ReCaptcha è stato crackato / hackerato / OCR / sconfitto / rotto? [chiuso]


172

Sono stati usati metodi di programmazione per sconfiggere reCAPTCHA?

Sono interessato a vedere prove e potenzialmente dimostrazioni che reCAPTCHA in particolare è stato reso obsoleto con metodi completamente automatizzati e senza umanità.

Per chiarire, non cercare soluzioni che tradiscono reCAPTCHA che coinvolgono gli umani in alcun modo, sia che i team abbiano il compito di compilare i CAPCHA, i cercatori di pornografia o il Turk meccanico.

Inoltre non sto cercando alternative a reCAPTCHA, come scegliere il tipo di animale, o campi di sfondo o inganno javascript.


18
la quantità di disinformazione in queste risposte è sorprendente. Se ReCaptcha è stato "rotto", allora qualcuno dovrebbe dirlo a Facebook, Craigslist e TicketMaster, stat! : p
Jeff Atwood,

15
Jeff, gli è stato detto, e l'unica disinformazione si riferisce a CAPTCHA come un meccanismo di sicurezza valido. È stato empiricamente rotto, sia nelle implementazioni comuni che in teoria (non solo reCAPTCHA, ma il concetto stesso di CAPTCHA). D'altra parte, non è COMPLETAMENTE privo di valore, in realtà ho fatto riferimento a questo stesso sito come un caso d'uso valido per CAPTCHA - oltre a molti altri meccanismi, può lavorare insieme per costare un po '"agli aggressori" Di Più.
AviD,

13
Sono deluso dal fatto che l'argomento non ci pwnedsia
skaffman,

2
Altre ricerche sull'argomento: schneier.com/blog/archives/2010/10/analyzing_captc.html . In realtà ho trovato i commenti più interessanti del post o della ricerca stessa ...
AviD

9
Oo! Il miglior CAPTCHA di sempre! xkcd.com/810
AviD

Risposte:


92

Noto che quasi tutte le risposte qui si riferiscono all'inefficacia del concetto di CAPTCHA, in linea di principio - e mentre sono molto d'accordo con loro, in effetti ha tenuto un discorso a OWASP alcuni mesi fa spiegando proprio questo - la domanda è molto specifica , quindi fornirò una dimostrazione.
Ma prima ribadirò questa dimostrazione a parte, rileggerò gli altri commenti, poiché è vero che CAPTCHA è inutile e non utile, irrilevante per l'attuazione ...

Ma davvero, dai un'occhiata a CAPTCHA Killer . Puoi caricare un'immagine CAPTCHA e fornirà automaticamente, se non immediatamente, la risposta OCR. Fornisce anche un'API (REST, penso, ma forse anche SOAP). Personalmente ho provato numerose immagini reCAPTCHA, e in realtà sono state alcune delle più semplici (o almeno più veloci) rotte.

AGGIORNAMENTO : il sito web di CAPTCHA Killer è ora rimosso, apparentemente sotto pressione legale. Vedi http://captcha.org/ per una panoramica completa dell'argomento.

E sì, l'OCR non è il modo migliore per rompere un sito protetto CAPTCHA - ci sono molti altri modi migliori.


3
Mi chiedo come funzioni captcha killer. In qualche modo mi sembra che stia usando manodopera a basso costo e facendo soldi con la pubblicità sul sito web. (E merchandising.)
Georg Schölly,

3
Risposta utile sui captcha in generale, ma la domanda riguardava specificamente reCAPTCHA.
Mike,

2
Ho appena provato Captcha Killer con tre reCAPTCHA. Tutti e tre sono scaduti senza restituire una risposta.
lfaraone,

21
CAPTCHA Killer sembra essere stato ucciso: è stato violentemente distrutto dalle multinazionali che cercano di diffondere il loro dominio sovrano ed eliminare la libertà di espressione creativa! Un killer così bello, una morte così precoce!
Kiril,

4
Penso che sia solo un cambio di dominio e la versione viene pagata ora, controlla questo bypasscaptcha.com/captchakiller.php
MarmiK

54

Potresti essere interessato a questo rapporto dettagliato su come 4chan ha sconfitto reCAPTCHA e utilizzato per manipolare i risultati del sondaggio TIME 100 annuale di Time.com .

