reCaptcha был взломан / взломанный / OCR'd / побежденный / поврежденный? [закрытый]
12 ответов
Я замечаю, что почти все ответы здесь касаются неэффективности понятие КАПЧИ, в принципе - и в то время как я очень соглашаюсь с ними, на самом деле дал разговор в OWASP несколько месяцев назад объяснение просто, что - вопрос очень конкретен, таким образом, я предусмотрю демонстрацию.
, Но сначала, я повторю ту демонстрацию в стороне, перечитаю другие комментарии, так как это - истина, что КАПЧА бессмысленна и не полезна, не важна из реализации....
, Но действительно, проверьте Уничтожитель КАПЧИ . Можно загрузить КАПЧУ, и она будет автоматически, если не сразу, предоставлять ответ OCR'd. Это также предусматривает API (REST, я думаю, но возможно также SOAP). Я лично попробовал многочисленные изображения reCAPTCHA, и это были на самом деле некоторые самые легкие (или по крайней мере самый быстрый) поврежденный.
ОБНОВЛЕНИЕ : веб-сайт Уничтожителя КАПЧИ теперь удален, по-видимому, под легальным давлением. См. http://captcha.org / для полного обзора темы.
И да, OCR не является лучшим способом повредиться, КАПЧА защитила сайт - существует много других лучших путей.
AFAIK На практике нет никакого инструмента для взламывания реализации капчи РЕ, однако в конечном счете я предполагаю, что кто-то получит его.
Достаточно забавный, если кому-то удается получить его затем, целый проект капчи РЕ бессмыслен, потому что разработанная перекапча оцифровывает книги, которые не могут быть сделаны автоматизированным способом.
BTW:
слабость систем КАПЧИ - то, что люди открывают комнаты, полные людей в Китае, чей только задание, которое это, состоит в том, чтобы посмотреть на КАПЧУ и тип в результате, который включает автоматизированную систему, это на самом деле делает спам.
Вы не можете защитить систему, думающую как этот, это похоже на высказывание "Вашего веб-приложения, не достаточно безопасно, если Ваш хост не находится в старом военном бункере, потому что теперь люди могут украсть Вашу машину".
Был речь в Обороноспособности в прошлом году , который вошел в проблемы с КАПЧАМИ в целом. Одна из вещей, которые они сделали, использовать несколько свободных механизмов OCR и сделала, чтобы они голосовали по лучшим словам. Делая это, они смогли достигнуть несколько достойного шанса следования. Для одного вида это были приблизительно 40%, я не думаю, что это был reCaptcha, все же.
reCAPTACHA не повреждается, и это не будет в течение очень долгого времени. Вещь при реализации собственной капчи, если она повреждается, вероятно, требуется много времени для фиксации его.
Это взято от страница о reCAPTCHA безопасности :
reCAPTCHA является веб-сервисом. Это означает, что все изображения сгенерированы и градуируются нашими серверами. (†¦), это также обеспечивает дополнительный уровень защиты: наши КАПЧИ могут быть автоматически обновлены каждый раз, когда уязвимость системы обеспечения безопасности найдена.
, Например, если кто-то пишет программу, которая может прочитать наши искаженные изображения, мы можем добавить больше искажений в очень небольшое количество времени, и без веб-мастеров, имеющих необходимость изменить что-либо на их стороне.
я верю, поскольку они специализированы на капчах, они улучшили версии, сохраненные, готовые быть развернутыми в небольшое время в случае необходимости. (Почему они должны создать более сильную безопасность, когда более слабое еще не повреждается?)
Моя любимая капча от Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/
Asirra (Распознавание изображений вида животных для Ограничения Доступа) является HIP, который работает, прося, чтобы пользователи определили фотографии кошек и собак. Эта задача является трудной для компьютеров, но наши пользовательские исследования показали, что люди могут выполнить ее быстро и точно. Многие даже думают, что это интересно!
Это - бесплатный сервис, и у них есть пример кода для запущения Вас.
интересно, какой длины это будет, прежде чем это будет взломано.
Перед признанием давления использования капчи рассмотрите творческие обходные решения, такие как маркировка поля "Your Comments", который скрыт CSS. Если поле вводится, запрос отбрасывается сервером. Большинство ботов попадется на него, даже если все еще не будет хорошего способа победить комнату, полную рабочих, которым недоплачивают, с которыми не помогает капча так или иначе.
ОБНОВЛЕНИЕ : Просто читайте тематическое исследование , где удаление КАПЧИ увеличило скорости преобразования почти на 10%. Это указало бы мне, что скорее повреждается, если Вы проигрываете, 10% из Вашего ведут только для отфильтровывания ботов. Вообразите то, что 10% значит для большинства компаний.
Слабость систем КАПЧИ - то, что люди открывают комнаты, полные людей в Китае, чей только задание, которое это, должно посмотреть на КАПЧУ и тип в результате, который включает автоматизированную систему, это на самом деле делает спам.
Не очень можно сделать об этом действительно.
Это также намного более дешево, чем попытка сделать распознавание изображений, OCR, и т.д. на действительном образе (можно получить ответ для менее чем 0,01$ другой путь).
