Чи було зламано / зламано reCaptcha / OCR'd / переможений / зламаний? [зачинено]

Чи використовувались якісь методи програмування, щоб перемогти reCAPTCHA?

Мені цікаво бачити докази та потенційно демонструвати, що зокрема RECAPTCHA була застаріла повністю автоматизованими безлюдними методами.

Для уточнення, не шукаючи рішення, що стосується рекаптчі-обману, що жодним чином залучає людей, чи то команди, які мають завдання заповнювати CAPCHA, порно-шукачів, чи механічних турків.

Я також не шукаю альтернатив для reCAPTCHA, наприклад, вибору типу тварини або фонових полів або хитрості javascript.

Я зауважую, що майже всі відповіді тут стосуються неефективності концепції CAPTCHA, в принципі - і хоча я дуже з ними погоджуюся, насправді кілька місяців тому він говорив в OWASP, пояснюючи саме це - питання дуже конкретне , тому я забезпечу демонстрацію.
Але спочатку я повторю цю демонстрацію в сторону, перечитаю інші коментарі, оскільки це правда, що CAPTCHA є безглуздим і не корисним, не має значення для впровадження ....

Але дійсно, перевірити CAPTCHA Killer . Ви можете завантажити CAPTCHA-зображення, і воно автоматично, якщо не відразу, надасть відповідь OCR. Він також передбачає API (REST, я думаю, але, можливо, і SOAP). Я особисто спробував численні образи reCAPTCHA, і насправді деякі з найпростіших (або принаймні швидких) були зламані.

ОНОВЛЕННЯ : Веб-сайт CAPTCHA Killer зараз знятий, очевидно, під законним тиском. Повний огляд теми див. На веб-сайті http://captcha.org/ .

І так, OCR - не найкращий спосіб зламати захищений сайт CAPTCHA - є багато інших кращих способів.

Можливо, вас зацікавить цей детальний звіт про те, як 4chan переміг reCAPTCHA і використовував його для маніпулювання щорічними результатами опитування Time.com TIME 100 .

Злом Recaptcha (він же "Потоп пеніса")

Наступною тактикою було встановити, чи зможуть вони виявити недолік у реалізації reCAPTCHA. Одне, що вони виявили про reCAPTCHA, - це те, що він завжди представляє користувачеві два слова для розшифровки - одне слово є контрольним словом, відомим системою reCAPTCHA, а інше - невідомим словом (reCAPTCHA використовує людину, щоб виправити помилки OCR). Вікіпедія описує процес: “Сканований текст піддається аналізу двома різними програмами оптичного розпізнавання символів; у випадках, коли програми не згодні, сумнівне слово перетворюється на CAPTCHA. Слово відображається разом із уже відомим контрольним словом і позначається людиною. Ті слова, які послідовно дають одну етикетку людськими суддями, переробляються як контрольні слова ». 2iasdo4 Анонім зрозумів, що якби вони завжди маркували невідомий відсканований текст одним і тим же словом - і якщо вони це зробили тисячі і тисячі разів, врешті-решт великий відсоток невідомих слів був би неправильно позначений їх словом. Все, що вони повинні були зробити, це подивитися на два слова в капчу, ввести належну мітку для "легкої" (імовірно, це буде та, з якою погодиться два оптичні сканери) та ввести слово "пеніс" для важкий. Якщо вони робили це досить часто, то незабаром значний відсоток зображень буде позначений як "пеніс", а здатність до автоматичного голосування буде відновлена ​​(один побічний ефект, який не втрачено на "Анонім", - це уявлення про те, що на довгі роки У тексті з'явиться ряд цифрових книг, у яких випадково вставлене слово "пеніс". Оновлення: я попросив Бена Морера,

Оптимізація reCAPTCHA

Настільки ж привабливим, як поняття про розповсюдження слова "пеніс" текстами, команда Anonymous знала, що годинник тикає, і якщо вони збираються відновити Повідомлення, вони не встигли чекати, коли автовози повернуться в Інтернет - вони повинні були голосувати вручну, багато, багато разів. І тому їм потрібно було вводити капчу якнайшвидше. Вони розробили набір вказівок, які дозволили їм швидко вирішити, які слова RECAPTCHA можна пропустити. Наприклад:

Вам дадуть 2 слова: 1 справжній, 1 підроблений.

Для [REAL FAKE]або [FAKE REAL]ви можете просто ввести, REALі це слід прийняти.

Якщо це [LOOKSREAL LOOKSREAL]або [LOOKSFAKE LOOKSFAKE]це, як правило , тільки швидше за все типу в обох словах. Не витрачайте дорогоцінний час, вирішуючи, який з них справжній.