Hacking Recaptcha (alias "The Penis Flood")

La tattica successiva è stata quella di vedere se potevano trovare un difetto nell'implementazione di reCAPTCHA. Una cosa che hanno scoperto su reCAPTCHA è che presenta sempre due parole a un utente per la decodifica: una parola è una parola di controllo conosciuta dal sistema reCAPTCHA, mentre l'altra è una parola sconosciuta (reCAPTCHA utilizza gli umani per aiutare a correggere gli errori OCR). Wikipedia descrive il processo: “Il testo digitalizzato è sottoposto ad analisi da due diversi programmi di riconoscimento ottico dei caratteri; nei casi in cui i programmi non sono d'accordo, la parola discutibile viene convertita in CAPTCHA. La parola viene visualizzata insieme a una parola di controllo già nota ed è etichettata dall'essere umano. Quelle parole a cui viene costantemente attribuita un'unica etichetta dai giudici umani vengono riciclate come parole di controllo ”. 2iasdo4 Ciò che Anonymous si rese conto era che se avessero sempre etichettato il testo scansionato sconosciuto con la stessa parola - e se lo avessero fatto migliaia e migliaia di volte, alla fine una grande percentuale delle parole sconosciute sarebbe etichettata erroneamente con la loro parola. Tutto quello che dovevano fare era guardare le due parole nel captcha, inserire l'etichetta corretta per quella "facile" (presumibilmente quella che i due scanner ottici avrebbero concordato) e inserire la parola "pene" per uno difficile. Se lo facessero abbastanza spesso, presto una percentuale significativa delle immagini sarebbe stata etichettata come "pene" e la capacità di autovoto sarebbe stata ripristinata (un effetto collaterale, che non si perdeva su Anonimo, era l'idea che per gli anni a venire ci sarebbero un certo numero di libri digitali con la parola "pene" inserita casualmente nel testo. Aggiornamento: ho chiesto a Ben Maurer,

Ottimizzazione di reCAPTCHA

Accattivante quanto l'idea di spargere la parola "pene" nei testi, il team di Anonymous sapeva che il tempo stava ticchettando e che se avessero ripristinato il Messaggio non avrebbero avuto il tempo di aspettare che gli autovoter tornassero online - avrebbero dovuto votare manualmente, molte, molte volte. E quindi dovevano poter entrare nel captcha il più velocemente possibile. Hanno sviluppato una serie di linee guida che hanno permesso loro di decidere rapidamente quali parole reCAPTCHA potevano saltare. Per esempio:

Ti verranno date 2 parole: 1 reale, 1 falso.

Per [REAL FAKE]o [FAKE REAL], puoi semplicemente digitare REALe dovrebbe essere accettato.

Se è [LOOKSREAL LOOKSREAL]o [LOOKSFAKE LOOKSFAKE], di solito è solo più veloce digitare entrambe le parole. Non perdere tempo prezioso a decidere quale di essi è reale.

Usa sia l'aspetto che il tipo di parola per identificare una parola falsa. Non fare affidamento solo su uno di essi.

L'intero set di regole è qui: captcha falso .


4
Ma non è il punto di quella storia che non hanno rotto reCAPTCHA? Sono invece riusciti semplificando il processo di votazione manuale per consentire a determinati volontari di votare migliaia di volte ciascuno.
pdc,

4
@pdc, solo perché non hanno eseguito l'OCR delle immagini (anche se ciò avrebbe potuto essere fatto), non significa che non abbiano interrotto reCAPTCHA. Pensaci in questo modo: lo scopo di reCAPTCHA è presentare immagini indecifrabili? O è per prevenire inondazioni automatizzate? Se è il primo, potresti essere in grado di sostenere che non è stato rotto (discutibile, ma non sarei d'accordo con te), ma se è il secondo - allora hai la prova empirica che reCAPTCHA non funziona. Penso anche che dovrebbe essere abbastanza chiaro che a parte il valore dell'intrattenimento, il SECONDO scopo è quello reale, e solo quello che conta.
AviD,

@AviD Huh? Secondo l'articolo, inondazioni automatiche non erano più possibili. Piuttosto, le persone dedicate sono state in grado di votare molte volte più velocemente di quanto avrebbero potuto fare altrimenti (e varie tecniche non correlate al captcha sono state usate per contrastare misure inefficaci contro un voto così pesante da parte degli umani). Fondamentalmente equivalente all'utilizzo di manodopera a basso costo - che ovviamente reCAPTCHA non pretende di smettere.
ToolmakerSteve

@ToolmakerSteve questo è esattamente il problema, reCAPTCHA non cerca di fermare il vero problema. CAPTCHA cerca di risolvere il problema sbagliato, malamente.
AviD,

32

La debolezza dei sistemi CAPTCHA è che le persone hanno creato stanze piene di persone in Cina il cui unico compito è guardare un'immagine CAPTCHA e digitare il risultato, che si collega al sistema automatizzato che sta effettivamente eseguendo lo spamming.

