Apakah reCaptcha telah di-crack / diretas / OCR / dikalahkan / rusak? [Tutup]

Apakah ada metode pemrograman yang telah digunakan untuk mengalahkan reCAPTCHA?

Saya tertarik untuk melihat bukti dan demonstrasi potensial bahwa reCAPTCHA khususnya telah dibuat usang dengan metode yang sepenuhnya tidak manusiawi.

Untuk memperjelas, tidak mencari solusi kecurangan reCAPTCHA yang melibatkan manusia dengan cara apa pun, baik tim yang ditugaskan mengisi CAPCHA, pencari pornografi, atau Mechanical Turk.

Saya juga tidak mencari alternatif untuk reCAPTCHA, seperti memilih jenis hewan, atau bidang latar belakang atau tipuan javascript.

Saya perhatikan bahwa hampir semua jawaban di sini berhubungan dengan ketidakefektifan konsep CAPTCHA, pada prinsipnya - dan sementara saya sangat setuju dengan mereka, sebenarnya memberikan ceramah di OWASP beberapa bulan yang lalu menjelaskan hanya itu - pertanyaannya sangat spesifik , jadi saya akan memberikan demonstrasi.
Tetapi pertama-tama, saya akan mengulangi demonstrasi itu, membaca kembali komentar-komentar lain, karena memang benar bahwa CAPTCHA tidak ada gunanya dan tidak membantu, tidak relevan untuk implementasi ....

Tapi sungguh, periksa CAPTCHA Killer . Anda dapat mengunggah gambar CAPTCHA, dan itu akan secara otomatis, jika tidak segera, memberikan jawaban OCR. Ini juga menyediakan untuk API (REST, saya pikir, tapi mungkin juga SABUN). Saya pribadi mencoba banyak gambar reCAPTCHA, dan itu sebenarnya beberapa yang paling mudah (atau paling cepat) rusak.

UPDATE : Situs web CAPTCHA Killer sekarang diturunkan, tampaknya di bawah tekanan hukum. Lihat http://captcha.org/ untuk ikhtisar lengkap tentang topik tersebut.

Dan ya, OCR bukan cara terbaik untuk memecahkan situs yang dilindungi CAPTCHA - ada banyak cara lain yang lebih baik.

Anda mungkin tertarik dengan laporan terperinci ini tentang bagaimana 4chan mengalahkan reCAPTCHA, dan menggunakannya untuk memanipulasi hasil Polling TIME 100 TIME 100 tahunan .

Hacking Recaptcha (alias 'The Flood Penis')

Taktik selanjutnya yang digunakan adalah untuk melihat apakah mereka dapat menemukan kelemahan dalam implementasi reCAPTCHA. Satu hal yang mereka temukan tentang reCAPTCHA adalah selalu memberikan dua kata kepada pengguna untuk decoding - satu kata adalah kata kontrol yang dikenal oleh sistem reCAPTCHA, sementara yang lain adalah kata yang tidak dikenal (reCAPTCHA menggunakan manusia untuk membantu memperbaiki kesalahan OCR). Wikipedia menjelaskan prosesnya: “Teks yang dipindai akan dianalisis oleh dua program pengenalan karakter optik yang berbeda; dalam kasus di mana program tidak setuju, kata yang dipertanyakan dikonversi menjadi CAPTCHA. Kata tersebut ditampilkan bersama dengan kata kontrol yang sudah dikenal dan diberi label oleh manusia. Kata-kata yang secara konsisten diberi label tunggal oleh hakim manusia didaur ulang sebagai kata kontrol ". 2iasdo4 Yang Anonymous sadari adalah bahwa jika mereka selalu memberi label teks pindaian yang tidak diketahui dengan kata yang sama - dan jika mereka melakukan ini ribuan dan ribuan kali pada akhirnya persentase besar dari kata-kata yang tidak dikenal itu akan salah label dengan kata-kata mereka. Yang harus mereka lakukan adalah melihat dua kata dalam captcha, masukkan label yang tepat untuk kata 'mudah' (mungkin itu yang akan disetujui oleh dua pemindai optik) dan masukkan kata "penis" untuk kata yang sulit. Jika mereka melakukan ini cukup sering, maka segera persentase yang signifikan dari gambar akan diberi label sebagai 'penis' dan kemampuan untuk melakukan autovote akan dikembalikan (satu efek samping, yang tidak hilang pada Anonim, adalah gagasan bahwa selama bertahun-tahun yang akan datang akan ada sejumlah buku digital dengan kata 'penis' dimasukkan secara acak di seluruh teks. Pembaruan: Saya bertanya kepada Ben Maurer,

