Была ли reCAPTCHA взломана / распознана / побеждена / сломана?[закрыто]
https://stackoverflow.com/questions/448963
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Использовались ли какие-либо методы программирования для уничтожения reCAPTCHA?
Мне интересно увидеть доказательства и, возможно, демонстрации того, что reCAPTCHA, в частности, устарела полностью автоматизированными, без участия человека методами.
Чтобы прояснить, не ищете решения для обмана рекапчи, которые каким-либо образом вовлекают людей, будь то команды, которым поручено заполнять капчи, любители порно или Mechanical Turk.
Я тоже не ищу альтернативы reCAPTCHA, например, выбор типа животного, или фоновых полей, или хитрости javascript.
Решение
Я замечаю, что почти все ответы здесь касаются неэффективности концепция из CAPTCHA, в принципе - и хотя я очень сильно согласен с ними, на самом деле дал поговорите в OWASP несколько месяцев назад объясняя только это - вопрос очень конкретный, поэтому я предоставлю для демонстрации.
Но сначала я повторю, что демонстрация отложена в сторону, перечитайте другие комментарии, поскольку это правда, что CAPTCHA бессмысленна и бесполезна, не имеет отношения к реализации....
Но на самом деле, зацените Убийца КАПЧИ.Вы можете загрузить изображение CAPTCHA, и оно автоматически, если не сразу, выдаст ответ OCR'd.Он также предоставляет API (REST, я думаю, но, возможно, также SOAP).Я лично перепробовал множество изображений reCAPTCHA, и на самом деле это были одни из самых простых (или, по крайней мере, самых быстрых) взломанных.
Обновить:Веб-сайт CAPTCHA Killer в настоящее время закрыт, по-видимому, под давлением закона.Видишь http://captcha.org/ для получения полного обзора темы.
И да, распознавание текста - не лучший способ взломать сайт, защищенный КАПЧЕЙ, - есть много других способов получше.
Другие советы
Возможно, вас заинтересует этот подробный отчет о том, как 4chan победил reCAPTCHA и использовал его для манипулирования Time.com ежегодные результаты опроса TIME 100.
Взлом Recaptcha (он же ‘The Penis Flood’)
Следующая использованная тактика состояла в том, чтобы посмотреть, смогут ли они найти недостаток в реализации reCAPTCHA.Одна вещь, которую они обнаружили в reCAPTCHA, заключалась в том, что она всегда предоставляет пользователю для расшифровки два слова - одно слово является управляющим словом, известным системе reCAPTCHA, в то время как другое - неизвестное слово (reCAPTCHA использует людей для исправления ошибок распознавания текста).Википедия описывает этот процесс:“Отсканированный текст подвергается анализу двумя различными программами оптического распознавания символов;в случаях, когда программы расходятся во мнениях, сомнительное слово преобразуется в КАПЧУ.Слово отображается вместе с уже известным управляющим словом и помечается человеком.Те слова, которым судьи-люди последовательно присваивают единый ярлык, перерабатываются в качестве контрольных слов”.2iasdo4 Что осознали анонимы, так это то, что если бы они всегда помечали неизвестный отсканированный текст одним и тем же словом - и если бы они делали это тысячи и тысячи раз, в конечном итоге большой процент неизвестных слов был бы неправильно помечен их словом.Все, что им нужно было сделать, это посмотреть на два слова в captcha, ввести соответствующую метку для ‘простого’ (предположительно, это будет тот, который согласуют два оптических сканера) и ввести слово “пенис” для жесткого.Если бы они делали это достаточно часто, то вскоре значительный процент изображений был бы помечен как ‘пенис’, и была бы восстановлена возможность автоматического добавления комментариев (одним из побочных эффектов, который не был утерян Anonymous, было представление о том, что в ближайшие годы появится множество цифровых книг со словом ‘пенис’, случайным образом вставленным по всему тексту.Обновить:Я спросил Бена Маурера, главного инженера reCAPTCHA, об этой атаке ‘penis flood‘, Бен говорит, что они предвидели этот тип атаки и у них есть многочисленные средства защиты, которые не позволят пенисам проникнуть через барьер reCAPTCHA.
Оптимизация рекапчи
Какой бы привлекательной ни была идея добавить слово ‘пенис’ в текстовые сообщения, команда Anonymous знала, что часы тикают, и если они собирались восстановить Сообщение, у них не было времени ждать, пока автоответчики вернутся в Сеть - им придется голосовать вручную, много-много раз.И поэтому им нужно было иметь возможность вводить captcha как можно быстрее.Они разработали набор рекомендаций, которые позволили им быстро решить, какие слова reCAPTCHA они могут пропустить.Например:
Вам будет дано 2 слова:1 настоящий, 1 поддельный.
