ReCaptcha был взломан / взломан / OCR'd / победил / сломан?

Возможно, вас заинтересует этот подробный отчет о том, как 4chan победил reCAPTCHA и использовал его для манипулирования ежегодными результатами Time.com 100 Poll.

Взлом Recaptcha (он же "Поток пениса")

Следующая используемая тактика состояла в том, чтобы увидеть, могут ли они найти изъян в реализации reCAPTCHA. Одна вещь, которую они обнаружили в reCAPTCHA, заключалась в том, что он всегда представляет пользователю два слова для декодирования: одно слово - это контрольное слово, известное системе reCAPTCHA, а другое - неизвестное слово (reCAPTCHA использует людей для исправления ошибок распознавания). Википедия описывает процесс: "Отсканированный текст подвергается анализу с помощью двух разных программ оптического распознавания символов; в случаях, когда программы не согласны, сомнительное слово преобразуется в капчу. Слово отображается вместе с уже известным контрольным словом и помечено человеком. Те слова, которым последовательно присваивается единый ярлык судьями-людьми, превращаются в контрольные слова ". 2iasdo4 Anonymous осознали, что если они всегда маркируют неизвестный отсканированный текст одним и тем же словом - и если они делают это тысячи и тысячи раз, в конечном итоге большой процент неизвестных слов будет помечен их словом. Все, что им нужно было сделать, это взглянуть на два слова в капче, ввести правильную метку для "легкого" (предположительно это будет тот, с которым согласятся два оптических сканера) и ввести слово "пенис" для тяжелый Если бы они делали это достаточно часто, то вскоре значительный процент изображений был бы помечен как "пенис", и способность к автоматическому голосованию была бы восстановлена ​​(один побочный эффект, который не был утерян на Anonymous, был понятием, что на долгие годы по всему тексту будет случайным образом вставлено несколько цифровых книг со словом "пенис". Обновление: я спросил Бена Маурера, главного инженера reCAPTCHA, об этой атаке "наводнения пениса", Бен сказал, что они ожидали такого рода атаки и они имеют многочисленные средства защиты, которые будут препятствовать проникновению пениса через барьер reCAPTCHA.

Оптимизация reCAPTCHA

Так же, как и идея разбрызгивать слово "пенис" в текстах, команда Anonymous знала, что время идет, и если они собирались восстановить Сообщение, у них не было времени ждать, когда автопоставщики вернутся в сеть - им предстояло голосовать вручную много-много раз. И поэтому им нужно было вводить капчи так быстро, как только могли. Они разработали набор рекомендаций, которые позволили им быстро решить, какие слова reCAPTCHA они могут пропустить. Например:

Вам дадут 2 слова: 1 реальное, 1 фальшивое.

За [REAL FAKE] или же [FAKE REAL]Вы можете просто ввести REAL и это должно быть принято.

Если это [LOOKSREAL LOOKSREAL] или же [LOOKSFAKE LOOKSFAKE]обычно просто быстрее набрать оба слова. Не тратьте драгоценное время, решая, какой из них настоящий.

Используйте как внешний вид, так и тип слова, чтобы определить поддельное слово. Не полагайтесь только на один из них.

Весь набор правил здесь: поддельная капча.

Слабость систем CAPTCHA заключается в том, что люди создают комнаты, заполненные людьми в Китае, единственной задачей которых является просмотр изображения CAPTCHA и ввод результата, который подключается к автоматизированной системе, которая фактически выполняет рассылку спама.

Не так много, что вы можете сделать с этим на самом деле.

Это также намного дешевле, чем попытка распознавания изображения, распознавания текста и т. Д. На реальном изображении (в противном случае вы можете получить ответ менее чем за 0,01 доллара США).

Прежде чем поддаваться давлению использования капчи, рассмотрите творческие обходные пути, такие как наличие поля с пометкой "Ваши комментарии", которое скрыто CSS. Если поле введено, запрос отбрасывается сервером. Большинство ботов попадутся на это, даже если все еще нет хорошего способа победить комнату, полную неоплачиваемых рабочих, с которой капча не помогает в любом случае.

ОБНОВЛЕНИЕ: просто прочитайте пример, в котором удаление CAPTCHA увеличило коэффициент конверсии почти на 10%. Это указывало бы на то, что это довольно плохо, если вы теряете 10% своих лидов только для того, чтобы отфильтровать ботов. Представьте себе, что 10% означает для большинства предприятий.

Моя любимая капча от Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Распознавание изображений видов животных для ограничения доступа) - это HIP, который работает, предлагая пользователям идентифицировать фотографии кошек и собак. Эта задача трудна для компьютеров, но наши исследования показали, что люди могут выполнить ее быстро и точно. Многие даже думают, что это весело!

Это бесплатный сервис, и у них есть пример кода, чтобы вы начали.

Интересно, сколько времени пройдет, пока он не взломан.

ReCAPTACHA не сломан и не будет в течение очень долгого времени. Дело в том, что если вы внедрите свою собственную капчу, если она сломана, вероятно, потребуется много времени, чтобы это исправить.

Это взято со страницы о безопасности reCAPTCHA:

reCAPTCHA - это веб-сервис. Это означает, что все изображения создаются и оцениваются нашими серверами. (…) Это также обеспечивает дополнительный уровень защиты: наши CAPTCHA могут автоматически обновляться при обнаружении уязвимости безопасности.

Например, если кто-то напишет программу, которая может читать наши искаженные изображения, мы можем добавить больше искажений за очень короткое время, и веб-мастерам не придется ничего менять на их стороне.

Я считаю, что, поскольку они специализируются на капчах, у них есть улучшенные сохраненные версии, готовые к развертыванию за короткое время, если это необходимо. (Почему они должны создавать более сильную безопасность, когда слабый еще не сломлен?)

