ReCaptcha è stato crackato / hackerato / OCR / sconfitto / rotto? [chiuso]

Sono stati usati metodi di programmazione per sconfiggere reCAPTCHA?

Sono interessato a vedere prove e potenzialmente dimostrazioni che reCAPTCHA in particolare è stato reso obsoleto con metodi completamente automatizzati e senza umanità.

Per chiarire, non cercare soluzioni che tradiscono reCAPTCHA che coinvolgono gli umani in alcun modo, sia che i team abbiano il compito di compilare i CAPCHA, i cercatori di pornografia o il Turk meccanico.

Inoltre non sto cercando alternative a reCAPTCHA, come scegliere il tipo di animale, o campi di sfondo o inganno javascript.

Noto che quasi tutte le risposte qui si riferiscono all'inefficacia del concetto di CAPTCHA, in linea di principio - e mentre sono molto d'accordo con loro, in effetti ha tenuto un discorso a OWASP alcuni mesi fa spiegando proprio questo - la domanda è molto specifica , quindi fornirò una dimostrazione.
Ma prima ribadirò questa dimostrazione a parte, rileggerò gli altri commenti, poiché è vero che CAPTCHA è inutile e non utile, irrilevante per l'attuazione ...

Ma davvero, dai un'occhiata a CAPTCHA Killer . Puoi caricare un'immagine CAPTCHA e fornirà automaticamente, se non immediatamente, la risposta OCR. Fornisce anche un'API (REST, penso, ma forse anche SOAP). Personalmente ho provato numerose immagini reCAPTCHA, e in realtà sono state alcune delle più semplici (o almeno più veloci) rotte.

AGGIORNAMENTO : il sito web di CAPTCHA Killer è ora rimosso, apparentemente sotto pressione legale. Vedi http://captcha.org/ per una panoramica completa dell'argomento.

E sì, l'OCR non è il modo migliore per rompere un sito protetto CAPTCHA - ci sono molti altri modi migliori.

Potresti essere interessato a questo rapporto dettagliato su come 4chan ha sconfitto reCAPTCHA e utilizzato per manipolare i risultati del sondaggio TIME 100 annuale di Time.com .

Hacking Recaptcha (alias "The Penis Flood")

La tattica successiva è stata quella di vedere se potevano trovare un difetto nell'implementazione di reCAPTCHA. Una cosa che hanno scoperto su reCAPTCHA è che presenta sempre due parole a un utente per la decodifica: una parola è una parola di controllo conosciuta dal sistema reCAPTCHA, mentre l'altra è una parola sconosciuta (reCAPTCHA utilizza gli umani per aiutare a correggere gli errori OCR). Wikipedia descrive il processo: “Il testo digitalizzato è sottoposto ad analisi da due diversi programmi di riconoscimento ottico dei caratteri; nei casi in cui i programmi non sono d'accordo, la parola discutibile viene convertita in CAPTCHA. La parola viene visualizzata insieme a una parola di controllo già nota ed è etichettata dall'essere umano. Quelle parole a cui viene costantemente attribuita un'unica etichetta dai giudici umani vengono riciclate come parole di controllo ”. 2iasdo4 Ciò che Anonymous si rese conto era che se avessero sempre etichettato il testo scansionato sconosciuto con la stessa parola - e se lo avessero fatto migliaia e migliaia di volte, alla fine una grande percentuale delle parole sconosciute sarebbe etichettata erroneamente con la loro parola. Tutto quello che dovevano fare era guardare le due parole nel captcha, inserire l'etichetta corretta per quella "facile" (presumibilmente quella che i due scanner ottici avrebbero concordato) e inserire la parola "pene" per uno difficile. Se lo facessero abbastanza spesso, presto una percentuale significativa delle immagini sarebbe stata etichettata come "pene" e la capacità di autovoto sarebbe stata ripristinata (un effetto collaterale, che non si perdeva su Anonimo, era l'idea che per gli anni a venire ci sarebbero un certo numero di libri digitali con la parola "pene" inserita casualmente nel testo. Aggiornamento: ho chiesto a Ben Maurer,

Ottimizzazione di reCAPTCHA

Accattivante quanto l'idea di spargere la parola "pene" nei testi, il team di Anonymous sapeva che il tempo stava ticchettando e che se avessero ripristinato il Messaggio non avrebbero avuto il tempo di aspettare che gli autovoter tornassero online - avrebbero dovuto votare manualmente, molte, molte volte. E quindi dovevano poter entrare nel captcha il più velocemente possibile. Hanno sviluppato una serie di linee guida che hanno permesso loro di decidere rapidamente quali parole reCAPTCHA potevano saltare. Per esempio:

Ti verranno date 2 parole: 1 reale, 1 falso.