Non puoi fare molto al riguardo.

È anche molto più economico di provare a riconoscere l'immagine, l'OCR, ecc. Sull'immagine reale (potresti ottenere una risposta a meno di $ 0,01 nell'altro modo).


62
O ancora meglio, prendono il captcha dal tuo sito e lo mostrano ad alcuni segaioli (letteralmente) come requisito per mostrare loro del porno.
Paul Tomblin,

2
Amico ... è intelligente (credito dove è dovuto il credito).
cletus,

7
Nota che questo non lo rende uno strumento inefficace. Significa semplicemente che se il tuo sito è abbastanza popolare, ciò potrebbe accadere. Per l'altro 99,99% dei siti Web nel mondo, un semplice captcha farà.
Robert P,

1
Inferno, il captcha di CodingHorror non cambia nemmeno, né è offuscato, e riesce a fare bene il lavoro!
Robert P,

5
In realtà, non è del tutto vero. Anche se ci sono esempi di questo, è FAR più conveniente per OCR-crack un CAPTCHA. L'uso di negozi di sudore di solito NON è economicamente fattibile per gli spammer.
Jens Roland,

21

Prima di cedere alla pressione dell'uso di captcha, prendi in considerazione soluzioni alternative creative come avere un campo con l'etichetta "I tuoi commenti" nascosto dai CSS. Se il campo viene inserito, la richiesta viene eliminata dal server. La maggior parte dei robot fallirà anche se non c'è ancora un buon modo per sconfiggere la stanza piena di lavoratori sottopagati, che captcha non aiuta comunque.

AGGIORNAMENTO : Basta leggere un case study in cui la rimozione di CAPTCHA ha aumentato i tassi di conversione di quasi il 10%. Ciò indicherebbe a me che è piuttosto rotto se stai perdendo il 10% dei tuoi lead solo per filtrare i robot. Immagina cosa significa il 10% per la maggior parte delle aziende.


2
Questo è molto intelligente ma non funziona se sei sufficientemente popolare. Yahoo o Google, ad esempio, non potrebbero mai usarlo.
Dreeves,

2
La domanda qui è se il tuo sito è abbastanza prezioso per attaccare in modo specifico. La maggior parte non lo è e avere piccole idiosincrasie farà del bene.
David Thornley,

3
Vorrei fare +1 per l'aggiornamento con una perdita del 10% - Punto MOLTO importante. (ma non riesco a +1 cuz del suggerimento campo nascosto - questo è meno che inutile.)
AviD

2
Esistono 2 problemi "attacco mirato" e "spam casuale". La tua soluzione potrebbe salvarti il ​​culo per spam casuale, un attacco mirato inonderà il tuo sistema entro un giorno.
dott. male il

1
@dreeves: Google non ha appena acquisito reCAPTCHA?
Prabu,

18

Il mio captcha preferito è di Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Animal Species Image Recognition for Restricting Access) è un HIP che funziona chiedendo agli utenti di identificare le fotografie di cani e gatti. Questo compito è difficile per i computer, ma i nostri studi sugli utenti hanno dimostrato che le persone possono farlo in modo rapido e preciso. Molti pensano addirittura che sia divertente!

È un servizio gratuito e hanno un codice di esempio per iniziare.

Mi chiedo quanto tempo passerà prima che si spezzi.


1
Sfortunatamente la risposta di Cletus sopra mostra come tale servizio sarà inefficace nella maggiore lotta contro lo spam.
Erik Forbes,

1
ho fallito che uno su 4 volte, una foto mal illuminata di un Pomeranian può sembrare un gatto :(
Tom Anderson,

3
Ho fatto il test ed è bello sapere che sono un essere umano. :)
BoltBait,

5
In realtà il miglior captcha era HotCaptcha - ma è offline l'ultima volta che ho controllato. Basato su HotOrNot.com, non è stato orribilmente efficace, ma MOLTO popolare tra gli utenti :-)
AviD

2
Il problema qui è che sarebbe molto facile forzare la forza a causa di un piccolo spazio chiave. Se inizi ad aggiungere più oggetti per nominare, allora diventi ambiguo nella denominazione (esempio, è un canguro, un Joey o un canguro?). Dovresti assicurarti di avere una o più relazioni tra gli oggetti da nominare e i loro possibili nomi.
Oorang,

11

reCAPTACHA non è rotto e non lo sarà per molto tempo. Il fatto è che se implementi il ​​tuo captcha se è rotto, probabilmente ci vorrà molto tempo per risolverlo.

