Была ли исправлена ​​/взломана reCaptcha/OCR'd/побежден/сломан?

Используются ли какие-либо методы программирования для поражения reCAPTCHA?

Мне интересно видеть доказательства и потенциальные демонстрации, в которых reCAPTCHA, в частности, устарели полностью автоматизированными, беззаботными методами.

Чтобы уточнить, не ищет рекапчи-обжуливая решений, которые включают людей в любом случае, будь то задача команды с заполнением из CAPCHAs, порно убежища или Mechanical Turk.

Я также не ищет альтернативы reCAPTCHA, например, выбирать тип животного или фоновые поля или обман javascript.

Ответы

Ответ 1

Я замечаю, что почти все ответы здесь касаются неэффективности концепции CAPTCHA, в принципе - и, хотя я очень с ними согласен, на самом деле дал беседуйте в OWASP несколько месяцев назад объясняя именно это - вопрос очень конкретный, поэтому я предоставлю демонстрацию.
Но сначала я повторю эту демонстрацию в сторону, перечитаю другие комментарии, поскольку это правда, что CAPTCHA бессмысленна и не помогает, не имеет значения для реализации....

Но действительно, посмотрите CAPTCHA Killer. Вы можете загрузить изображение CAPTCHA, и оно будет автоматически, если не сразу, предоставить ответ OCR'd. Он также предусматривает API (REST, я думаю, но, возможно, также SOAP). Я лично пробовал многочисленные образы reCAPTCHA, и на самом деле это были самые простые (или, по крайней мере, самые быстрые).

ОБНОВЛЕНИЕ: сайт CAPTCHA Killer теперь снят, очевидно, под давлением закона. См. http://captcha.org/ для полного обзора темы.

И да, OCR - это не лучший способ разбить защищенный сайт CAPTCHA - есть много других лучших способов.

Ответ 2

Вам может быть интересен этот подробный отчет о том, как 4chan победил reCAPTCHA, и использовал его для обработки ежегодных результатов опроса Time.com за 10 минут.

Взлом Recaptcha (он же "Поток пениса" )

Следующая тактика была использована, чтобы увидеть, могут ли они найти недостаток в реализации reCAPTCHA. Одна вещь, которую они обнаружили о reCAPTCHA, заключалась в том, что он всегда представляет пользователю два слова для декодирования - одно слово - это управляющее слово, известное системой reCAPTCHA, в то время как другое - неизвестное слово (reCAPTCHA использует людей, чтобы помочь исправить ошибки OCR). Википедия описывает процесс: "Отсканированный текст подвергается анализу двумя различными программами распознавания оптических символов: в тех случаях, когда программы не согласны, сомнительное слово преобразуется в CAPTCHA. Слово отображается вместе с уже известным контрольным словом и помечено Человеком. Те слова, которые последовательно дают единую метку судьями-людьми, перерабатываются в качестве контрольных слов". 2iasdo4. Аноним понял, что если бы они всегда обозначали неизвестный отсканированный текст тем же самым словом - и если бы они сделали это тысячи и тысячи раз, то в конечном итоге значительная часть неизвестных слов была бы неверно маркирована их словом. Все, что им нужно было сделать, это посмотреть на два слова в капчу, ввести надлежащую метку для "простой" (предположительно, это будет тот, с которой согласятся два оптических сканера) и ввести слово "пенис" для жесткого один. Если бы они делали это достаточно часто, то вскоре значительная часть изображений была бы обозначена как "пенис", и способность к автосоединению была бы восстановлена ​​(один побочный эффект, который не был потерян на "Аноним", заключался в том, что на долгие годы было бы несколько цифровых книг со словом "пенис", случайно вставленным в тексте. Обновление: я спросил у Бен Маурера, главного инженера reCAPTCHA об этой атаке "пениса", Бен говорит, что они предвидели этот тип атаки, и у них много защиты, которые будут препятствовать проникновению пенисов в барьер reCAPTCHA.

Оптимизация reCAPTCHA

Как ни привлекательно, как понятие "пенис" в текстах, анонимная команда знала, что часы тикают, и если они собираются восстановить сообщение, у них не было времени ждать, пока автовыводы вернутся в онлайн - им предстояло проголосовать вручную, много, много раз. И поэтому им нужно было входить в капчах так быстро, как только могли. Они разработали набор руководящих принципов, которые позволили им быстро решить, какие слова reCAPTCHA они могут пропустить. Например:

Вам дадут 2 слова: 1 реальный, 1 подделка.

