Wurde reCaptcha geknackt / gehackt / OCR / besiegt / gebrochen? [geschlossen]

Wurden Programmiermethoden verwendet, um reCAPTCHA zu besiegen?

Ich bin daran interessiert, Beweise und potenzielle Demonstrationen dafür zu sehen, dass insbesondere reCAPTCHA durch vollständig automatisierte, menschenlose Methoden überholt wurde.

Zur Verdeutlichung, nicht nach reCAPTCHA-Betrugslösungen suchen, an denen Menschen in irgendeiner Weise beteiligt sind, unabhängig davon, ob Teams mit dem Ausfüllen von CAPCHAs, Pornosuchenden oder Mechanical Turk beauftragt sind.

Ich suche auch nicht nach Alternativen zu reCAPTCHA, wie der Auswahl des Tiertyps, Hintergrundfeldern oder Javascript-Tricks.

Ich stelle fest, dass sich fast alle Antworten hier im Prinzip auf die Unwirksamkeit des Konzepts von CAPTCHA beziehen - und obwohl ich ihnen sehr zustimme, habe ich vor einigen Monaten bei OWASP einen Vortrag gehalten , in dem genau das erklärt wurde -, ist die Frage sehr spezifisch , also werde ich für eine Demonstration sorgen.
Aber zuerst werde ich diese Demonstration beiseite wiederholen und die anderen Kommentare noch einmal lesen, da es wahr ist, dass CAPTCHA sinnlos und nicht hilfreich ist, unabhängig von der Implementierung ...

Aber wirklich, schauen Sie sich CAPTCHA Killer an . Sie können ein CAPTCHA-Bild hochladen, das automatisch, wenn nicht sofort, die OCR-Antwort liefert. Es bietet auch eine API (REST, denke ich, aber vielleicht auch SOAP). Ich persönlich habe zahlreiche reCAPTCHA-Bilder ausprobiert, und es waren tatsächlich einige der einfachsten (oder zumindest schnellsten) kaputten.

UPDATE : Die Website von CAPTCHA Killer ist jetzt geschlossen, offenbar unter rechtlichem Druck. Eine vollständige Übersicht über das Thema finden Sie unter http://captcha.org/ .

Und ja, OCR ist nicht der beste Weg, um eine CAPTCHA-geschützte Site zu zerstören - es gibt viele andere bessere Wege.

Dieser detaillierte Bericht darüber, wie 4chan reCAPTCHA besiegt und damit die jährlichen TIME 100-Umfrageergebnisse von Time.com manipuliert hat, könnte Sie interessieren .

Hacking Recaptcha (auch bekannt als "The Penis Flood")

Die nächste angewandte Taktik bestand darin, festzustellen, ob sie einen Fehler in der reCAPTCHA-Implementierung finden konnten. Eine Sache, die sie bei reCAPTCHA entdeckt haben, war, dass es einem Benutzer immer zwei Wörter zum Decodieren präsentiert - ein Wort ist ein Steuerwort, das dem reCAPTCHA-System bekannt ist, während das andere ein unbekanntes Wort ist (reCAPTCHA verwendet die Menschen, um OCR-Fehler zu korrigieren). Wikipedia beschreibt den Prozess wie folgt: „Gescannter Text wird von zwei verschiedenen optischen Zeichenerkennungsprogrammen analysiert. In Fällen, in denen die Programme nicht übereinstimmen, wird das fragliche Wort in ein CAPTCHA umgewandelt. Das Wort wird zusammen mit einem bereits bekannten Steuerwort angezeigt und vom Menschen beschriftet. Die Wörter, die von menschlichen Richtern durchweg mit einem einzigen Etikett versehen werden, werden als Kontrollwörter recycelt. “ 2iasdo4 Was Anonymous erkannte, war, dass, wenn sie den unbekannten gescannten Text immer mit demselben Wort beschrifteten - und wenn sie dies tausende und tausende Male taten, schließlich ein großer Prozentsatz der unbekannten Wörter mit ihrem Wort falsch beschriftet würde. Alles, was sie tun mussten, war, sich die beiden Wörter im Captcha anzusehen, das richtige Etikett für das "einfache" einzugeben (vermutlich das, auf das sich die beiden optischen Scanner einigen würden) und das Wort "Penis" für das einzugeben schwer. Wenn sie dies oft genug taten, würde bald ein erheblicher Prozentsatz der Bilder als "Penis" bezeichnet und die Fähigkeit zur automatischen Abstimmung wiederhergestellt (ein Nebeneffekt, der bei Anonymous nicht verloren ging, war die Vorstellung, dass dies für die kommenden Jahre der Fall sein würde Es würde eine Reihe digitaler Bücher geben, in denen das Wort "Penis" zufällig im Text eingefügt wird. Update: Ich fragte Ben Maurer:

