Tem reCaptcha sido rachado / hackeada / OCR / derrotou / quebrado? [fechadas]
https://stackoverflow.com/questions/448963
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Tem alguma métodos de programação têm sido usados ??para derrotar reCAPTCHA?
Estou interessado em ver evidências e potencialmente manifestações que reCAPTCHA em particular, tem sido tornada obsoleta pela, métodos humanless completamente automatizadas.
Para esclarecer, não à procura de soluções que envolvem seres humanos de qualquer forma, reCAPTCHA-batota se equipes encarregadas de preenchimento CAPCHAs,-seekers pornográficos, ou Mechanical Turk.
Eu também sou não procurando alternativas para reCAPTCHA, como escolher o tipo de animal, ou campos de fundo ou truques javascript.
Solução
Eu noto que quase todas as respostas aqui se relacionam com a ineficácia do conceito de CAPTCHA, em princípio - e enquanto eu muito de acordo com eles, na verdade, deu um palestra no OWASP há alguns meses explicando apenas que -. a questão é muito específica, por isso vou prever uma demonstração
Mas, primeiro, vou reiterar que a demonstração de lado, re-ler os outros comentários, já que é verdade que CAPTCHA é inútil e não é útil, não importando a implementação ....
Mas, realmente, veja CAPTCHA assassino . Você pode fazer upload de uma imagem CAPTCHA, e ele será automaticamente, se não imediatamente, fornecer a resposta OCR. Prevê também uma API (REST, eu acho, mas talvez também SOAP). Eu, pessoalmente, tentou várias imagens reCAPTCHA, e foi realmente alguns dos mais fáceis (ou pelo menos mais rápida) quebrado.
Atualizar : Site do CAPTCHA assassino está agora retirado, aparentemente sob pressão legal. Consulte http://captcha.org/ para uma visão completa do tema.
E sim, OCR não é a melhor maneira de quebrar um local protegido CAPTCHA -. Existem muitas outras maneiras melhores
Outras dicas
Você pode estar interessado em este relatório detalhado sobre como 4chan derrotado reCAPTCHA, e é usado para manipular o tempo anual da Time.com 100 resultados de Votação .
Hacking Recaptcha (aka ‘The Penis Flood’)
A próxima tática usada era para ver se eles poderiam encontrar uma falha na implementação reCAPTCHA. Uma coisa que eles descobriram sobre o reCAPTCHA é que ele sempre apresenta duas palavras para um usuário para a descodificação - uma palavra é uma palavra de controle conhecida pelo sistema reCAPTCHA, enquanto o outro é uma palavra desconhecida (reCAPTCHA usa os seres humanos a erros de ajuda correta OCR). Wikipedia descreve o processo: “O texto digitalizado é submetido a análise por dois programas de reconhecimento óptico de caracteres diferentes; nos casos em que os programas discordam, a palavra questionável é convertido em um CAPTCHA. A palavra é apresentada juntamente com uma palavra de controlo já conhecida e é etiquetado pelo humano. Aquelas palavras que são consistentemente dado uma única etiqueta por juízes humanos são reciclados como palavras de controle”. 2iasdo4 O Anonymous percebeu foi que, se eles sempre classificou o texto digitalizado desconhecido com a mesma palavra - e se eles fizeram isso milhares e milhares de vezes, eventualmente, uma grande porcentagem das palavras desconhecidas seria erroneamente com a sua palavra. Todos eles tinham que fazer era olhar para as duas palavras no captcha, digite a etiqueta apropriada para o 'fácil' um (presumivelmente que seria o único que os dois scanners ópticos concordaria em cima) e digitar a palavra “pênis” para o um disco. Se eles fizeram isso com bastante frequência, logo em seguida, uma percentagem significativa das imagens seria rotulado como 'pênis' e a capacidade de autovote seria restaurado (efeito de um lado, que não foi perdida em Anonymous, foi a noção de que para os próximos anos haveria uma série de livros digitais com a palavra 'pênis' inserido aleatoriamente ao longo do texto Update:. Eu perguntei Ben Maurer, engenheiro-chefe do reCAPTCHA sobre este ataque 'pênis inundação', Ben diz que eles já antecipou este tipo de ataque e eles têm inúmeras proteções que vai manter o pênis de penetrar a barreira reCAPTCHA.