Для
[REAL FAKE]или[FAKE REAL], вы можете просто ввести вREALи это должно быть принято.Если это
[LOOKSREAL LOOKSREAL]или[LOOKSFAKE LOOKSFAKE], обычно просто быстрее просто ввести оба слова.Не тратьте драгоценное время на то, чтобы решить, какой из них настоящий.Используйте как внешний вид, так и тип слова, чтобы идентифицировать подделку слово.Не полагайтесь только на один из них.
Весь набор правил находится здесь: поддельная капча.
Слабость систем CAPTCHA заключается в том, что в Китае люди создают комнаты, полные людей, чья единственная задача - смотреть на изображение CAPTCHA и вводить результат, который подключается к автоматизированной системе, которая на самом деле занимается рассылкой спама.
На самом деле вы мало что можете с этим поделать.
Это также намного дешевле, чем пытаться выполнить распознавание изображений, распознавание текста и т.д. На самом изображении (другим способом вы можете получить ответ менее чем за 0.01 доллара).
Прежде чем поддаваться давлению при использовании captcha, рассмотрите творческие обходные пути, такие как создание поля с надписью "Ваши комментарии", скрытого CSS.Если поле введено, запрос отбрасывается сервером.Большинство ботов клюнут на это, даже если все еще не существует хорошего способа победить комнату, полную низкооплачиваемых работников, с которыми captcha все равно не помогает.
Обновить:Просто прочтите тематическое исследование где удаление CAPTCHA увеличило коэффициент конверсии почти на 10%.Для меня это указывало бы на то, что это довольно проблематично, если вы теряете 10% своих лидов только для того, чтобы отфильтровать ботов.Представьте, что 10% означает для большинства компаний.
Моя любимая капча от Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/
Asirra (Изображение вида животных Распознавание для ограничения доступа) это HIP, который работает, прося пользователей идентифицировать фотографии кошек и собак.Эта задача сложна для компьютеров, но наши исследования пользователей показали, что люди могут выполнить ее быстро и точно.Многие даже думают, что это весело!
Это бесплатный сервис, и у них есть пример кода, который поможет вам начать.
Интересно, сколько времени пройдет, прежде чем она треснет.
reCAPTACHA не сломана и не будет сломана в течение очень долгого времени.Дело в том, что если вы внедрите свою собственную капчу, если она сломана, вероятно, потребуется много времени, чтобы ее исправить.
Это взято из страница о безопасности reCAPTCHA:
reCAPTCHA - это веб-сервис.Это означает, что все изображения генерируются и сортируются нашими серверами.(...) это также обеспечивает дополнительный уровень защиты:наши CAPTCHA могут автоматически обновляться всякий раз, когда обнаруживается уязвимость в системе безопасности .
Например, если кто-то напишет программу, которая может считывать наши искаженные изображения, мы сможем добавить больше искажений за очень короткое время, и без Интернета мастерам приходится что-либо менять на своей стороне.
Я полагаю, что поскольку они специализируются на captcha, у них хранятся улучшенные версии, готовые к развертыванию в кратчайшие сроки, если потребуется.(Зачем им создавать более надежную защиту, если более слабая еще не нарушена?)
Она не только потерпела поражение, но и полезное приложение был успешно построен поверх него, чтобы стать самым удивительным инструментом для преодоления всех видов защиты бесплатных учетных записей большого списка сайтов прямого скачивания (не только megaupload и rapidshare).
Jdownloader - Загрузчик является открытым исходным кодом и написан на Java, так что взгляните на исходный код могу ответить не только если он сломан но также как.
Редактировать:Большинство сайтов прямой загрузки используют не reCAPTCHA, а более простой метод Captcha (3 заглавные буквы, окрашенные в разные цвета).Тем не менее Jdownloader и Криптозагрузка (программа, похожая на Jdownloader) - это единственные известные мне рабочие реализации, которые эффективно нарушили метод Captcha.Я не слышал о какой-либо реализации для взлома reCAPTCHA.
Обновить:Похоже, что по крайней мере одна реализация reCAPTCHA (не вся сама reCAPTCHA) тоже был взломан.
Обновление Декабрь 2010:Jdownloader - Загрузчик кажется, наконец-то мы побеждаем reCAPTCHA.Плагин все еще экспериментальный и работает только на Windows-версиях Jdownloader, но, как мне сказал приятель, который его попробовал, он действительно работает.