Per [REAL FAKE]o [FAKE REAL], puoi semplicemente digitare REALe dovrebbe essere accettato.

Se è [LOOKSREAL LOOKSREAL]o [LOOKSFAKE LOOKSFAKE], di solito è solo più veloce digitare entrambe le parole. Non perdere tempo prezioso a decidere quale di essi è reale.

Usa sia l'aspetto che il tipo di parola per identificare una parola falsa. Non fare affidamento solo su uno di essi.

L'intero set di regole è qui: captcha falso .

La debolezza dei sistemi CAPTCHA è che le persone hanno creato stanze piene di persone in Cina il cui unico compito è guardare un'immagine CAPTCHA e digitare il risultato, che si collega al sistema automatizzato che sta effettivamente eseguendo lo spamming.

Non puoi fare molto al riguardo.

È anche molto più economico di provare a riconoscere l'immagine, l'OCR, ecc. Sull'immagine reale (potresti ottenere una risposta a meno di $ 0,01 nell'altro modo).

Prima di cedere alla pressione dell'uso di captcha, prendi in considerazione soluzioni alternative creative come avere un campo con l'etichetta "I tuoi commenti" nascosto dai CSS. Se il campo viene inserito, la richiesta viene eliminata dal server. La maggior parte dei robot fallirà anche se non c'è ancora un buon modo per sconfiggere la stanza piena di lavoratori sottopagati, che captcha non aiuta comunque.

AGGIORNAMENTO : Basta leggere un case study in cui la rimozione di CAPTCHA ha aumentato i tassi di conversione di quasi il 10%. Ciò indicherebbe a me che è piuttosto rotto se stai perdendo il 10% dei tuoi lead solo per filtrare i robot. Immagina cosa significa il 10% per la maggior parte delle aziende.

Il mio captcha preferito è di Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Animal Species Image Recognition for Restricting Access) è un HIP che funziona chiedendo agli utenti di identificare le fotografie di cani e gatti. Questo compito è difficile per i computer, ma i nostri studi sugli utenti hanno dimostrato che le persone possono farlo in modo rapido e preciso. Molti pensano addirittura che sia divertente!

È un servizio gratuito e hanno un codice di esempio per iniziare.

Mi chiedo quanto tempo passerà prima che si spezzi.

reCAPTACHA non è rotto e non lo sarà per molto tempo. Il fatto è che se implementi il ​​tuo captcha se è rotto, probabilmente ci vorrà molto tempo per risolverlo.

Questo è tratto dalla pagina sulla sicurezza di reCAPTCHA :

reCAPTCHA è un servizio Web. Ciò significa che tutte le immagini sono generate e classificate dai nostri server. (...) questo fornisce anche un ulteriore livello di protezione: i nostri CAPTCHA possono essere aggiornati automaticamente ogni volta che viene rilevata una vulnerabilità di sicurezza.

Ad esempio, se qualcuno scrive un programma in grado di leggere le nostre immagini distorte, possiamo aggiungere più distorsioni in pochissimo tempo e senza che i webmaster debbano cambiare nulla dalla loro parte.

Credo che, essendo specializzati in captcha, abbiano versioni archiviate migliorate, pronte per essere distribuite in poco tempo, se necessario. (Perché dovrebbero creare maggiore sicurezza quando il più debole non è ancora rotto?)

Non solo è stato sconfitto, ma anche un'applicazione utile è stata costruita con successo su di essa, per diventare lo strumento più sorprendente per sconfiggere tutti i tipi di protezioni per account gratuiti di un grande elenco di siti di download diretto (non solo megaupload e rapidshare ).

Jdownloader è open source e scritto in Java, quindi una sbirciatina al codice sorgente può rispondere non solo se è rotto ma anche come .

Modifica : la maggior parte dei siti di download diretto non utilizza reCaptcha, ma un metodo Captcha più semplice (3 lettere maiuscole colorate in diversi colori). Ciononostante Jdownloader e Cryptload (un programma simile a Jdownloader) sono le uniche implementazioni funzionanti che conosco che hanno effettivamente rotto un metodo Captcha. Non ho sentito parlare di alcuna implementazione per rompere reCaptcha.

Aggiornamento : sembra che almeno un'implementazione di reCaptcha (non l'intero reCaptcha stesso) sia stata violata .

Aggiornamento dicembre 2010 : Jdownloader sembra finalmente sconfiggere reCaptcha . Il plugin è ancora sperimentale e funziona solo su versioni Windows di Jdownloader, ma, come mi è stato detto da un compagno che l'ha provato, funziona.

Lo scorso anno c'è stato un discorso a Defcon che ha riguardato i problemi con i CAPTCHA in generale. Una delle cose che hanno fatto è usare più motori OCR gratuiti e farli votare le parole migliori. In questo modo, sono stati in grado di raggiungere una discreta possibilità di successo. Per un tipo, era del 40% o giù di lì, non penso che fosse reCaptcha, però.