Otimizando o reCAPTCHA
Como atraente como a noção de aspersão a palavra 'pênis' em textos, a equipe Anonymous sabia que o tempo estava passando, e se eles estavam indo para restaurar a mensagem que eles não têm tempo para esperar os autovoters para vir novamente on-line - eles estavam indo ter que votar manualmente, muitas, muitas vezes. E assim eles precisavam ser capazes de entrar captcha é tão rápido quanto podiam. Eles desenvolveram um conjunto de diretrizes que lhes permitiram decidir rapidamente quais palavras reCAPTCHA eles poderiam pular. Por exemplo:
Você será dado 2 palavras:. 1 real, 1 falso
Para
[REAL FAKE]ou[FAKE REAL], você pode simplesmente digitarREALe deve ser aceite.Se é
[LOOKSREAL LOOKSREAL]ou[LOOKSFAKE LOOKSFAKE], normalmente é apenas mais rápido para apenas digite as duas palavras. Não perca tempo precioso decidir qual deles é real.Use a aparência e o tipo de palavra para identificar um falso palavra. Não confie em apenas um deles.
Todo o conjunto de regras está aqui:. falso captcha
A fragilidade dos sistemas CAPTCHA é que as pessoas criadas salas cheias de pessoas na China, cujo único trabalho é é olhar para uma imagem CAPTCHA e digite o resultado, que liga-se o sistema automatizado que está realmente fazendo o spam.
Não há muito que possamos fazer sobre isso realmente.
Também é muito mais barato do que tentar fazer reconhecimento de imagem, OCR, etc sobre a imagem real (você pode obter uma resposta para menos de US $ 0,01 para o outro lado).
Antes de ceder à pressão do uso de captcha, considere soluções criativas, como ter um campo denominado "Seus comentários" que está oculta por CSS. Se o campo for inserido, o pedido é descartado pelo servidor. A maioria dos bots vai cair para ele mesmo que ainda não é uma boa maneira de derrotar o quarto cheio de trabalhadores mal pagos, que captcha não ajudar com qualquer maneira.
Atualizar : Basta ler a estudo de caso onde a remoção CAPTCHA aumentou as taxas de conversão em quase 10%. Isso indicaria para mim que é um pouco quebrado se você está perdendo 10% de suas ligações apenas para filtrar os bots. Imagine o que 10% significa que a maioria das empresas.
Meu captcha favorito é da Microsoft: http: // pesquisa. microsoft.com/en-us/um/redmond/projects/asirra/
Asirra (espécies de animais Imagem Reconhecimento por restringir o acesso) é um hip que funciona, pedindo aos usuários identificar fotografias de gatos e cães. Esta tarefa é difícil para computadores, mas os nossos estudos de usuários têm mostrado que as pessoas podem realizá-lo com rapidez e precisão. Muitos ainda acham que é divertido!
É um serviço gratuito e eles têm código de exemplo para você começar.
Gostaria de saber quanto tempo será antes que ele está rachada.
reCAPTACHA não está quebrado e não será por muito tempo. A coisa é, se você implementar seu próprio captcha se ele está quebrado, provavelmente leva um longo tempo para corrigi-lo.
Este é retirado do href="http://recaptcha.net/security.html" página sobre reCAPTCHA de segurança:
reCAPTCHA é um serviço Web. Que significa que todas as imagens são geradas e classificadas pelos nossos servidores. (...) isso também fornece um nível extra de proteção: nossos CAPTCHAs podem ser automaticamente atualizado sempre que uma segurança vulnerabilidade é encontrada.
Por exemplo, se alguém escreve um programa que pode ler a nossa distorcida imagens, podemos adicionar mais distorções no muito pouco tempo, e sem Web mestres ter que mudar qualquer coisa em seu lado.
Eu acredito que eles são especializados em captchas eles têm versões melhoradas armazenado, pronto para ser implantado em pouco tempo, se necessário. (Por que eles deveriam criar uma segurança mais forte quando o mais fraco ainda não está quebrado?)
Não só tem sido derrotado, mas também uma aplicação útil foi construída com sucesso em cima dela, a tornou a ferramenta mais surpreendente para derrotar todos os tipos de-conta livre proteções de uma grande lista de sites de download diretos (não só megaupload e rapidshare).
Jdownloader é open source e escrito em Java para uma espiada no código fonte pode responder não só se for quebrado , mas também como .
Editar : A maioria dos sites de download diretos não usar o reCAPTCHA, mas um método de Captcha mais simples (3 letras maiúsculas coloridas em cores diferentes). No entanto Jdownloader e Cryptload (um programa semelhante ao Jdownloader) são as implementações única de trabalho que eu sei que efetivamente ter quebrado um método de Captcha . Eu não ouvi falar de qualquer implementação de crack reCaptcha.
Atualizar : Parece que pelo menos uma implementação de reCaptcha (todo não em si reCaptcha) foi rachado também .
Atualização de dezembro 2010 : Jdownloader parece finalmente a ser derrotando reCaptcha . O plugin é ainda experimental e só funciona em versões Windows do Jdownloader, mas, como já foi dito por um companheiro que tentou fazê-lo, ela não funciona.