Мало того, что это было побеждено, но также и , полезное приложение было успешно создано сверху его, для становления самым удивительным инструментом для нанесения поражения всему виду мер защиты бесплатной учетной записи большого списка прямых сайтов для скачивания (не только мегазагружают и rapidshare).
Jdownloader является открытым исходным кодом и записанный в Java так быстрый взгляд на , исходный код может ответить не только на [1 111], если он повреждается , но также и как .
Редактирование : большинство прямых сайтов для скачивания не использует reCaptcha, но более простой метод Капчи (3 прописных буквы раскрасили различные цвета). Тем не менее, Jdownloader и Cryptload (программа, подобная Jdownloader), является единственными рабочими реализациями, что я знаю, что эффективно повредили метод Капчи. Я не услышал ни о какой реализации для взламывания reCaptcha.
Обновление : кажется, что по крайней мере одна реализация reCaptcha (не сам целый reCaptcha) была взломана также .
декабрь 2010 Обновления : Jdownloader , кажется, наконец побеждает reCaptcha. Плагин все еще экспериментален и работает только над версиями Windows Jdownloader, но, поскольку мне сказал помощник, который попробовал его, он действительно работает.
You might be interested in this detailed report on how 4chan defeated reCAPTCHA, and used it to manipulate Time.com's annual TIME 100 Poll results.
Hacking Recaptcha (aka ‘The Penis Flood’)
The next tactic used was to see if they could find a flaw in the reCAPTCHA implementation. One thing they discovered about reCAPTCHA was that it always presents two words to a user for decoding - one word is a control word known by the reCAPTCHA system, while the other is an unknown word (reCAPTCHA uses the humans to help correct OCR errors). Wikipedia describes the process: “Scanned text is subjected to analysis by two different optical character recognition programs; in cases where the programs disagree, the questionable word is converted into a CAPTCHA. The word is displayed along with a control word already known and is labeled by the human. Those words that are consistently given a single label by human judges are recycled as control words”. 2iasdo4 What Anonymous realized was that if they always labeled the unknown scanned text with the same word - and if they did this thousands and thousands of times eventually a large percentage of the unknown words would be mislabeled with their word. All they had to do was look at the two words in the captcha, enter the proper label for the ‘easy’ one (presumably that would be the one that the two optical scanners would agree upon) and enter the word “penis” for the hard one. If they did this often enough, then soon a significant percentage of the images would be labeled as ‘penis’ and the ability to autovote would be restored (one side effect, that was not lost on Anonymous, was the notion that for years to come there would be a number of digital books with the word ‘penis’ randomly inserted throughout the text. Update: I asked Ben Maurer, chief engineer of reCAPTCHA about this ‘penis flood‘ attack, Ben says that they’ve anticipated this type of attack and they have numerous protections that will keep the penises from penetrating the reCAPTCHA barrier.
Optimizing reCAPTCHA
As appealing as the notion of sprinkling the word ‘penis’ into texts, the Anonymous team knew that the clock was ticking, and if they were going to restore the Message they didn’t have time to wait for the autovoters to come back online - they were going to have to vote manually, many, many times. And so they needed to be able to enter captcha’s as fast as they could. They developed a set of guidelines that allowed them to quickly decide which reCAPTCHA words they could skip. For example:
You will be given 2 words: 1 real, 1 fake.
For
[REAL FAKE]or[FAKE REAL], you can just type inREALand it should be accepted.If it’s
[LOOKSREAL LOOKSREAL]or[LOOKSFAKE LOOKSFAKE], it’s usually just quicker to just type in both words. Don’t waste precious time deciding which one of them is real.Use both the appearance and the type of word to identify a fake word. Don’t rely on just one of them.
The whole ruleset is here: fake captcha.
reCAPTCHA не была побеждена. Если это было так, то почему Google просто купил его и объявил, что будет применять эту технологию внутри Google для усиления защиты от мошенничества и спама для продуктов Google?
из Google Acquires reCAPTCHA , размещенного в блоге Google от 16.09.09:
Таким образом, уникальная технология reCAPTCHA улучшает процесс преобразования отсканированных изображений в обычный текст, известный как оптическое распознавание символов (OCR). Эта технология также используется в крупномасштабных проектах сканирования текста, таких как Google Книги и поиск в архиве новостей Google. Наличие текстовой версии документов важно, поскольку простой текст можно искать, легко отображать на мобильных устройствах и отображать для пользователей с ослабленным зрением. Итак, мы Я буду применять эту технологию в Google не только для повышения защиты продуктов Google от мошенничества и спама, но и для улучшения наших книг и процесса сканирования газет.
Есть много способов, которые используются для дерьма recaptcha. Хотя его трудно использовать программы с поддержкой NetWPork NetWpork для автоматической решающей их, можно получить изображение и иметь механический турок Amazon или некоторые эквивалентные программы для их решения.
http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/
Я вижу комментарии в блоге в системе, защищенной reCAPTCHA, где страница загружается и через 1 секунду сообщение было успешно опубликовано. User-Agent был ерундой (в данном конкретном случае он утверждал, что работает под управлением Ubuntu 9.25 / Firefox 3.8), реферер был с совершенно не связанного с нами сайта без ссылки на нас.
Это явно автоматизировано.