reCaptcha ถูกแคร็ก / แฮ็ค / OCR'd / พ่ายแพ้ / แตก? [ปิด]

มีการใช้วิธีการเขียนโปรแกรมใดเพื่อเอาชนะ reCAPTCHA หรือไม่

ฉันสนใจที่จะเห็นหลักฐานและการสาธิตที่เป็นไปได้ที่ reCAPTCHA โดยเฉพาะนั้นล้าสมัยด้วยวิธีการอัตโนมัติและไร้มนุษย์อย่างสมบูรณ์

เพื่อความกระจ่างแจ้งไม่ใช่มองหาวิธีแก้ปัญหาการโกง reCAPTCHA ที่เกี่ยวข้องกับมนุษย์ไม่ว่าทางใดก็ตามไม่ว่าจะเป็นทีมที่ได้รับมอบหมายให้กรอก CAPCHAs ผู้ค้นหาสื่อลามกหรือเครื่องกลเติร์ก

ฉันยังไม่ได้มองหาทางเลือก reCAPTCHA เช่นการเลือกประเภทของสัตว์หรือพื้นหลังหรือจาวาสคริปต์

ฉันสังเกตเห็นว่าคำตอบเกือบทั้งหมดที่นี่เกี่ยวข้องกับความไม่มีประสิทธิภาพของแนวคิดของ CAPTCHA ตามหลักการ - และในขณะที่ฉันเห็นด้วยกับพวกเขามากจริงๆแล้วได้พูดคุยกับ OWASPเมื่อไม่กี่เดือนที่ผ่านมาอธิบายว่าคำถามนี้เฉพาะเจาะจงมาก ดังนั้นฉันจะเตรียมการสาธิต
แต่ก่อนอื่นฉันจะย้ำว่าการสาธิตนั้นอ่านความคิดเห็นอื่น ๆ อีกครั้งเนื่องจากเป็นความจริงที่ว่า CAPTCHA ไม่มีจุดหมายและไม่มีประโยชน์ไม่เกี่ยวข้องกับการนำไปใช้ ....

แต่จริงๆตรวจสอบCAPTCHA นักฆ่า คุณสามารถอัปโหลดภาพ CAPTCHA และจะให้คำตอบ OCR ทันทีโดยอัตโนมัติ มันยังให้สำหรับ API (ส่วนที่เหลือฉันคิดว่า แต่อาจจะเป็นสบู่) ฉันลองใช้ภาพ reCAPTCHA หลายภาพและจริง ๆ แล้วมันเป็นภาพที่ง่ายที่สุด (หรืออย่างน้อยก็เร็ว)

UPDATE : เว็บไซต์ของ CAPTCHA Killer ถูกถอดออกในเวลานี้ดูเหมือนว่าภายใต้แรงกดดันทางกฎหมาย ดูhttp://captcha.org/สำหรับภาพรวมทั้งหมดของหัวข้อ

และใช่ OCR ไม่ใช่วิธีที่ดีที่สุดในการทำลายไซต์ที่ได้รับการป้องกันของ CAPTCHA - มีวิธีที่ดีกว่าอีกมากมาย

คุณอาจจะสนใจในการรายงานรายละเอียดเกี่ยวกับวิธี 4chan แพ้ reCAPTCHA และใช้มันเพื่อจัดการ Time.com เวลาประจำปี 100 ผลการสำรวจความคิดเห็น

แฮ็ครีแคปชชา (aka 'The Penis Flood')