Houve um discurso na Defcon ano passado que entrou em problemas com CAPTCHAs em geral. Uma das coisas que eles fizeram é usar vários motores de OCR livre e eles tinham votar as melhores palavras. Fazendo isso, eles foram capazes de alcançar uma chance um pouco decente de sucesso. Para um tipo, que era de 40% ou menos, eu não acho que foi reCaptcha, no entanto.
- " na verdade, ele [reCAPTCHA] tornou-se bastante inútil em 04 de janeiro [2011] quando spammers, aparentemente, tem suas mãos coletivas em um pedaço de software que contorna reCAPTCHA e permite um processo de registo totalmente automatizado. Os bots têm sido ocupado, muito ocupado, de fato, desde que " [1]
2-3 anos atrás, o texto-digitação captchas abordagem baseada transgrediram a linha quando perderam sua batalha, ou seja, mais complicações apenas torná-los relativamente (desde alimentação do computador está aumentando, enquanto humano não é) mais fácil para máquinas e mais repugnante e repelindo , se não completamente impossível, para os seres humanos. Este contadicts a paradigma original CAPTCHA como um teste para garantir que a resposta não é gerada por um computador
Update:
Note-se que reCAPTCHA é propriedade de Google Inc. mas Google Inc. não usá-lo por seus próprios serviços.
Aqui está um link containg página com captcha usado pelo próprio Google / internamente por ex, para registro Gmail:.
Note que reCAPTCHA sempre tem 2 palavras.
do Google
Aqui está o link para a imagem com reCAPTCHA da Google se ofereceu para ser usado por outros .
E imagem de reCAPTCHA:
deixo de fazer as conclusões óbvias para um leitor.
Citado:
[1]
Fórum vBulletin atingido por reCAPTCHA craqueamento de spam bot | PC blogue Pro
Postado em 12 janeiro de 2011 por Davey Winder
Eu estou vendo os comentários do blog em um sistema protegido por reCAPTCHA onde a página é carregada e 1 segundo depois da mensagem ter sido feita com sucesso. O User-Agent era um absurdo (neste caso particular, alegou estar rodando Ubuntu 9.25 / Firefox 3.8), a referência era de um site completamente alheios sem link para nós.
Este é claramente automatizado.
reCAPTCHA não foi derrotado. Se tivesse sido, então por que o Google apenas comprá-lo e anunciar que estará aplicando a tecnologia dentro do Google para aumentar a fraude e proteção contra spam para produtos Google?
Google adquire reCAPTCHA enviada para o Google Blog sobre 9/16/09:
Desta forma, a tecnologia exclusiva da reCAPTCHA melhora o processo que converte imagens digitalizadas em texto simples, conhecido como Reconhecimento Óptico de Caracteres (OCR). Esta tecnologia também poderes projetos de digitalização de texto de grande escala como o Google Books e Google News Archive Search. Ter a versão de texto de documentos é importante porque texto simples podem ser pesquisados, facilmente processado em dispositivos móveis e exibido para usuários com deficiência visual. Então, vamos estar aplicando a tecnologia do Google não só para aumentar a fraude e proteção contra spam para produtos do Google, mas também para melhorar os nossos livros e processo de digitalização jornal.
A maneira mais fácil de derrotar Captchas é Amazon Mechanical Turk. Há um cara chamado Kermit Welda quem paga as pessoas um níquel cada para registrar contas Hotmail, AOL e Gmail. Isso é 6.000 contas de e-mail falso em 5 centavos = $ 300 por dia. O custo de fazer negócios é muito barato quando você tem outras pessoas fazer o trabalho sujo para você. filtros de spam Não admira nosso do servidor pretende rejeitar qualquer coisa de Hotmail.
AFAIK Na prática não há nenhuma ferramenta de crack implementação RE-captcha, no entanto, eventualmente, eu supor que alguém vai buscá-la.
Engraçado o suficiente, se alguém consegue obtê-lo, em seguida, todo o projeto RE-captcha é inútil, porque re-captcha projetado digitalizar livros que não pode ser feito de forma automatizada.
BTW:
A fragilidade dos sistemas CAPTCHA é que as pessoas configurar salas cheias de pessoas na China, cujo único trabalho é é olhar para uma imagem CAPTCHA e tipo no resultado, que se encaixa na sistema automatizado que está realmente fazendo o spam.
Você não pode garantir um sistema de pensamento como esse, isso é como dizer "a sua aplicação web não é suficiente seguro se o seu host não está em um bunker militar de idade, porque agora as pessoas podem roubar sua máquina".
Existem muitos métodos que são usados ??para recaptcha porcaria. Embora a sua difícil de usar netwpork neural habilitado programas para resolver automaticamente-los, é possível para agarrar a imagem e ter da Amazon Mechanical Turk ou algum programa equivalente a resolvê-los.
http://codemagician.wordpress.com/2010/01/ 22 / resolução de recaptcha /