Он не только побежден, но и над ним успешно построено полезное приложение, которое стало самым удивительным инструментом для защиты от всех видов защиты от бесплатных аккаунтов большого списка сайтов с прямой загрузкой (не только megaupload и rapidshare).).

Jdownloader является открытым исходным кодом и написан на Java, поэтому взгляд на исходный код может ответить не только, если он сломан, но и как.

Изменить: Большинство сайтов прямой загрузки не используют reCaptcha, но более простой метод Captcha (3 заглавные буквы окрашены в разные цвета). Тем не менее, Jdownloader и Cryptload (программа, похожая на Jdownloader) являются единственными известными мне работающими реализациями, которые эффективно нарушили метод Captcha. Я не слышал ни о какой реализации взломать reCaptcha.

Обновление: Кажется, что по крайней мере одна реализация reCaptcha (не вся reCaptcha сама) была взломана тоже.

Обновление от декабря 2010: Jdownloader, похоже, наконец-то побеждает reCaptcha. Плагин все еще является экспериментальным и работает только на версиях Jdownloader для Windows, но, как мне сказал товарищ, который попробовал его, он работает.

• "Фактически, это [reCAPTCHA] стало довольно бесполезным 4 января [2011], когда спаммеры, очевидно, получили в свои руки программное обеспечение, которое обходит reCAPTCHA и позволяет полностью автоматизировать процесс регистрации. Боты были заняты, действительно очень заняты с тех пор " [1]

2-3 года назад подход, основанный на типизированном тексте с использованием капч, нарушил черту, когда они проиграли битву, то есть дальнейшие осложнения лишь делают их относительно (так как компьютерная мощь растет, а человек нет) легче для машин и более отвратительными и отталкивающими, если нет совершенно невозможно для людей. Это противоречит исходной парадигме CAPTCHA в качестве теста, чтобы гарантировать, что ответ не генерируется компьютером

Обновить:
Обратите внимание, что reCAPTCHA принадлежит Google Inc., но Google Inc. не использует его в своих собственных службах.
Вот ссылка на веб-страницу с капчей, используемой самим Google / для внутренних целей, например, для регистрации в Gmail:

Обратите внимание, что в Google reCAPTCHA всегда есть 2 слова.
Вот ссылка на изображение с reCAPTCHA от Google, предложенное для использования другими.

И скриншот reCAPTCHA:

Я оставляю очевидные выводы для читателя.

Цитируется: [ 1 ]
форумы vBulletin пострадали от спам-бота reCAPTCHA | Блог PC Pro
Опубликовано 12 января 2011 года Дэйви Уиндером

В прошлом году на Defcon была речь, в которой обсуждались проблемы с CAPTCHA в целом. Одна из вещей, которые они сделали, - это использование нескольких бесплатных механизмов распознавания текста, чтобы они голосовали за лучшие слова. Делая это, они смогли добиться несколько приличных шансов на успех. Для одного вида это было около 40%, но я не думаю, что это была reCaptcha.

Я вижу комментарии блога в системе, защищенной reCAPTCHA, где страница загружается, и через 1 секунду сообщение было успешно сделано. User-Agent был ерундой (в данном конкретном случае он утверждал, что работает под управлением Ubuntu 9.25/Firefox 3.8), реферер был с совершенно не связанного сайта без ссылки на нас.

Это явно автоматизировано.

Самый простой способ победить капчу - это Amazon Mechanical Turk. Есть парень по имени Кермит Уэлда, который платит людям по никелю за регистрацию учетных записей Hotmail, AOL и Gmail. Это 6000 фальшивых почтовых аккаунтов по 5 центов = 300 долларов в день. Стоимость ведения бизнеса довольно дешевая, если другие люди делают за вас грязную работу. Неудивительно, что спам-фильтры нашего сервера хотят отклонить что-либо из Hotmail.

reCAPTCHA не был побежден. Если это так, то почему Google просто купила его и объявила, что будет применять технологию в Google для повышения защиты от мошенничества и спама для продуктов Google?

от Google Приобретает reCAPTCHA, опубликованную в блоге Google 16.09.09:

Таким образом, уникальная технология reCAPTCHA улучшает процесс преобразования отсканированных изображений в простой текст, известный как оптическое распознавание символов (OCR). Эта технология также поддерживает масштабные проекты сканирования текста, такие как Google Книги и Поиск по архиву новостей Google. Наличие текстовой версии документов важно, потому что простой текст можно искать, легко отображать на мобильных устройствах и отображать для слабовидящих пользователей. Таким образом, мы будем применять эту технологию в Google не только для повышения защиты от продуктов Google от мошенничества и спама, но и для улучшения процесса сканирования книг и газет.

AFAIK На практике не существует инструмента для взлома реализации RE-капчи, однако в конечном итоге я предполагаю, что кто-то получит его.

Забавно, что если кому-то удастся заполучить его, тогда весь проект RE-captcha не имеет смысла, потому что re-captcha разработал оцифровку книг, что невозможно сделать автоматически.

Кстати:

Слабость систем CAPTCHA заключается в том, что люди создают комнаты, заполненные людьми в Китае, единственной задачей которых является просмотр изображения CAPTCHA и ввод результата, который подключается к автоматизированной системе, которая фактически выполняет рассылку спама.

Вы не можете защитить систему, думая так, это все равно что сказать: "Ваше веб-приложение недостаточно защищено, если ваш хост не находится в старом военном бункере, потому что теперь люди могут украсть вашу машину".

Есть много методов, которые используются для обмана recaptcha. В то время как трудно использовать программы с поддержкой нейронной сети для автоматического их решения, можно получить изображение и использовать механический турник Amazon или какую-то эквивалентную программу для их решения.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/