ReCAPTCHA optimieren

So ansprechend wie der Gedanke, das Wort "Penis" in Texte zu streuen, wusste das anonyme Team, dass die Uhr tickt, und wenn sie die Nachricht wiederherstellen wollten, hatten sie keine Zeit zu warten, bis die Autovooter wieder online waren - Sie mussten viele, viele Male manuell abstimmen. Und so mussten sie in der Lage sein, so schnell wie möglich in Captchas einzutreten. Sie entwickelten eine Reihe von Richtlinien, anhand derer sie schnell entscheiden konnten, welche reCAPTCHA-Wörter sie überspringen konnten. Beispielsweise:

Sie erhalten 2 Wörter: 1 echtes, 1 falsches.

Für [REAL FAKE]oder [FAKE REAL]können Sie einfach eingeben REALund es sollte akzeptiert werden.

Wenn es [LOOKSREAL LOOKSREAL]oder ist [LOOKSFAKE LOOKSFAKE], ist es normalerweise nur schneller, beide Wörter einzugeben. Verschwenden Sie keine kostbare Zeit damit, zu entscheiden, welcher von ihnen echt ist.

Verwenden Sie sowohl das Aussehen als auch die Art des Wortes, um ein falsches Wort zu identifizieren. Verlassen Sie sich nicht nur auf einen von ihnen.

Der ganze Regelsatz ist hier: Fake Captcha .

Die Schwäche von CAPTCHA-Systemen besteht darin, dass Menschen in China Räume voller Menschen einrichten, deren einzige Aufgabe es ist, ein CAPTCHA-Bild zu betrachten und das Ergebnis einzugeben, das in das automatisierte System eingesteckt wird, das tatsächlich das Spam-Verfahren ausführt.

Daran kann man eigentlich nicht viel ändern.

Es ist auch weitaus billiger als der Versuch, Bilderkennung, OCR usw. für das tatsächliche Bild durchzuführen (andernfalls erhalten Sie möglicherweise eine Antwort für unter 0,01 USD).

Bevor Sie dem Druck der Verwendung von Captcha nachgeben, sollten Sie kreative Problemumgehungen in Betracht ziehen, z. B. ein Feld mit der Bezeichnung "Ihre Kommentare", das von CSS ausgeblendet wird. Wenn das Feld eingegeben wird, wird die Anforderung vom Server gelöscht. Die meisten Bots werden darauf hereinfallen, auch wenn es immer noch keinen guten Weg gibt, den Raum voller unterbezahlter Arbeiter zu besiegen, was Captcha sowieso nicht hilft.

UPDATE : Lesen Sie einfach eine Fallstudie, in der das Entfernen von CAPTCHA die Conversion-Raten um fast 10% erhöhte. Das würde mir anzeigen, dass es ziemlich kaputt ist, wenn Sie 10% Ihrer Leads verlieren, nur um Bots herauszufiltern. Stellen Sie sich vor, was 10% für die meisten Unternehmen bedeuten.

Mein Lieblings-Captcha stammt von Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Tierarten-Bilderkennung zur Einschränkung des Zugriffs) ist ein HIP, bei dem Benutzer aufgefordert werden, Fotos von Katzen und Hunden zu identifizieren. Diese Aufgabe ist für Computer schwierig, aber unsere Benutzerstudien haben gezeigt, dass Menschen sie schnell und genau ausführen können. Viele denken sogar, dass es Spaß macht!

Es ist ein kostenloser Dienst und sie haben Beispielcode, um Ihnen den Einstieg zu erleichtern.

Ich frage mich, wie lange es dauern wird, bis es geknackt wird.

reCAPTACHA ist nicht kaputt und es wird nicht lange dauern. Die Sache ist, wenn Sie Ihr eigenes Captcha implementieren, wenn es kaputt ist, dauert es wahrscheinlich lange, bis es behoben ist.