กลยุทธ์ต่อไปที่ใช้คือการดูว่าพวกเขาสามารถหาข้อบกพร่องในการนำ reCAPTCHA ไปใช้หรือไม่ สิ่งหนึ่งที่พวกเขาค้นพบเกี่ยวกับ reCAPTCHA คือมันมักจะนำเสนอสองคำให้กับผู้ใช้ในการถอดรหัส - หนึ่งคำคือคำควบคุมที่ระบบ reCAPTCHA รู้จักในขณะที่อีกคำหนึ่งเป็นคำที่ไม่รู้จัก (reCAPTCHA ใช้มนุษย์เพื่อช่วยแก้ไขข้อผิดพลาด OCR) วิกิพีเดียอธิบายกระบวนการ:“ ข้อความที่สแกนอยู่ภายใต้การวิเคราะห์โดยโปรแกรมการรู้จำอักขระด้วยแสงสองแบบ ในกรณีที่โปรแกรมไม่เห็นด้วยคำที่น่าสงสัยจะถูกแปลงเป็น CAPTCHA คำนี้จะปรากฏขึ้นพร้อมกับคำควบคุมที่รู้จักกันดีอยู่แล้วและมีข้อความกำกับโดยมนุษย์ คำเหล่านั้นที่ได้รับจากฉลากผู้พิพากษาของมนุษย์จะถูกนำกลับมาใช้ใหม่เป็นคำควบคุม” 2iasdo4 สิ่งที่ไม่ระบุตัวตนรู้คือถ้าพวกเขาติดป้ายข้อความที่ไม่รู้จักที่สแกนด้วยคำเดียวกันเสมอ - และถ้าพวกเขาทำสิ่งนี้เป็นพัน ๆ ครั้งในที่สุดเปอร์เซ็นต์ของคำที่ไม่รู้จักจำนวนมากจะติดฉลากด้วยคำของพวกเขา สิ่งที่พวกเขาต้องทำคือดูที่คำสองคำในแคปช่าป้อนฉลากที่เหมาะสมสำหรับคำว่า 'ง่าย' (สันนิษฐานว่าน่าจะเป็นคำที่สแกนเนอร์ออพติคอลทั้งสองตกลงกัน) และป้อนคำว่า "องคชาต" ยาก หากพวกเขาทำสิ่งนี้บ่อยครั้งพอสมควรในไม่ช้าก็จะมีการระบุว่ารูปภาพเป็น 'องคชาต' และความสามารถในการ autovote จะได้รับการคืนค่าอย่างมีนัยสำคัญ (ผลข้างเคียงอันหนึ่งที่ไม่ได้หายไปจากบุคคลนิรนาม) จะมีหนังสือดิจิทัลจำนวนหนึ่งที่ใส่คำว่า 'องคชาต' ลงในข้อความแบบสุ่ม Update: ฉันถาม Ben Maurer

การเพิ่มประสิทธิภาพ reCAPTCHA

เมื่อนึกถึงความคิดในการโปรยคำว่า 'องคชาต' ลงในตำราทีมนิรนามทราบว่านาฬิกากำลังฟ้องและถ้าพวกเขาจะกู้คืนข้อความพวกเขาไม่มีเวลารอให้ผู้ autovoters กลับมาออนไลน์ - พวกเขาจะต้องลงคะแนนด้วยตนเองหลาย ๆ ครั้ง ดังนั้นพวกเขาจึงจำเป็นต้องป้อน captcha ให้เร็วที่สุดเท่าที่จะทำได้ พวกเขาพัฒนาชุดแนวทางที่อนุญาตให้พวกเขาตัดสินใจได้อย่างรวดเร็วว่าคำศัพท์ reCAPTCHA ใดที่พวกเขาสามารถข้ามได้ ตัวอย่างเช่น:

คุณจะได้รับ 2 คำ: 1 จริง 1 ปลอม

สำหรับ[REAL FAKE]หรือ[FAKE REAL]คุณสามารถพิมพ์REALและควรได้รับการยอมรับ

หากเป็น[LOOKSREAL LOOKSREAL]หรือ[LOOKSFAKE LOOKSFAKE]ปกติจะเร็วกว่าที่จะพิมพ์ทั้งสองคำ อย่าเสียเวลาอันมีค่าในการตัดสินใจว่าหนึ่งในนั้นเป็นของจริง

ใช้ทั้งลักษณะที่ปรากฏและประเภทของคำเพื่อระบุคำปลอม อย่าพึ่งพาเพียงหนึ่งในนั้น

ruleset ทั้งหมดอยู่ที่นี่: แจ้งลบความคิดเห็นปลอม

จุดอ่อนของระบบ CAPTCHA คือผู้คนตั้งค่าห้องที่เต็มไปด้วยผู้คนในประเทศจีนซึ่งมีงานเพียงอย่างเดียวคือดูที่ภาพ CAPTCHA และพิมพ์ผลลัพธ์ที่ได้ซึ่งเสียบเข้ากับระบบอัตโนมัติที่ทำสแปมจริงๆ

ไม่มากที่คุณสามารถทำสิ่งนั้นได้

นอกจากนี้ยังมีราคาถูกกว่าการพยายามจดจำรูปภาพ OCR และอื่น ๆ ในภาพจริง (คุณอาจได้รับการตอบกลับด้วยราคาต่ำกว่า 0.01 ดอลลาร์)