     

Для [REAL FAKE] или [FAKE REAL] вы можете просто ввести REAL и его следует принять.

     

Если его [LOOKSREAL LOOKSREAL] или [LOOKSFAKE LOOKSFAKE], его обычно просто быстрее набирать оба слова. Не тратьте драгоценное время на решение, какой из них реально.

     

Используйте как внешний вид, так и тип слова для определения подделки     слово. Не полагайтесь только на один из них.

Весь набор правил находится здесь: поддельный captcha.

Ответ 3

Слабостью систем CAPTCHA является то, что люди создают комнаты, полные людей в Китае, единственная задача которых заключается в том, чтобы посмотреть изображение CAPTCHA и ввести результат, который подключается к автоматизированной системе, которая фактически выполняет рассылку.

Не так много можно сделать по этому поводу.

Это также намного дешевле, чем пытаться сделать распознавание изображений, OCR и т.д. на самом изображении (вы можете получить ответ менее чем на 0,01 доллара).

Ответ 4

Прежде чем поддаваться давлению использования captcha, рассмотрите творческие обходные пути, такие как наличие поля с надписью "Ваши комментарии", которое скрыто CSS. Если поле введено, запрос отбрасывается сервером. Большинство ботов будут падать за это, даже если еще не удастся победить комнату, полную низкооплачиваемых рабочих, которая в любом случае не поможет.

ОБНОВЛЕНИЕ: просто прочитайте пример где удаление CAPTCHA увеличилось на 10%. Это будет означать, что он довольно сломан, если вы теряете 10% своих потенциальных клиентов только для фильтрации ботов. Представьте, что 10% означает большинство предприятий.

Ответ 5

Мой любимый captcha от Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Азирра (изображение видов животных Признание ограничения доступа) это HIP, который работает, прося пользователей идентифицировать фотографии кошек и собак. Эта задача сложна для компьютеров, но наши исследования пользователей показали, что люди могут выполнить это быстро и точно. Многие даже считают это забавным!

Это бесплатный сервис, и у них есть пример кода, чтобы вы начали.

Интересно, как долго это будет до того, как оно будет разбито.

Ответ 6

reCAPTACHA не нарушается, и это будет не очень долго. Дело в том, что если вы реализуете свою собственную капчу, если она сломана, это, вероятно, займет много времени, чтобы ее исправить.

Это делается на странице о безопасности reCAPTCHA:

reCAPTCHA - это веб-сервис. Это значит что все изображения сгенерированы и оцененный нашими серверами. (…) это также обеспечивает дополнительный уровень защиты: наши CAPTCHA могут быть автоматически обновляется всякий раз, когда безопасность уязвимость найдена.

Например, если кто-то пишет программу, которая может читать наши искаженные изображений, мы можем добавить больше искажений в очень мало времени, и без Интернета мастерам нужно что-то менять их стороны.

Я считаю, что, поскольку они специализируются на капчах, у них есть улучшенные версии, готовые к развертыванию за короткое время, если это необходимо. (Почему они должны создавать более сильную защиту, если слабее еще не сломано?)

Ответ 7

Не только он был побежден, но и полезное приложение было успешно построено поверх него, чтобы стать самым удивительным инструментом для победить все виды бесплатных учетных записей большого списка сайтов прямой загрузки (не только megaupload и rapidshare).

Jdownloader является открытым исходным кодом и написан на Java, поэтому загляните в исходный код может отвечать не только , если он сломан, но и как.

Изменить. Большинство сайтов прямой загрузки не используют reCaptcha, а более простой метод Captcha (3 заглавные буквы, окрашенные в разные цвета). Тем не менее Jdownloader и Cryptload (программа, подобная Jdownloader) - единственные рабочие реализации, которые я знаю, которые эффективно нарушили метод Captcha. Я не слышал о какой-либо реализации, чтобы взломать reCaptcha.

Обновить. Похоже, что исправлена ​​хотя бы одна реализация reCaptcha (не полная рекапча) .

Update Dec 2010: Jdownloader похоже, наконец-то победит reCaptcha. Плагин по-прежнему экспериментальный и работает только в версиях Jdownloader для Windows, но, как мне сказал помощник, который его пробовал, он работает.

Ответ 8

речь в Defcon в прошлом году, которая вошла в проблемы с CAPTCHA в целом. Одна из вещей, которые они делали, это использование нескольких бесплатных движков OCR и их голосование по лучшим словам. Делая это, они смогли добиться довольно приличных шансов на успех. Для одного вида, это было 40% или около того, я не думаю, что это было reCaptcha, хотя.