Dies ist der Seite über die Sicherheit von reCAPTCHA entnommen :

reCAPTCHA ist ein Webdienst. Das bedeutet, dass alle Bilder von unseren Servern generiert und bewertet werden. (…) Dies bietet auch ein zusätzliches Schutzniveau: Unsere CAPTCHAs können automatisch aktualisiert werden, wenn eine Sicherheitslücke gefunden wird.

Wenn beispielsweise jemand ein Programm schreibt, das unsere verzerrten Bilder lesen kann, können wir in kürzester Zeit weitere Verzerrungen hinzufügen, ohne dass Webmaster irgendetwas an ihrer Seite ändern müssen.

Ich glaube, da sie auf Captchas spezialisiert sind, haben sie verbesserte Versionen gespeichert, die bei Bedarf in kurzer Zeit bereitgestellt werden können. (Warum sollten sie eine stärkere Sicherheit schaffen, wenn die schwächere noch nicht kaputt ist?)

Es wurde nicht nur besiegt, sondern es wurde auch eine nützliche Anwendung erfolgreich darauf aufgebaut, um das erstaunlichste Tool zu werden, mit dem alle Arten von kostenlosen Kontoschutzfunktionen einer großen Liste von Direkt-Download-Sites (nicht nur Megaupload und Rapidshare) besiegt werden können ).

Jdownloader ist Open Source und in Java geschrieben, sodass ein Blick auf den Quellcode nicht nur antworten kann, wenn er kaputt ist, sondern auch wie .

Bearbeiten : Die meisten direkten Download-Sites verwenden nicht reCaptcha, sondern eine einfachere Captcha-Methode (3 Großbuchstaben in verschiedenen Farben). Trotzdem sind Jdownloader und Cryptload (ein Programm ähnlich wie Jdownloader) die einzigen funktionierenden Implementierungen, von denen ich weiß, dass sie eine Captcha-Methode effektiv beschädigt haben. Ich habe noch keine Implementierung zum Knacken von reCaptcha gehört.

Update : Es scheint, dass mindestens eine Implementierung von reCaptcha (nicht das gesamte reCaptcha selbst) ebenfalls geknackt wurde .

Update Dezember 2010 : Jdownloader scheint endlich reCaptcha zu besiegen . Das Plugin ist noch experimentell und funktioniert nur unter Windows-Versionen von Jdownloader, aber wie mir von einem Kollegen gesagt wurde, der es ausprobiert hat, funktioniert es.

Letztes Jahr gab es bei Defcon eine Rede , die sich mit den Problemen mit CAPTCHAs im Allgemeinen befasste. Eines der Dinge, die sie getan haben, ist die Verwendung mehrerer kostenloser OCR-Engines und die Abstimmung über die besten Wörter. Auf diese Weise konnten sie eine recht gute Erfolgschance erzielen. Zum einen waren es ungefähr 40%, aber ich glaube nicht, dass es reCaptcha war.

• "Tatsächlich wurde es [reCAPTCHA] am 4. Januar [2011] ziemlich nutzlos, als Spammer offenbar gemeinsam eine Software in die Hände bekamen, die reCAPTCHA umgeht und einen vollautomatischen Registrierungsprozess ermöglicht. Die Bots waren beschäftigt, sehr beschäftigt , seitdem " [1]

Vor zwei bis drei Jahren hat der auf Texttypen basierende Captchas-Ansatz die Grenze überschritten, als sie ihren Kampf verloren haben, dh weitere Komplikationen machen sie für Maschinen relativ (da die Computerleistung zunimmt, während der Mensch nicht) einfacher und abstoßender und abstoßender, wenn nicht für Menschen völlig unmöglich. Dies steht im Widerspruch zum ursprünglichen Paradigma von CAPTCHA als Test, um sicherzustellen, dass die Antwort nicht von einem Computer generiert wird

Update:
Beachten Sie, dass reCAPTCHA Eigentum von Google Inc. ist , Google Inc. es jedoch nicht von seinen eigenen Diensten verwendet.
Hier ist ein Link mit einer Webseite mit Captcha, die von Google selbst / intern zum Beispiel für die Google Mail-Registrierung verwendet wird:

Beachten Sie, dass Googles reCAPTCHA immer zwei Wörter enthält.
Hier ist der Link für das Bild mit Googles reCAPTCHA, der zur Verwendung durch andere angeboten wird .

