Wurden Programmiermethoden verwendet, um reCAPTCHA zu besiegen?
Ich bin daran interessiert, Beweise und potenzielle Demonstrationen dafür zu sehen, dass insbesondere reCAPTCHA durch vollständig automatisierte, menschenlose Methoden überholt wurde.
Zur Verdeutlichung, nicht nach reCAPTCHA-Betrugslösungen suchen, an denen Menschen in irgendeiner Weise beteiligt sind, unabhängig davon, ob Teams mit dem Ausfüllen von CAPCHAs, Pornosuchenden oder Mechanical Turk beauftragt sind.
Ich suche auch nicht nach Alternativen zu reCAPTCHA, wie der Auswahl des Tiertyps, Hintergrundfeldern oder Javascript-Tricks.
pwned
drin istAntworten:
Ich stelle fest, dass sich fast alle Antworten hier im Prinzip auf die Unwirksamkeit des Konzepts von CAPTCHA beziehen - und obwohl ich ihnen sehr zustimme, habe ich vor einigen Monaten bei OWASP einen Vortrag gehalten , in dem genau das erklärt wurde -, ist die Frage sehr spezifisch , also werde ich für eine Demonstration sorgen.
Aber zuerst werde ich diese Demonstration beiseite wiederholen und die anderen Kommentare noch einmal lesen, da es wahr ist, dass CAPTCHA sinnlos und nicht hilfreich ist, unabhängig von der Implementierung ...
Aber wirklich, schauen Sie sich CAPTCHA Killer an . Sie können ein CAPTCHA-Bild hochladen, das automatisch, wenn nicht sofort, die OCR-Antwort liefert. Es bietet auch eine API (REST, denke ich, aber vielleicht auch SOAP). Ich persönlich habe zahlreiche reCAPTCHA-Bilder ausprobiert, und es waren tatsächlich einige der einfachsten (oder zumindest schnellsten) kaputten.
UPDATE : Die Website von CAPTCHA Killer ist jetzt geschlossen, offenbar unter rechtlichem Druck. Eine vollständige Übersicht über das Thema finden Sie unter http://captcha.org/ .
Und ja, OCR ist nicht der beste Weg, um eine CAPTCHA-geschützte Site zu zerstören - es gibt viele andere bessere Wege.
quelle
Dieser detaillierte Bericht darüber, wie 4chan reCAPTCHA besiegt und damit die jährlichen TIME 100-Umfrageergebnisse von Time.com manipuliert hat, könnte Sie interessieren .
quelle
Die Schwäche von CAPTCHA-Systemen besteht darin, dass Menschen in China Räume voller Menschen einrichten, deren einzige Aufgabe es ist, ein CAPTCHA-Bild zu betrachten und das Ergebnis einzugeben, das in das automatisierte System eingesteckt wird, das tatsächlich das Spam-Verfahren ausführt.
Daran kann man eigentlich nicht viel ändern.
Es ist auch weitaus billiger als der Versuch, Bilderkennung, OCR usw. für das tatsächliche Bild durchzuführen (andernfalls erhalten Sie möglicherweise eine Antwort für unter 0,01 USD).
quelle
Bevor Sie dem Druck der Verwendung von Captcha nachgeben, sollten Sie kreative Problemumgehungen in Betracht ziehen, z. B. ein Feld mit der Bezeichnung "Ihre Kommentare", das von CSS ausgeblendet wird. Wenn das Feld eingegeben wird, wird die Anforderung vom Server gelöscht. Die meisten Bots werden darauf hereinfallen, auch wenn es immer noch keinen guten Weg gibt, den Raum voller unterbezahlter Arbeiter zu besiegen, was Captcha sowieso nicht hilft.
UPDATE : Lesen Sie einfach eine Fallstudie, in der das Entfernen von CAPTCHA die Conversion-Raten um fast 10% erhöhte. Das würde mir anzeigen, dass es ziemlich kaputt ist, wenn Sie 10% Ihrer Leads verlieren, nur um Bots herauszufiltern. Stellen Sie sich vor, was 10% für die meisten Unternehmen bedeuten.
quelle
Mein Lieblings-Captcha stammt von Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/
Es ist ein kostenloser Dienst und sie haben Beispielcode, um Ihnen den Einstieg zu erleichtern.
Ich frage mich, wie lange es dauern wird, bis es geknackt wird.
quelle
reCAPTACHA ist nicht kaputt und es wird nicht lange dauern. Die Sache ist, wenn Sie Ihr eigenes Captcha implementieren, wenn es kaputt ist, dauert es wahrscheinlich lange, bis es behoben ist.
Dies ist der Seite über die Sicherheit von reCAPTCHA entnommen :
Ich glaube, da sie auf Captchas spezialisiert sind, haben sie verbesserte Versionen gespeichert, die bei Bedarf in kurzer Zeit bereitgestellt werden können. (Warum sollten sie eine stärkere Sicherheit schaffen, wenn die schwächere noch nicht kaputt ist?)
quelle
Es wurde nicht nur besiegt, sondern es wurde auch eine nützliche Anwendung erfolgreich darauf aufgebaut, um das erstaunlichste Tool zu werden, mit dem alle Arten von kostenlosen Kontoschutzfunktionen einer großen Liste von Direkt-Download-Sites (nicht nur Megaupload und Rapidshare) besiegt werden können ).
Jdownloader ist Open Source und in Java geschrieben, sodass ein Blick auf den Quellcode nicht nur antworten kann, wenn er kaputt ist, sondern auch wie .