Там был выступление на Defcon в прошлом году это привело к проблемам с CAPTCHA в целом.Одна из вещей, которые они сделали, - это использовали несколько бесплатных движков распознавания текста и попросили их проголосовать за лучшие слова.Сделав это, они смогли добиться довольно приличных шансов на успех.Для одного вида она составляла 40% или около того, хотя я не думаю, что это была reCAPTCHA.
- "На самом деле, это [reCAPTCHA] стало довольно бесполезным на 4 Января [2011] когда спамеры, по-видимому, получили в свои коллективные руки программное обеспечение, которое обходит reCAPTCHA и позволяет полностью автоматизировать процесс регистрации.С тех пор боты были заняты, действительно очень заняты". [ 1 ]
2-3 года назад подход captchas, основанный на наборе текста, перешел границы дозволенного, когда они проиграли битву, т. е.дальнейшие осложнения просто делают их относительно (поскольку компьютерная мощность растет, а человеческая - нет) более простыми для машин и более отвратительными, если не совсем невозможными, для людей.Это противоречит первоначальной парадигме CAPTCHA как тест, чтобы убедиться, что ответ не сгенерирован компьютером
Обновить:
Обратите внимание , что Рекапча принадлежит Google Inc. но Google Inc. не использует его с помощью своих собственных сервисов.
Вот ссылка, содержащая веб-страницу с captcha, используемой самим Google / внутренне например, для регистрации в Gmail:
Обратите внимание, что Google Рекапча всегда имеет 2 слова.
Вот ссылка для изображение с Google reCAPTCHA, предлагаемое для использования другими пользователями.
И скриншот reCAPTCHA:
Я предоставляю сделать очевидные выводы читателю.
Цитируемый:[ 1 ]
На форумах vBulletin появился спам-бот для взлома reCAPTCHA | PC Pro blog
Размещенный на 12 января 2011 автор : Дэйви Уиндер
Я вижу комментарии в блоге в системе, защищенной reCAPTCHA, где страница загружается, и через 1 секунду сообщение было сделано успешно.Пользовательский агент был бессмыслицей (в данном конкретном случае он утверждал, что работает под управлением Ubuntu 9.25 / Firefox 3.8), реферер был с совершенно не связанного сайта без ссылки на нас.
Это явно автоматизировано.
reCAPTCHA не была побеждена.Если бы это было так, то почему Google просто купила его и объявила, что будет применять технологию в Google для повышения защиты продуктов Google от мошенничества и спама?
От Google приобретает reCAPTCHA опубликовано в блоге Google 16.09.09:
Таким образом, уникальная технология reCAPTCHA улучшает процесс преобразования отсканированных изображений в обычный текст, известный как оптическое распознавание символов (OCR).Эта технология также поддерживает крупномасштабные проекты сканирования текста, такие как Google Books и Google News Archive Search.Наличие текстовой версии документов важно, потому что обычный текст можно искать, легко отображать на мобильных устройствах и показывать пользователям с ослабленным зрением.Таким образом, мы будем применять эту технологию в Google не только для повышения защиты продуктов Google от мошенничества и спама, но и для улучшения процесса сканирования наших книг и газет.
Самый простой способ победить капчу - это Amazon Mechanical Turk.Есть парень по имени Кермит Вельда, который платит людям по пятицентовику за регистрацию аккаунтов Hotmail, AOL и Gmail.Это 6000 поддельных учетных записей электронной почты по цене 5 центов = 300 долларов в день.Затраты на ведение бизнеса довольно дешевы, когда вы поручаете другим людям выполнять за вас грязную работу.Неудивительно, что спам-фильтры нашего сервера хотят отклонять все, что поступает из Hotmail.
AFAIK На практике нет инструмента для взлома повторной реализации captcha, однако в конечном итоге я предполагаю, что кто-то его получит.
Забавно, но если кому-то удастся это получить, то весь проект по замене капчи станет бессмысленным, потому что программа re-captcha предназначена для оцифровки книг, что невозможно сделать автоматизированным способом.
КСТАТИ :
Слабость систем CAPTCHA заключается в том, что люди создают комнаты, полные людей в Китае, чья единственная работа заключается в том, чтобы смотреть на изображение CAPTCHA и вводить его в результате, которое подключается к автоматизированная система, которая на самом деле занимается рассылкой спама.
Вы не можете обезопасить систему, думая подобным образом, это все равно что сказать: "ваше веб-приложение недостаточно безопасно, если ваш хост не находится в старом военном бункере, потому что теперь люди могут украсть вашу машину".
Существует множество методов, которые используются для того, чтобы испортить recaptcha.Несмотря на сложность использования программ с поддержкой neural netwpork для автоматического их решения, можно взять изображение и использовать amazon mechanical turk или какую-либо эквивалентную программу для их решения.
http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/