Und der Screenshot von reCAPTCHA:

Ich überlasse es einem Leser, die offensichtlichen Schlussfolgerungen zu ziehen.

Zitiert: [1]
vBulletin-Foren, die von reCAPTCHA-Cracking-Spam-Bot | getroffen wurden PC Pro Blog
Gepostet am 12. Januar 2011 von Davey Winder

Ich sehe Blog-Kommentare zu einem durch reCAPTCHA geschützten System, auf dem die Seite geladen wird, und 1 Sekunde später wurde der Beitrag erfolgreich erstellt. Der User-Agent war Unsinn (in diesem speziellen Fall behauptete er, Ubuntu 9.25 / Firefox 3.8 auszuführen), der Referrer stammte von einer völlig unabhängigen Site ohne Link zu uns.

Dies ist eindeutig automatisiert.

reCAPTCHA wurde nicht besiegt. Wenn ja, warum hat Google es dann einfach gekauft und angekündigt, die Technologie in Google anzuwenden, um den Schutz vor Betrug und Spam für Google-Produkte zu verbessern?

von Google erwirbt reCAPTCHA , das am 16.9.09 im Google Blog veröffentlicht wurde:

Auf diese Weise verbessert die einzigartige Technologie von reCAPTCHA den Prozess, der gescannte Bilder in einfachen Text konvertiert, der als optische Zeichenerkennung (OCR) bezeichnet wird. Diese Technologie unterstützt auch umfangreiche Text-Scan-Projekte wie Google Books und Google News Archive Search. Die Textversion von Dokumenten ist wichtig, da einfacher Text durchsucht, auf Mobilgeräten einfach gerendert und sehbehinderten Benutzern angezeigt werden kann. Daher werden wir die Technologie in Google nicht nur einsetzen, um den Schutz vor Betrug und Spam für Google-Produkte zu verbessern, sondern auch, um unseren Prozess zum Scannen von Büchern und Zeitungen zu verbessern.

Der einfachste Weg, Captchas zu besiegen, ist Amazon Mechanical Turk. Es gibt einen Typen namens Kermit Welda, der den Leuten jeweils einen Nickel zahlt, um Hotmail-, AOL- und Gmail-Konten zu registrieren. Das sind 6.000 gefälschte E-Mail-Konten zu 5 Cent = 300 US-Dollar pro Tag. Die Kosten für das Geschäft sind ziemlich günstig, wenn andere Leute die Drecksarbeit für Sie erledigen. Kein Wunder, dass die Spam-Filter unseres Servers alles von Hotmail ablehnen möchten.

AFAIK In der Praxis gibt es kein Tool, um die RE-Captcha-Implementierung zu knacken. Ich gehe jedoch davon aus, dass es irgendwann jemand bekommen wird.

Komisch genug, wenn jemand es schafft, es zu bekommen, dann ist das gesamte RE-Captcha-Projekt sinnlos, weil Re-Captcha entworfene Digitalisierungsbücher entworfen hat, die nicht automatisiert durchgeführt werden können.

Übrigens:

Die Schwäche von CAPTCHA-Systemen besteht darin, dass Menschen in China Räume voller Menschen einrichten, deren einzige Aufgabe es ist, ein CAPTCHA-Bild zu betrachten und das Ergebnis einzugeben, das in das automatisierte System eingesteckt wird, das tatsächlich das Spam-Verfahren ausführt.

Sie können ein solches System nicht sichern. Dies bedeutet, dass Sie sagen: "Ihre Webanwendung ist nicht sicher genug, wenn sich Ihr Host nicht in einem alten Militärbunker befindet, weil jetzt Leute Ihre Maschine stehlen können."

Es gibt viele Methoden, die verwendet werden, um Recaptcha zu bescheißen. Während es schwierig ist, neuronale Netwpork-fähige Programme zu verwenden, um sie automatisch zu lösen, ist es möglich, das Bild zu erfassen und Amazon's Mechanical Turk oder ein gleichwertiges Programm zu haben, um sie zu lösen.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/