Mengoptimalkan reCAPTCHA

Sama menariknya dengan gagasan menaburkan kata 'penis' ke dalam teks, tim Anonim tahu bahwa jam terus berdetak, dan jika mereka akan mengembalikan Pesan, mereka tidak punya waktu untuk menunggu autovoters kembali online - mereka harus memilih secara manual, berkali-kali. Jadi mereka harus bisa masuk ke captcha secepat mungkin. Mereka mengembangkan seperangkat pedoman yang memungkinkan mereka untuk dengan cepat memutuskan kata reCAPTCHA mana yang bisa mereka lewati. Sebagai contoh:

Anda akan diberikan 2 kata: 1 nyata, 1 palsu.

Untuk [REAL FAKE]atau [FAKE REAL], Anda cukup mengetik REALdan itu harus diterima.

Jika itu [LOOKSREAL LOOKSREAL]atau [LOOKSFAKE LOOKSFAKE], biasanya hanya lebih cepat untuk cukup mengetik kedua kata. Jangan buang waktu yang berharga untuk memutuskan mana yang benar.

Gunakan tampilan dan jenis kata untuk mengidentifikasi kata palsu. Jangan hanya mengandalkan salah satu dari mereka.

Seluruh peraturan ada di sini: captcha palsu .

Kelemahan sistem CAPTCHA adalah orang-orang mengatur kamar yang penuh dengan orang-orang di China yang tugasnya hanya melihat gambar CAPTCHA dan mengetik hasilnya, yang dihubungkan ke sistem otomatis yang sebenarnya melakukan spamming.

Tidak banyak yang dapat Anda lakukan mengenai hal itu.

Ini juga jauh lebih murah daripada mencoba melakukan pengenalan gambar, OCR, dll pada gambar yang sebenarnya (Anda mungkin mendapatkan respons di bawah $ 0,01 sebaliknya).

Sebelum menyerah pada tekanan menggunakan captcha, pertimbangkan solusi kreatif seperti memiliki bidang berlabel "Komentar Anda" yang disembunyikan oleh CSS. Jika bidang dimasukkan, permintaan dijatuhkan oleh server. Sebagian besar bot akan jatuh hati bahkan jika masih belum ada cara yang baik untuk mengalahkan kamar penuh pekerja bergaji rendah, yang captcha tidak membantu dengan cara apa pun.

UPDATE : Baca saja studi kasus di mana menghapus CAPTCHA meningkatkan tingkat konversi hampir 10%. Itu akan menunjukkan kepada saya bahwa itu agak rusak jika Anda kehilangan 10% dari lead Anda hanya untuk menyaring bot. Bayangkan apa artinya 10% bagi sebagian besar bisnis.

Captcha favorit saya adalah dari Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Pengenalan Gambar Spesies Hewan untuk Membatasi Akses) adalah HIP yang berfungsi dengan meminta pengguna untuk mengidentifikasi foto-foto kucing dan anjing. Tugas ini sulit untuk komputer, tetapi studi pengguna kami telah menunjukkan bahwa orang dapat menyelesaikannya dengan cepat dan akurat. Banyak yang bahkan menganggapnya menyenangkan!

Ini adalah layanan gratis dan mereka memiliki kode contoh untuk membantu Anda memulai.

Saya bertanya-tanya berapa lama sebelum retak.

reCAPTACHA tidak rusak dan tidak akan lama. Masalahnya, jika Anda menerapkan captcha Anda sendiri jika rusak, mungkin perlu waktu lama untuk memperbaikinya.