ก่อนที่จะให้แรงกดดันในการใช้ captcha ให้ลองพิจารณาวิธีแก้ไขปัญหาอย่างสร้างสรรค์เช่นมีฟิลด์ชื่อ "ความคิดเห็นของคุณ" ที่ถูกซ่อนไว้โดย CSS หากมีการป้อนฟิลด์คำขอจะถูกส่งโดยเซิร์ฟเวอร์ บอทส่วนใหญ่จะล้มลงแม้ว่ามันจะยังไม่มีวิธีที่ดีที่จะเอาชนะห้องที่เต็มไปด้วยแรงงานที่ได้รับค่าจ้างต่ำซึ่งแคปต์ชาไม่ได้ช่วยอะไรเลย

อัปเดต : เพียงอ่านกรณีศึกษาที่การลบ CAPTCHA เพิ่มอัตราการแปลงได้เกือบ 10% นั่นจะบ่งบอกว่ามันค่อนข้างจะหักหากคุณสูญเสียโอกาสในการขาย 10% เพียงเพื่อกรองบอท ลองนึกภาพความหมาย 10% ของธุรกิจส่วนใหญ่

captcha ที่ฉันชอบคือจาก Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (การจดจำภาพสัตว์สายพันธุ์เพื่อ จำกัด การเข้าถึง) เป็น HIP ที่ทำงานโดยขอให้ผู้ใช้ระบุรูปถ่ายของแมวและสุนัข งานนี้เป็นเรื่องยากสำหรับคอมพิวเตอร์ แต่การศึกษาผู้ใช้ของเราได้แสดงให้เห็นว่าผู้คนสามารถทำให้สำเร็จได้อย่างรวดเร็วและแม่นยำ หลายคนคิดว่ามันสนุก!

เป็นบริการฟรีและมีรหัสตัวอย่างเพื่อให้คุณเริ่มต้น

ฉันสงสัยว่ามันจะนานแค่ไหนก่อนที่มันจะร้าว

reCAPTACHA จะไม่เสียและจะไม่นานมาก สิ่งนี้คือถ้าคุณใช้แคปช่าของคุณเองถ้ามันหักมันอาจใช้เวลานานในการแก้ไข

สิ่งนี้นำมาจาก หน้าเกี่ยวกับความปลอดภัยของ reCAPTCHA :

reCAPTCHA เป็นบริการบนเว็บ นั่นหมายความว่าภาพทั้งหมดถูกสร้างและให้คะแนนโดยเซิร์ฟเวอร์ของเรา (…) สิ่งนี้ยังให้การป้องกันในระดับพิเศษ: CAPTCHAs ของเราสามารถอัปเดตโดยอัตโนมัติเมื่อใดก็ตามที่พบจุดอ่อนด้านความปลอดภัย

ตัวอย่างเช่นหากมีคนเขียนโปรแกรมที่สามารถอ่านภาพที่บิดเบี้ยวได้เราสามารถเพิ่มการบิดเบือนมากขึ้นในเวลาเพียงเล็กน้อยและไม่มีผู้ดูแลเว็บที่ต้องการเปลี่ยนแปลงอะไรเลย

ฉันเชื่อว่าพวกเขามีความเชี่ยวชาญใน captchas พวกเขามีการปรับปรุงรุ่นที่เก็บไว้พร้อมที่จะใช้งานในเวลาน้อยถ้าจำเป็น (ทำไมพวกเขาควรสร้างความปลอดภัยที่แข็งแกร่งเมื่อผู้ที่อ่อนแอยังไม่แตก?)

ไม่เพียง แต่จะเอาชนะได้ แต่ยังเป็นแอปพลิเคชั่นที่มีประโยชน์อีกด้วยได้รับการสร้างขึ้นมาอย่างยอดเยี่ยมเพื่อเป็นเครื่องมือที่ยอดเยี่ยมที่สุดในการเอาชนะการปกป้องบัญชีฟรีทุกประเภทของเว็บไซต์ดาวน์โหลดโดยตรงขนาดใหญ่ )

Jdownloaderเป็นโอเพ่นซอร์สและเขียนเป็นภาษาจาวาเพื่อที่จะมองรหัสที่มาสามารถตอบได้ไม่เพียงว่ามันจะเสียแต่ยังไงว่า

แก้ไข : ไซต์ดาวน์โหลดโดยตรงส่วนใหญ่ไม่ได้ใช้ reCaptcha แต่เป็นวิธีที่ง่ายกว่า Captcha (ตัวพิมพ์ใหญ่ 3 ตัวที่มีสีต่างกัน) อย่างไรก็ตาม Jdownloader และCryptload (โปรแกรมที่คล้ายกับ Jdownloader) เป็นการนำไปใช้งานที่ฉันรู้ว่ามีประสิทธิภาพแตกวิธีการ Captcha ฉันไม่เคยได้ยินเกี่ยวกับการปรับใช้ reCaptcha ใด ๆ

