha에 의해 보호되는 시스템에 대한 블로그 댓글을보고 있습니다. 사용자 에이전트는 넌센스 (이 특별한 경우 Ubuntu 9.25/Firefox 3.8을 실행한다고 주장), 추천자는 우리와 링크가없는 완전히 관련이없는 사이트에서 나왔습니다.

이것은 명확하게 자동화됩니다.

Answer 11

Recaptcha는 패배하지 않았습니다. 그렇다면 왜 Google이 구매하고 Google 제품에 대한 사기 및 스팸 보호를 늘리기 위해 Google 내에서 기술을 적용 할 것이라고 발표 했습니까?

~에서 Google은 Recaptcha를 인수합니다 9/16/09에 Google 블로그에 게시 됨 :

이러한 방식으로 Recaptcha의 고유 한 기술은 스캔 된 이미지를 광학 문자 인식 (OCR)으로 알려진 일반 텍스트로 변환하는 프로세스를 향상시킵니다. 이 기술은 또한 Google Books 및 Google News Archive Search와 같은 대규모 텍스트 스캔 프로젝트를 강화합니다. 일반 텍스트를 검색하고 모바일 장치에서 쉽게 렌더링하고 시각 장애가있는 사용자에게 표시 될 수 있기 때문에 문서의 텍스트 버전이 중요합니다. 따라서 Google 제품에 대한 사기 및 스팸 보호를 늘릴뿐만 아니라 책 및 신문 스캔 프로세스를 개선하기 위해 Google 내에서 기술을 적용 할 것입니다.

Answer 12

보안관을 물리 치는 가장 쉬운 방법은 Amazon Mechanical Turk입니다. Kermit Welda라는 사람이 사람들에게 hotmail, aol 및 gmail 계정을 등록하기 위해 각각 니켈을 지불합니다. 5 센트의 6,000 개의 가짜 이메일 계정 = 하루에 $ 300입니다. 다른 사람들이 당신을 위해 더러운 일을 할 때 사업을하는 데 드는 비용은 매우 저렴합니다. 우리 서버의 스팸 필터가 Hotmail에서 아무것도 거부하고 싶어하는 것은 당연합니다.

Answer 13

Afaik 실제로 Re-Captcha 구현을 깨뜨리는 도구는 없지만 결국 누군가가 그것을 얻을 것이라고 생각합니다.

누군가가 그것을 얻을 수 있다면 충분히 재밌습니다. RE-CAPTCHA는 자동화 된 방식으로 수행 할 수없는 디지털 책을 디자인했기 때문에 전체 Re-Captcha 프로젝트는 무의미합니다.

BTW :

보안관 시스템의 약점은 사람들이 중국에있는 사람들로 가득 찬 방을 설치 한 것입니다.

당신은 그런 생각을 보장 할 수 없습니다. 이것은 "호스트가 오래된 군사 벙커에 있지 않으면 웹 응용 프로그램이 충분히 안전하지 않다고 말하는 것과 같습니다. 이제 사람들은 당신의 기계를 훔칠 수 있기 때문입니다."

Answer 14

Recaptcha를 쓰러 뜨리는 데 사용되는 많은 방법이 있습니다. 신경 netwpork를 사용하기가 어렵지만 프로그램을 자동으로 해결할 수 있었지만 이미지를 가져오고 아마존의 기계적 터크 또는 이와 동등한 프로그램을 해결할 수 있습니다.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/