Використовуйте як зовнішній вигляд, так і тип слова, щоб визначити підроблене слово. Не покладайтеся лише на одну з них.

Весь набір правил тут: підроблені капчу .

Слабкістю систем CAPTCHA є те, що в Китаї люди створюють кімнати, наповнені людьми, єдиним завданням яких є перегляд образу та типу CAPTCHA, який підключається до автоматизованої системи, яка насправді робить спам.

Насправді з цим реально не багато.

Це також набагато дешевше, ніж намагатися розпізнати зображення, OCR тощо на фактичному зображенні (ви можете отримати відповідь на суму нижче $ 0,01 в інший спосіб).

Перш ніж віддаватись тиску використання капчу, розгляньте творчі обходи, такі як поле з написом "Ваші коментарі", яке приховано CSS. Якщо поле введене, запит відкидається сервером. Більшість ботів потраплять за це навіть у тому випадку, якщо все-таки не існує хорошого способу перемогти кімнату, повну недоплачених робітників, що капчу ніколи не допомагає.

ОНОВЛЕННЯ : Просто прочитайте тематичне дослідження, де вилучення CAPTCHA збільшувало коефіцієнт конверсії майже на 10%. Це вказувало б на те, що він досить зламаний, якщо ви втрачаєте 10% своїх потенційних клієнтів просто для фільтрації ботів. Уявіть, що 10% означає для більшості підприємств.

Моя улюблена капча - від Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Розпізнавання зображень видів тварин для обмеження доступу) - це HIP, який працює, пропонуючи користувачам ідентифікувати фотографії котів та собак. Це завдання складно для комп’ютерів, але наші дослідження користувачів показали, що люди можуть виконувати це швидко та точно. Багато хто навіть думає, що це весело!

Це безкоштовна послуга, і вони мають приклад коду, щоб розпочати роботу.

Цікаво, як довго пройде до того, як він розтріщиться.

reCAPTACHA не порушена, і це не буде дуже довго. Річ у тім, що якщо ви реалізуєте власну капчу, якщо вона зламана, це, ймовірно, потребує багато часу, щоб виправити її.

Це взято зі сторінки про безпеку reCAPTCHA :

reCAPTCHA - веб-сервіс. Це означає, що всі зображення генеруються та оцінюються нашими серверами. (...) це також забезпечує додатковий рівень захисту: наші CAPTCHA можна автоматично оновлювати, коли буде виявлена ​​вразливість безпеки.

Наприклад, якщо хтось пише програму, яка може читати наші спотворені зображення, ми можемо додати більше спотворень за дуже мало часу, і без веб-майстрів не потрібно нічого змінювати на своїй стороні.

Я вважаю, що вони спеціалізуються на капчах, вони мають вдосконалені версії, які зберігаються, готові до розгортання за невеликий час, якщо потрібно. (Чому вони повинні створювати більш міцну безпеку, коли слабший ще не зламаний?)

Він не тільки зазнав поразки, але і корисний додаток було успішно побудовано поверх нього, щоб стати найдивовижнішим інструментом для перемоги над усіма видами захисту безкоштовних акаунтів великого списку сайтів із прямими завантаженнями (не лише мегазавантаження та rapidshare ).

Jdownloader з відкритим кодом та написаний на Java, тому зазирнути у вихідний код може відповісти не лише на те, чи він порушений, але й як .

Редагувати : Більшість сайтів прямого завантаження використовують не reCaptcha, а простіший метод Captcha (3 великі літери, пофарбовані в різні кольори). Тим не менш, Jdownloader і Cryptload (програма, схожа на Jdownloader) - це єдині працюючі реалізації, які мені відомо, що фактично порушили метод Captcha. Я не чув жодної реалізації, щоб зламати reCaptcha.

Оновлення : Здається, що принаймні одна реалізація reCaptcha (не вся сама reCaptcha) теж зламалася .

Оновлення грудня 2010 року : Jdownloader , нарешті, перемагає функцію reCaptcha . Плагін все ще експериментальний і працює лише на версіях Windows Jdownloader, але, як мені розповів товариш, який його випробував, він працює.

Було виступ на Defcon в минулому році , що вступила в проблеми з капчі в цілому. Одна з речей, що вони зробили - це використання декількох безкоштовних двигунів OCR, і вони змусили їх проголосувати за найкращі слова. Роблячи це, вони змогли досягти дещо пристойних шансів на успіх. Для одного виду це було 40% або близько того, я не думаю, що це було повторно.