อัปเดต : ดูเหมือนว่าการนำ reCaptcha ไปใช้อย่างน้อยหนึ่งตัว (ไม่ใช่ reCaptcha ทั้งหมด) ได้รับการถอดรหัสเช่นกัน

ปรับปรุงธันวาคม 2010 : JDownloader ดูเหมือนว่าที่สุดท้ายที่จะเอาชนะ reCaptcha ปลั๊กอินยังคงอยู่ในช่วงทดลองและใช้งานได้กับ Jdownloader รุ่น Windows เท่านั้น แต่อย่างที่ฉันได้รับแจ้งจากเพื่อนที่ได้ลองใช้มันจะทำงานได้

มีการกล่าวสุนทรพจน์ที่ Defcon เมื่อปีที่แล้วซึ่งมีปัญหากับ CAPTCHAs โดยทั่วไป สิ่งหนึ่งที่พวกเขาทำคือใช้เครื่องมือ OCR ฟรีหลายตัวและให้พวกเขาลงคะแนนในคำที่ดีที่สุด การทำเช่นนี้พวกเขาสามารถบรรลุโอกาสที่ค่อนข้างดีในการประสบความสำเร็จ สำหรับประเภทหนึ่งมันเป็น 40% หรือมากกว่านั้นฉันไม่คิดว่า reCaptcha แม้ว่า

• "ในความเป็นจริงมัน [reCAPTCHA] นั้นไร้ประโยชน์เมื่อวันที่4 มกราคม [2011]เมื่อผู้ส่งอีเมลขยะมีมือรวมกับซอฟต์แวร์บางชิ้นที่หลีกเลี่ยง reCAPTCHA และอนุญาตให้กระบวนการลงทะเบียนอัตโนมัติเต็มรูปแบบบอทยุ่งมาก ๆ นับตั้งแต่ " [1]

2-3 ปีที่ผ่านมาวิธีการ captchas ตามการพิมพ์ข้อความบุกรุกบรรทัดเมื่อพวกเขาสูญเสียการต่อสู้คือภาวะแทรกซ้อนต่อไปเพียงแค่ทำให้พวกเขาค่อนข้าง (เนื่องจากกำลังคอมพิวเตอร์เพิ่มขึ้นในขณะที่มนุษย์ไม่ได้) สำหรับเครื่องจักรและง่ายต่อการต่อต้านและต่อต้านมากขึ้น เป็นไปไม่ได้อย่างสมบูรณ์สำหรับมนุษย์ สิ่งนี้ขัดแย้งกับกระบวนทัศน์ดั้งเดิมของCAPTCHA เพื่อทดสอบว่าคอมพิวเตอร์ไม่ได้สร้างการตอบสนอง

อัปเดต:
โปรดทราบว่าreCAPTCHAเป็นเจ้าของโดยGoogle Inc.แต่Google Inc.ไม่ได้ใช้บริการของตนเอง
นี่คือลิงค์ที่เชื่อมโยงหน้าเว็บที่มี captcha ที่ Google ใช้เอง / ภายใน เช่นสำหรับการลงทะเบียน Gmail:

โปรดทราบว่าreCAPTCHAของ Google มี 2 ​​คำเสมอ
นี่คือลิงค์สำหรับรูปภาพที่ reCAPTCHA ของ Google เสนอให้ผู้อื่นใช้

และภาพหน้าจอของ reCAPTCHA:

ฉันออกไปเพื่อให้ข้อสรุปที่ชัดเจนกับผู้อ่าน

อ้างถึง: [1]
ฟอรัม vBulletin ถูกโจมตีโดย reCAPTCHA ถอดรหัสบอทสแปม | บล็อก PC Pro
โพสต์เมื่อ12 มกราคม 2011โดย Davey Winder

ฉันเห็นความคิดเห็นบล็อกในระบบที่ได้รับการปกป้องโดย reCAPTCHA ที่หน้าโหลดและ 1 วินาทีหลังจากนั้นการโพสต์ก็ประสบความสำเร็จ User-Agent นั้นไร้สาระ (ในกรณีนี้มันอ้างว่าใช้ Ubuntu 9.25 / Firefox 3.8) ผู้อ้างอิงนั้นมาจากไซต์ที่ไม่เกี่ยวข้องอย่างสมบูรณ์โดยไม่มีลิงก์ให้เรา