Ini diambil dari halaman tentang keamanan reCAPTCHA :

reCAPTCHA adalah layanan Web. Itu berarti bahwa semua gambar dihasilkan dan dinilai oleh server kami. (...) ini juga memberikan tingkat perlindungan ekstra: CAPTCHA kami dapat diperbarui secara otomatis setiap kali kerentanan keamanan ditemukan.

Misalnya, jika seseorang menulis sebuah program yang dapat membaca gambar kami yang terdistorsi, kami dapat menambahkan lebih banyak distorsi dalam waktu yang sangat singkat, dan tanpa master Web harus mengubah apa pun di sisi mereka.

Saya percaya karena mereka mengkhususkan pada captcha, mereka telah meningkatkan versi yang disimpan, siap untuk digunakan dalam waktu singkat jika diperlukan. (Mengapa mereka harus menciptakan keamanan yang lebih kuat ketika yang lemah belum rusak?)

Tidak hanya telah dikalahkan, tetapi juga aplikasi yang berguna telah berhasil dibangun di atasnya, untuk menjadi alat yang paling luar biasa untuk mengalahkan semua jenis perlindungan akun gratis dari daftar besar situs unduhan langsung (tidak hanya megaupload dan rapidshare) ).

Jdownloader adalah open source dan ditulis dalam Java sehingga mengintip kode sumber dapat menjawab tidak hanya jika rusak tetapi juga bagaimana .

Sunting : Sebagian besar situs unduhan langsung tidak menggunakan reCaptcha, tetapi metode Captcha yang lebih sederhana (3 huruf besar berwarna dengan berbagai warna). Meskipun demikian JDownloader dan Cryptload (program yang mirip dengan JDownloader) adalah implementasi hanya bekerja yang saya tahu yang secara efektif telah rusak metode Captcha. Saya belum pernah mendengar ada implementasi untuk memecahkan reCaptcha.

Pembaruan : Tampaknya setidaknya satu implementasi reCaptcha (tidak seluruh reCaptcha sendiri) telah di-crack juga .

Pembaruan Desember 2010 : Jdownloader akhirnya mengalahkan reCaptcha . Plugin ini masih eksperimental dan hanya berfungsi pada versi Windows dari Jdownloader, tetapi, seperti yang telah saya diberitahu oleh seorang teman yang mencobanya, itu berhasil.

Ada pidato di Defcon tahun lalu yang membahas masalah dengan CAPTCHA secara umum. Salah satu hal yang mereka lakukan adalah menggunakan beberapa mesin OCR gratis dan meminta mereka memilih kata-kata terbaik. Dengan melakukan ini, mereka dapat mencapai peluang keberhasilan yang agak baik. Untuk satu jenis, sekitar 40%, saya kira itu bukan reCaptcha.

• "Bahkan, itu [reCAPTCHA] menjadi sangat tidak berguna pada 4 Januari [2011] ketika spammer tampaknya mendapatkan tangan kolektif mereka pada perangkat lunak yang menghindari reCAPTCHA dan memungkinkan untuk proses pendaftaran otomatis sepenuhnya. Bot sudah sibuk, memang sangat sibuk , sejak " [1]

2-3 tahun yang lalu pendekatan captcha berbasis mengetik teks melewati batas ketika mereka kalah dalam pertempuran, yaitu komplikasi lebih lanjut hanya membuat mereka relatif (karena daya komputer meningkat, sedangkan manusia tidak) lebih mudah untuk mesin dan lebih menjijikkan dan memukul mundur, jika tidak sama sekali tidak mungkin, bagi manusia. Ini bertentangan dengan paradigma asli CAPTCHA sebagai ujian untuk memastikan bahwa respons tidak dihasilkan oleh komputer

Pembaruan:
Perhatikan bahwa reCAPTCHA dimiliki oleh Google Inc. tetapi Google Inc. tidak menggunakannya oleh layanan mereka sendiri.
Berikut adalah tautan yang terdiri dari laman web dengan captcha yang digunakan oleh Google sendiri / internal misalnya, untuk pendaftaran Gmail:

Perhatikan bahwa reCAPTCHA Google selalu memiliki 2 kata.
Berikut adalah tautan untuk gambar dengan reCAPTCHA Google yang ditawarkan untuk digunakan oleh orang lain .