• "In effetti, [reCAPTCHA] è diventato piuttosto inutile il 4 gennaio [2011] quando apparentemente gli spammer hanno messo le mani collettivamente su un software che elude reCAPTCHA e consente un processo di registrazione completamente automatizzato. I robot sono stati occupati, anzi molto occupati , da allora " [1]

2-3 anni fa l'approccio captcha basato sulla digitazione del testo ha superato la linea quando hanno perso la battaglia, vale a dire ulteriori complicazioni li rendono relativamente (poiché la potenza del computer sta aumentando, mentre quella umana non è) più facile per le macchine e più ripugnante e repellente, se non completamente impossibile, per l'uomo. Questo dimostra il paradigma originale di CAPTCHA come test per garantire che la risposta non sia generata da un computer

Aggiornamento: si
noti che reCAPTCHA è di proprietà di Google Inc. ma Google Inc. non lo utilizza dai propri servizi.
Ecco un link che contiene una pagina web con captcha utilizzato da Google stesso / internamente per es., Per la registrazione di Gmail:

Nota che reCAPTCHA di Google ha sempre 2 parole.
Ecco il link per l' immagine con reCAPTCHA di Google offerto per essere utilizzato da altri .

E lo screenshot di reCAPTCHA:

Lascio per trarre le ovvie conclusioni a un lettore.

Citato: [1]
forum vBulletin colpiti da reCAPTCHA cracking bot spam | Blog di PC Pro,
pubblicato il 12 gennaio 2011 da Davey Winder

Sto vedendo i commenti del blog su un sistema protetto da reCAPTCHA in cui la pagina viene caricata e 1 secondo dopo il post è stato pubblicato correttamente. L'Utente-Agente era una sciocchezza (in questo caso particolare sosteneva di eseguire Ubuntu 9.25 / Firefox 3.8), il referrer proveniva da un sito completamente non correlato e senza link a noi.

Questo è chiaramente automatizzato.

reCAPTCHA non è stato sconfitto. Se lo è stato, perché Google l'ha appena acquistato e ha annunciato che applicherà la tecnologia all'interno di Google per aumentare la protezione da frodi e spam per i prodotti Google?

da Google Acquisisce reCAPTCHA pubblicato sul Blog di Google il 16/09/09:

In questo modo, la tecnologia unica di reCAPTCHA migliora il processo che converte le immagini acquisite in testo normale, noto come riconoscimento ottico dei caratteri (OCR). Questa tecnologia alimenta anche progetti di scansione di testo su larga scala come Google Libri e Google News Archive Search. Avere la versione testuale dei documenti è importante perché il testo normale può essere cercato, reso facilmente su dispositivi mobili e visualizzato agli utenti ipovedenti. Quindi applicheremo la tecnologia all'interno di Google non solo per aumentare la protezione da frodi e spam per i prodotti Google, ma anche per migliorare il nostro processo di scansione di libri e giornali.

Il modo più semplice per sconfiggere i captcha è Amazon Mechanical Turk. C'è un ragazzo di nome Kermit Welda che paga alla gente un centesimo per registrare account Hotmail, AOL e Gmail. Sono 6.000 account di posta elettronica falsi a 5 centesimi = $ 300 al giorno. Il costo per fare affari è piuttosto economico quando hai altre persone che fanno il lavoro sporco per te. Non c'è da stupirsi che i filtri antispam del nostro server vogliano rifiutare qualsiasi cosa da Hotmail.

AFAIK In pratica non esiste uno strumento per decifrare l'implementazione di RE-captcha, tuttavia alla fine presumo che qualcuno lo capirà.

Abbastanza divertente se qualcuno riesce a ottenerlo, allora l'intero progetto RE-captcha è inutile perché re-captcha ha progettato digitalizzare i libri che non possono essere fatti in modo automatizzato.

A proposito:

La debolezza dei sistemi CAPTCHA è che le persone hanno allestito stanze piene di persone in Cina il cui unico compito è guardare un'immagine CAPTCHA e digitare il risultato, che si collega al sistema automatizzato che sta effettivamente facendo spamming.

Non puoi proteggere un sistema che pensa in quel modo, è come dire "la tua applicazione web non è abbastanza sicura se il tuo host non si trova in un vecchio bunker militare, perché ora le persone possono rubare la tua macchina".

Esistono molti metodi che vengono utilizzati per catturare il recaptcha. Mentre è difficile usare i programmi neurali netwpork abilitati a risolverli automaticamente, è possibile catturare l'immagine e avere il turk meccanico di Amazon o qualche programma equivalente per risolverli.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/