นี่เป็นระบบอัตโนมัติอย่างชัดเจน

reCAPTCHA ยังไม่พ่ายแพ้ ถ้าเป็นเช่นนั้นแล้วทำไม Google ถึงซื้อและประกาศว่าพวกเขาจะใช้เทคโนโลยีภายใน Google เพื่อเพิ่มการป้องกันการฉ้อโกงและสแปมสำหรับผลิตภัณฑ์ของ Google

จากGoogle ซื้อ reCAPTCHA ที่โพสต์ไปยังบล็อกของ Google ในวันที่ 9/16/09:

ด้วยวิธีนี้เทคโนโลยีเฉพาะของ reCAPTCHA ปรับปรุงกระบวนการที่แปลงรูปภาพที่สแกนเป็นข้อความธรรมดาหรือที่รู้จักในชื่อ Optical Character Recognition (OCR) เทคโนโลยีนี้ยังสนับสนุนโครงการสแกนข้อความขนาดใหญ่เช่น Google Books และ Google News Archive Search การมีเอกสารเวอร์ชันข้อความมีความสำคัญเนื่องจากสามารถค้นหาข้อความธรรมดาแสดงผลได้ง่ายบนอุปกรณ์พกพาและแสดงต่อผู้ใช้ที่มีความบกพร่องทางสายตา ดังนั้นเราจะใช้เทคโนโลยีภายใน Google ไม่เพียงเพื่อเพิ่มการป้องกันการฉ้อโกงและสแปมสำหรับผลิตภัณฑ์ของ Google แต่ยังเพื่อปรับปรุงกระบวนการสแกนหนังสือและหนังสือพิมพ์ของเรา

วิธีที่ง่ายที่สุดในการเอาชนะ Captchas คือ Amazon Mechanical Turk มีผู้ชายคนหนึ่งชื่อ Kermit Welda ที่จ่ายเงินให้กับคนอื่นเพื่อลงทะเบียนบัญชี Hotmail, AOL และ Gmail นั่นคือ 6,000 บัญชีอีเมลปลอมที่ 5 เซ็นต์ = $ 300 ต่อวัน ค่าใช้จ่ายในการทำธุรกิจค่อนข้างถูกเมื่อคุณมีคนอื่นทำผลงานสกปรกให้คุณ ไม่น่าแปลกใจที่ตัวกรองสแปมของเซิร์ฟเวอร์ของเราต้องการปฏิเสธอะไรจาก Hotmail

AFAIK ในทางปฏิบัติไม่มีเครื่องมือในการถอดรหัสการติดตั้ง RE-CAPTCHA อย่างไรก็ตามในที่สุดฉันก็คิดว่ามีใครบางคนจะได้รับ

ตลกพอหากมีคนจัดการเพื่อรับมันโครงการ RE-captcha ทั้งหมดไม่มีจุดหมายเพราะ re-captcha ออกแบบหนังสือดิจิทัลที่ไม่สามารถทำได้ด้วยวิธีอัตโนมัติ

BTW:

จุดอ่อนของระบบ CAPTCHA คือผู้คนตั้งค่าห้องพักที่เต็มไปด้วยผู้คนในประเทศจีนซึ่งมีงานเพียงอย่างเดียวคือดูที่ภาพ CAPTCHA และพิมพ์ผลลัพธ์ซึ่งเสียบเข้ากับระบบอัตโนมัติที่ทำสแปมจริงๆ

คุณไม่สามารถรักษาความปลอดภัยของระบบที่คิดอย่างนั้นนี่ก็เหมือนกับการพูดว่า "เว็บแอปพลิเคชันของคุณไม่ปลอดภัยเพียงพอหากโฮสต์ของคุณไม่ได้อยู่ในบังเกอร์ทหารเก่าเพราะตอนนี้ผู้คนสามารถขโมยเครื่องของคุณได้"

มีวิธีการมากมายที่ใช้ในการ crap recaptcha ในขณะที่มันยากที่จะใช้ระบบประสาท netwpork เปิดใช้งานโปรแกรมที่จะแก้ไขพวกเขาโดยอัตโนมัติเป็นไปได้ที่จะคว้าภาพและมีเติร์กเครื่องกลของอเมซอนหรือโปรแกรมที่เทียบเท่าบางอย่างเพื่อแก้ปัญหาพวกเขา

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/