Questo è tratto dalla pagina sulla sicurezza di reCAPTCHA :

reCAPTCHA è un servizio Web. Ciò significa che tutte le immagini sono generate e classificate dai nostri server. (...) questo fornisce anche un ulteriore livello di protezione: i nostri CAPTCHA possono essere aggiornati automaticamente ogni volta che viene rilevata una vulnerabilità di sicurezza.

Ad esempio, se qualcuno scrive un programma in grado di leggere le nostre immagini distorte, possiamo aggiungere più distorsioni in pochissimo tempo e senza che i webmaster debbano cambiare nulla dalla loro parte.

Credo che, essendo specializzati in captcha, abbiano versioni archiviate migliorate, pronte per essere distribuite in poco tempo, se necessario. (Perché dovrebbero creare maggiore sicurezza quando il più debole non è ancora rotto?)


9

Non solo è stato sconfitto, ma anche un'applicazione utile è stata costruita con successo su di essa, per diventare lo strumento più sorprendente per sconfiggere tutti i tipi di protezioni per account gratuiti di un grande elenco di siti di download diretto (non solo megaupload e rapidshare ).

Jdownloader è open source e scritto in Java, quindi una sbirciatina al codice sorgente può rispondere non solo se è rotto ma anche come .

Modifica : la maggior parte dei siti di download diretto non utilizza reCaptcha, ma un metodo Captcha più semplice (3 lettere maiuscole colorate in diversi colori). Ciononostante Jdownloader e Cryptload (un programma simile a Jdownloader) sono le uniche implementazioni funzionanti che conosco che hanno effettivamente rotto un metodo Captcha. Non ho sentito parlare di alcuna implementazione per rompere reCaptcha.

Aggiornamento : sembra che almeno un'implementazione di reCaptcha (non l'intero reCaptcha stesso) sia stata violata .

Aggiornamento dicembre 2010 : Jdownloader sembra finalmente sconfiggere reCaptcha . Il plugin è ancora sperimentale e funziona solo su versioni Windows di Jdownloader, ma, come mi è stato detto da un compagno che l'ha provato, funziona.


2
Sai quale di questi filehoster usa RE-captcha perché rapidshare e megaupload no.
dott. male il

@ dr.evil stava coprendo un elenco di hoster quasi tutto ciò che possiamo dire, poiché l'elenco ne conteneva molti che non avremmo mai sentito in nessun momento, il programma era abbastanza intelligente da rompere la maggior parte del captcha e, in caso contrario, spingeva l'utente a lo stesso, non è utile. L'ho usato in passato personalmente. È stato uno dei migliori downloader in alcuni casi meglio di IDM, Nota: non sono promotore di jDownloader. Grazie
MarmiK,

8

Lo scorso anno c'è stato un discorso a Defcon che ha riguardato i problemi con i CAPTCHA in generale. Una delle cose che hanno fatto è usare più motori OCR gratuiti e farli votare le parole migliori. In questo modo, sono stati in grado di raggiungere una discreta possibilità di successo. Per un tipo, era del 40% o giù di lì, non penso che fosse reCaptcha, però.


3
Questo è un punto importante, un bot di spam non deve interrompere tutti i captha: l'1% lo farebbe se continuasse a provare.
Martin Beckett,

8
  • "In effetti, [reCAPTCHA] è diventato piuttosto inutile il 4 gennaio [2011] quando apparentemente gli spammer hanno messo le mani collettivamente su un software che elude reCAPTCHA e consente un processo di registrazione completamente automatizzato. I robot sono stati occupati, anzi molto occupati , da allora " [1]

2-3 anni fa l'approccio captcha basato sulla digitazione del testo ha superato la linea quando hanno perso la battaglia, vale a dire ulteriori complicazioni li rendono relativamente (poiché la potenza del computer sta aumentando, mentre quella umana non è) più facile per le macchine e più ripugnante e repellente, se non completamente impossibile, per l'uomo. Questo dimostra il paradigma originale di CAPTCHA come test per garantire che la risposta non sia generata da un computer

Aggiornamento: si
noti che reCAPTCHA è di proprietà di Google Inc. ma Google Inc. non lo utilizza dai propri servizi.
Ecco un link che contiene una pagina web con captcha utilizzato da Google stesso / internamente per es., Per la registrazione di Gmail:

testo alternativo



Nota che reCAPTCHA di Google ha sempre 2 parole.
Ecco il link per l' immagine con reCAPTCHA di Google offerto per essere utilizzato da altri .

E lo screenshot di reCAPTCHA:

testo alternativo

Lascio per trarre le ovvie conclusioni a un lettore.