Dan tangkapan layar reCAPTCHA:

Saya pergi untuk membuat kesimpulan yang jelas kepada pembaca.

Dikutip: [1]
forum vBulletin terkena reCAPTCHA cracking spam bot | Blog PC Pro
Diposting pada 12 Januari 2011 oleh Davey Winder

Saya melihat komentar blog tentang sistem yang dilindungi oleh reCAPTCHA di mana halaman dimuat dan 1 detik kemudian posting berhasil dibuat. User-Agent itu omong kosong (dalam kasus khusus ini diklaim menjalankan Ubuntu 9.25 / Firefox 3.8), perujuk berasal dari situs yang sama sekali tidak terkait tanpa tautan ke kami.

Ini jelas otomatis.

reCAPTCHA belum dikalahkan. Jika sudah, lalu mengapa Google hanya membelinya dan mengumumkan mereka akan menerapkan teknologi dalam Google untuk meningkatkan penipuan dan perlindungan spam untuk produk Google?

dari Google Memperoleh reCAPTCHA yang diposkan ke Google Blog pada 9/16/09:

Dengan cara ini, teknologi unik reCAPTCHA meningkatkan proses yang mengubah gambar yang dipindai menjadi teks biasa, yang dikenal sebagai Optical Character Recognition (OCR). Teknologi ini juga mendukung proyek pemindaian teks skala besar seperti Google Books dan Google News Archive Search. Memiliki versi teks dari dokumen adalah penting karena teks biasa dapat dicari, mudah ditampilkan pada perangkat seluler dan ditampilkan kepada pengguna yang memiliki gangguan penglihatan. Jadi kami akan menerapkan teknologi dalam Google tidak hanya untuk meningkatkan penipuan dan perlindungan spam untuk produk Google tetapi juga untuk meningkatkan proses pemindaian buku dan surat kabar kami.

Cara termudah untuk mengalahkan Captcha adalah Amazon Mechanical Turk. Ada seorang pria bernama Kermit Welda yang membayar orang masing-masing satu nikel untuk mendaftarkan akun Hotmail, AOL dan Gmail. Itu 6.000 akun email palsu dengan harga 5 sen = $ 300 sehari. Biaya melakukan bisnis cukup murah ketika Anda memiliki orang lain melakukan pekerjaan kotor untuk Anda. Tidak heran filter spam server kami ingin menolak apa pun dari Hotmail.

AFAIK Dalam prakteknya tidak ada alat untuk memecahkan implementasi RE-captcha, namun akhirnya saya menganggap seseorang akan mendapatkannya.

Cukup lucu jika seseorang berhasil mendapatkannya maka seluruh proyek RE-captcha tidak ada gunanya karena re-captcha merancang buku digital yang tidak dapat dilakukan secara otomatis.

BTW:

Kelemahan sistem CAPTCHA adalah orang-orang mengatur kamar yang penuh dengan orang-orang di China yang tugasnya hanya melihat gambar CAPTCHA dan mengetik hasilnya, yang dihubungkan ke sistem otomatis yang sebenarnya melakukan spamming.

Anda tidak dapat mengamankan sistem dengan berpikir seperti itu, ini seperti mengatakan "aplikasi web Anda tidak cukup aman jika host Anda tidak berada di bunker militer lama, karena sekarang orang dapat mencuri mesin Anda".

Ada banyak metode yang digunakan untuk omong kosong recaptcha. Walaupun sulit untuk menggunakan program neural netwpork yang diaktifkan untuk secara otomatis menyelesaikannya, mungkin untuk mengambil gambar dan memiliki turk mekanik amazon atau beberapa program setara untuk menyelesaikannya.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/