Ответ 9

  • Фактически, это [reCAPTCHA] стало довольно бесполезным на 4 января [2011], когда спамеры, по-видимому, получили их коллективные руки на части программного обеспечения, которая обходит reCAPTCHA и позволяет полностью автоматизировать процесс регистрации. Боты были заняты, очень заняты, так как" [1]

2-3 года назад подход, основанный на написании текста на основе капчей, нарушил линию, когда они потеряли свою битву, т.е. дальнейшие осложнения просто делают их относительно (поскольку компьютерная мощность увеличивается, а человек - нет) легче для машин и более отвратительна и отталкивает, если не совсем невозможно, людям. Это связано с оригинальной парадигмой CAPTCHA в качестве теста, чтобы гарантировать, что ответ не сгенерирован компьютером

Update:
Обратите внимание, что reCAPTCHA принадлежит Google Inc., но Google Inc. не использует его своими услугами.
Вот ссылка, связывающая веб-страницу с капчей, который используется самим Google/внутри например, для регистрации Gmail:

alt text



Обратите внимание, что Google reCAPTCHA всегда имеет 2 слова.
Вот ссылка на образ с Google reCAPTCHA, предлагаемый для использования другими пользователями.

И скриншот reCAPTCHA:

alt text

Я оставляю очевидные выводы читателю.

Цитируется: [1]
Форумы vBulletin, затронутые reCAPTCHA cracking spam bot | Блог PC Pro
Опубликовано 12 января 2011 года by Davey Winder

Ответ 10

Я вижу комментарии блога о системе, защищенной reCAPTCHA, где загружается страница, и через 1 секунду сообщение было успешно выполнено. Пользователь-агент был вздор (в данном конкретном случае он утверждал, что работает Ubuntu 9.25/Firefox 3.8), реферер был из совершенно несвязанного сайта без ссылки на нас.

Это явно автоматизировано.

Ответ 11

reCAPTCHA не был побежден. Если бы это было так, то почему Google просто купил его и объявил, что они будут применять технологию в Google для увеличения защиты от мошенничества и защиты от спама для продуктов Google?

from Google приобретает reCAPTCHA, размещенную в блоге Google от 9/16/09:

Таким образом, уникальная технология reCAPTCHA улучшает процесс, который преобразует отсканированные изображения в обычный текст, известный как оптическое распознавание символов (OCR). Эта технология также поддерживает широкомасштабные проекты текстового сканирования, такие как Google Книги и Поиск в Новостях Google. Наличие текстовой версии документов важно, поскольку простой текст можно искать, легко отображать на мобильных устройствах и отображать для пользователей с ослабленным зрением. Таким образом, мы будем применять технологию в Google не только для повышения защиты от мошенничества и спама для продуктов Google, но и для улучшения наших книг и процесса сканирования газет.

Ответ 12

Самый простой способ победить Капчаса - Amazon Mechanical Turk. Там парень по имени Кермит Welda, который платит людям никель, каждый из которых регистрирует учетные записи Hotmail, AOL и Gmail. Это 6000 поддельных учетных записей электронной почты в 5 центов = 300 долларов США в день. Стоимость ведения бизнеса довольно дешева, когда у вас есть другие люди, которые делают для вас грязную работу. Неудивительно, что наши фильтры спама сервера хотят отклонить что-либо от Hotmail.

Ответ 13

AFAIK На практике нет инструмента для взлома реализации RE-captcha, однако в конечном итоге я предполагаю, что кто-то получит его.

Забавно, если кому-то удастся его получить, тогда весь проект RE-captcha бессмыслен, потому что re-captcha разработал оцифровку книг, которые невозможно сделать автоматическим способом.

BTW:

Слабостью систем CAPTCHA является что люди создают комнаты, полные люди в Китае, чья - посмотреть изображение CAPTCHA и тип в результате, который подключается к автоматическая система, которая фактически выполняет спам.

Вы не можете обеспечить такую ​​систему мышления, это как сказать: "Ваше веб-приложение недостаточно безопасно, если ваш хост не находится в старом военном бункере, потому что теперь люди могут украсть вашу машину".

Ответ 14

Существует множество методов, которые используются для удаления recaptcha. В то время как его трудноиспользуемые нейронные сетевые программы позволяли автоматически их решать, можно было захватить изображение и иметь амазонский механический турк или какую-то эквивалентную программу для их решения.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/