Citato: [1]
forum vBulletin colpiti da reCAPTCHA cracking bot spam | Blog di PC Pro,
pubblicato il 12 gennaio 2011 da Davey Winder


5

Sto vedendo i commenti del blog su un sistema protetto da reCAPTCHA in cui la pagina viene caricata e 1 secondo dopo il post è stato pubblicato correttamente. L'Utente-Agente era una sciocchezza (in questo caso particolare sosteneva di eseguire Ubuntu 9.25 / Firefox 3.8), il referrer proveniva da un sito completamente non correlato e senza link a noi.

Questo è chiaramente automatizzato.


3

reCAPTCHA non è stato sconfitto. Se lo è stato, perché Google l'ha appena acquistato e ha annunciato che applicherà la tecnologia all'interno di Google per aumentare la protezione da frodi e spam per i prodotti Google?

da Google Acquisisce reCAPTCHA pubblicato sul Blog di Google il 16/09/09:

In questo modo, la tecnologia unica di reCAPTCHA migliora il processo che converte le immagini acquisite in testo normale, noto come riconoscimento ottico dei caratteri (OCR). Questa tecnologia alimenta anche progetti di scansione di testo su larga scala come Google Libri e Google News Archive Search. Avere la versione testuale dei documenti è importante perché il testo normale può essere cercato, reso facilmente su dispositivi mobili e visualizzato agli utenti ipovedenti. Quindi applicheremo la tecnologia all'interno di Google non solo per aumentare la protezione da frodi e spam per i prodotti Google, ma anche per migliorare il nostro processo di scansione di libri e giornali.


3

Il modo più semplice per sconfiggere i captcha è Amazon Mechanical Turk. C'è un ragazzo di nome Kermit Welda che paga alla gente un centesimo per registrare account Hotmail, AOL e Gmail. Sono 6.000 account di posta elettronica falsi a 5 centesimi = $ 300 al giorno. Il costo per fare affari è piuttosto economico quando hai altre persone che fanno il lavoro sporco per te. Non c'è da stupirsi che i filtri antispam del nostro server vogliano rifiutare qualsiasi cosa da Hotmail.


È davvero una risposta ...?
Austin Henley,

Ha senso, un concetto simile a Death By Captcha .
Kenorb,

OP ha dichiarato chiaramente che non è quello che sta cercando.
Scott Solmer,

2

AFAIK In pratica non esiste uno strumento per decifrare l'implementazione di RE-captcha, tuttavia alla fine presumo che qualcuno lo capirà.

Abbastanza divertente se qualcuno riesce a ottenerlo, allora l'intero progetto RE-captcha è inutile perché re-captcha ha progettato digitalizzare i libri che non possono essere fatti in modo automatizzato.

A proposito:

La debolezza dei sistemi CAPTCHA è che le persone hanno allestito stanze piene di persone in Cina il cui unico compito è guardare un'immagine CAPTCHA e digitare il risultato, che si collega al sistema automatizzato che sta effettivamente facendo spamming.

Non puoi proteggere un sistema che pensa in quel modo, è come dire "la tua applicazione web non è abbastanza sicura se il tuo host non si trova in un vecchio bunker militare, perché ora le persone possono rubare la tua macchina".


3
Il tuo sentimento è perfetto, ma la sua applicazione è fuori luogo: il pensiero (del commento che hai citato) è che CAPTCHA non risolve il problema che intende . O come spesso dico "CAPTCHA (in generale) è una cattiva soluzione al problema sbagliato". Il problema che CAPTCHA tenta di risolvere (per definizione) è: come faccio a sapere che l'utente è una persona, non un computer? Indipendentemente dal fatto che CAPTCHA risolva questo problema (il problema è vero), il problema REALE è: come posso prevenire inondazioni di massa del mio servizio? Le fattorie e i proxy CAPTCHA mostrano la differenza esatta. Ecco perché qualsiasi soluzione di sicurezza dovrebbe iniziare con le minacce.
AviD,

1
Hai ragione, tutto viene giù "Perché stai usando CAPTCHA?". Per alcuni sistemi è sufficiente la sicurezza per alcuni sistemi, non è nemmeno vicino. Ma proprio come il keysize in criptovaluta ti aiuta a proteggere qualcosa facendo in modo che la forza bruta richieda anni (anche se alla fine lo distruggeranno! Ma non in questo periodo di vita o non nei prossimi 10 anni) CAPTCHA in alcuni sistemi può aiutare abbastanza sicurezza nel allo stesso modo. Quindi, come hai detto, tutto viene giù per cosa stai usando CAPTCHA?
dott. male il

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.