Bearbeiten : Die meisten direkten Download-Sites verwenden nicht reCaptcha, sondern eine einfachere Captcha-Methode (3 Großbuchstaben in verschiedenen Farben). Trotzdem sind Jdownloader und Cryptload (ein Programm ähnlich wie Jdownloader) die einzigen funktionierenden Implementierungen, von denen ich weiß, dass sie eine Captcha-Methode effektiv beschädigt haben. Ich habe noch keine Implementierung zum Knacken von reCaptcha gehört.
Update : Es scheint, dass mindestens eine Implementierung von reCaptcha (nicht das gesamte reCaptcha selbst) ebenfalls geknackt wurde .
Update Dezember 2010 : Jdownloader scheint endlich reCaptcha zu besiegen . Das Plugin ist noch experimentell und funktioniert nur unter Windows-Versionen von Jdownloader, aber wie mir von einem Kollegen gesagt wurde, der es ausprobiert hat, funktioniert es.
quelle
Letztes Jahr gab es bei Defcon eine Rede , die sich mit den Problemen mit CAPTCHAs im Allgemeinen befasste. Eines der Dinge, die sie getan haben, ist die Verwendung mehrerer kostenloser OCR-Engines und die Abstimmung über die besten Wörter. Auf diese Weise konnten sie eine recht gute Erfolgschance erzielen. Zum einen waren es ungefähr 40%, aber ich glaube nicht, dass es reCaptcha war.
quelle
Vor zwei bis drei Jahren hat der auf Texttypen basierende Captchas-Ansatz die Grenze überschritten, als sie ihren Kampf verloren haben, dh weitere Komplikationen machen sie für Maschinen relativ (da die Computerleistung zunimmt, während der Mensch nicht) einfacher und abstoßender und abstoßender, wenn nicht für Menschen völlig unmöglich. Dies steht im Widerspruch zum ursprünglichen Paradigma von CAPTCHA als Test, um sicherzustellen, dass die Antwort nicht von einem Computer generiert wird
Update:
Beachten Sie, dass reCAPTCHA Eigentum von Google Inc. ist , Google Inc. es jedoch nicht von seinen eigenen Diensten verwendet.
Hier ist ein Link mit einer Webseite mit Captcha, die von Google selbst / intern zum Beispiel für die Google Mail-Registrierung verwendet wird:
Beachten Sie, dass Googles reCAPTCHA immer zwei Wörter enthält.
Hier ist der Link für das Bild mit Googles reCAPTCHA, der zur Verwendung durch andere angeboten wird .
Und der Screenshot von reCAPTCHA:
Ich überlasse es einem Leser, die offensichtlichen Schlussfolgerungen zu ziehen.
Zitiert: [1]
vBulletin-Foren, die von reCAPTCHA-Cracking-Spam-Bot | getroffen wurden PC Pro Blog
Gepostet am 12. Januar 2011 von Davey Winder
quelle
Ich sehe Blog-Kommentare zu einem durch reCAPTCHA geschützten System, auf dem die Seite geladen wird, und 1 Sekunde später wurde der Beitrag erfolgreich erstellt. Der User-Agent war Unsinn (in diesem speziellen Fall behauptete er, Ubuntu 9.25 / Firefox 3.8 auszuführen), der Referrer stammte von einer völlig unabhängigen Site ohne Link zu uns.
Dies ist eindeutig automatisiert.
quelle
reCAPTCHA wurde nicht besiegt. Wenn ja, warum hat Google es dann einfach gekauft und angekündigt, die Technologie in Google anzuwenden, um den Schutz vor Betrug und Spam für Google-Produkte zu verbessern?
von Google erwirbt reCAPTCHA , das am 16.9.09 im Google Blog veröffentlicht wurde:
quelle
Der einfachste Weg, Captchas zu besiegen, ist Amazon Mechanical Turk. Es gibt einen Typen namens Kermit Welda, der den Leuten jeweils einen Nickel zahlt, um Hotmail-, AOL- und Gmail-Konten zu registrieren. Das sind 6.000 gefälschte E-Mail-Konten zu 5 Cent = 300 US-Dollar pro Tag. Die Kosten für das Geschäft sind ziemlich günstig, wenn andere Leute die Drecksarbeit für Sie erledigen. Kein Wunder, dass die Spam-Filter unseres Servers alles von Hotmail ablehnen möchten.
quelle
AFAIK In der Praxis gibt es kein Tool, um die RE-Captcha-Implementierung zu knacken. Ich gehe jedoch davon aus, dass es irgendwann jemand bekommen wird.
Komisch genug, wenn jemand es schafft, es zu bekommen, dann ist das gesamte RE-Captcha-Projekt sinnlos, weil Re-Captcha entworfene Digitalisierungsbücher entworfen hat, die nicht automatisiert durchgeführt werden können.
Übrigens:
Sie können ein solches System nicht sichern. Dies bedeutet, dass Sie sagen: "Ihre Webanwendung ist nicht sicher genug, wenn sich Ihr Host nicht in einem alten Militärbunker befindet, weil jetzt Leute Ihre Maschine stehlen können."
quelle
Es gibt viele Methoden, die verwendet werden, um Recaptcha zu bescheißen. Während es schwierig ist, neuronale Netwpork-fähige Programme zu verwenden, um sie automatisch zu lösen, ist es möglich, das Bild zu erfassen und Amazon's Mechanical Turk oder ein gleichwertiges Programm zu haben, um sie zu lösen.
http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/
quelle