• «Насправді, це [рекапчі] стало марно на 4 січня [2011] , коли спамери , мабуть , отримали свої колективні руки на шматку програмного забезпечення , що дозволяє обійти рекапчі і дозволяють повністю автоматизований процес реєстрації. Боти був зайнятий, дуже зайнятий , на самому ділі з тих пір " [1]

2-3 роки тому підхід із кепт-тексту, що набирає текст, перевершив лінію, коли вони програли битву, тобто подальші ускладнення просто роблять їх відносно (оскільки потужність комп’ютера зростає, тоді як людина не) легше для машин і більше відверто і відштовхує, якщо ні абсолютно неможливо для людини. Це впливає на оригінальну парадигму CAPTCHA як тест, щоб переконатися, що відповідь не генерується комп'ютером

Оновлення:
Зауважте, що reCAPTCHA належить Google Inc., але Google Inc. не використовує їх власними службами.
Ось посилання, що стосується веб-сторінки з капчу, яку використовує сама Google / внутрішньо, наприклад, для реєстрації в Gmail:

Зауважте, що у Google RECAPTCHA завжди є 2 слова.
Ось посилання на зображення з реCAPTCHA Google, запропоновані для використання іншими .

І скріншот reCAPTCHA:

Залишаю зробити очевидні висновки читачеві.

Цитовано: [1]
Форуми vBulletin потрапили у reCAPTCHA тріщин спам-бота | Блог PC Pro
Опубліковано 12 січня 2011 року Дейві Віндер

Я бачу коментарі в блозі щодо системи, захищеної reCAPTCHA, де сторінка завантажується і через 1 секунду повідомлення було успішно виконано. Користувач-агент був нісенітницею (у цьому конкретному випадку він стверджував, що він працює під керуванням Ubuntu 9.25 / Firefox 3.8), референт був із абсолютно не пов’язаного з нами сайту, не маючи до нас посилання.

Це чітко автоматизовано.

reCAPTCHA не зазнав поразки. Якщо так було, то чому Google просто купив його та оголосив, що застосовуватиме технологію в Google, щоб збільшити захист від шахрайства та спаму для продуктів Google?

від Google Acquires reCAPTCHA, розміщений у блозі Google 16.09.09:

Таким чином, унікальна технологія reCAPTCHA покращує процес перетворення сканованих зображень у звичайний текст, відомий як оптичне розпізнавання символів (OCR). Ця технологія також забезпечує широкомасштабні проекти сканування тексту, такі як Google Книги та Пошук новин Google Archive. Наявність текстової версії документів важлива, оскільки звичайний текст можна шукати, легко рендерувати на мобільних пристроях та показувати користувачам із вадами зору. Тож ми застосовуватимемо технологію в Google не тільки для підвищення захисту від шахрайства та захисту від спаму для продуктів Google, а й для покращення процесу сканування книг та газет.

Найпростіший спосіб перемогти Captchas - це амазонський механічний турк. Є хлопець на ім’я Керміт Велда, який платить людям по нікелю за реєстрацію облікових записів Hotmail, AOL та Gmail. Це 6000 підроблених акаунтів електронної пошти за 5 центів = 300 доларів на день. Витрати на ведення бізнесу досить дешеві, коли у вас інші люди роблять брудну роботу за вас. Недарма фільтри спаму нашого сервера хочуть відхилити що-небудь з Hotmail.

AFAIK На практиці не існує інструменту, щоб зламати реалізацію RE-captcha, проте, зрештою, я припускаю, що хтось отримає це.

Досить смішно, якщо комусь вдається отримати його, тоді весь проект RE-captcha є безглуздим, оскільки ре-captcha задумав оцифровувати книги, що неможливо зробити автоматизовано.

До речі:

Слабкістю систем CAPTCHA є те, що в Китаї люди створюють кімнати, наповнені людьми, єдиним завданням яких є перегляд образу та типу CAPTCHA, який підключається до автоматизованої системи, яка насправді робить спам.

Ви не можете забезпечити системне мислення таким чином, це сказати, що "ваш веб-додаток недостатньо захищений, якщо ваш хост не знаходиться в старому військовому бункері, тому що тепер люди можуть викрасти вашу машину".

Існує безліч методів, які використовуються для того, щоб лайно рекапчувати. Незважаючи на те, що важко використовувати програми, що підтримують нейронну мережу, підтримує їх автоматичне вирішення, можливо захопити зображення та мати механічну тюрк Amazon або якусь еквівалентну програму для їх вирішення.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/