ReCaptcha kırılmış / hacklenmiş / OCR olmuş / yenilmiş / kırılmış mı? [kapalı]

ReCAPTCHA'yı yenmek için herhangi bir programlama yöntemi kullanıldı mı?

Özellikle reCAPTCHA'nın tamamen otomatik, insansız yöntemlerle kullanılmadığına dair kanıt ve potansiyel gösteriler görmek istiyorum.

Netleştirmek için değil takımlar CAPCHAs, porno arayanlar veya Mekanik Türk doldurarak görevli olsun, herhangi bir şekilde insanları ilgilendiren çözümleri reCAPTCHA'nın-hile arıyorum.

Ayrıca hayvan türü veya arka plan alanları veya javascript hile seçmek gibi reCAPTCHA için alternatifler aramıyorum .

Buradaki hemen hemen tüm cevapların prensip olarak CAPTCHA kavramının etkisizliği ile ilgili olduğunu fark ettim - ve onlarla çok hemfikirken, aslında birkaç ay önce OWASP'de bunu açıklayan bir konuşma yaptı - soru çok spesifik bu yüzden bir gösteri yapacağım. Ama önce, gösteriyi bir kenara bırakacağım, diğer yorumları tekrar okuyacağım, çünkü CAPTCHA'nın anlamsız olduğu ve uygulama ile ilgisiz olduğu gerçeği doğrudur ....

Ama gerçekten, CAPTCHA Killer'ı kontrol edin . Bir CAPTCHA resmi yükleyebilirsiniz ve otomatik olarak, hemen yapılmazsa, OCR'nin cevabını sağlayacaktır. Ayrıca bir API (REST, sanırım, ama belki de SOAP) sağlar. Şahsen sayısız reCAPTCHA görüntüsü denedim ve aslında kırılan en kolay (veya en azından en hızlı) görüntülerden biriydi.

GÜNCELLEME : CAPTCHA Killer'in web sitesi artık görünüşe göre yasal baskı altında. Konuyla ilgili genel bilgi için http://captcha.org/ adresine bakın .

Ve evet, OCR, CAPTCHA korumalı bir siteyi kırmanın en iyi yolu değil - daha birçok başka yol var.

4chan'ın reCAPTCHA'yı nasıl yendiğine ve Time.com'un yıllık TIME 100 Anket sonuçlarını manipüle etmek için kullandığına dair bu ayrıntılı raporla ilgilenebilirsiniz .

Hacking Recaptcha (aka 'Penis Seli')

Bir sonraki taktik, reCAPTCHA uygulamasında bir kusur bulup bulamayacaklarını görmekti. ReCAPTCHA hakkında keşfettikleri bir şey, kod çözme için bir kullanıcıya her zaman iki kelime sunmasıydı - bir kelime reCAPTCHA sistemi tarafından bilinen bir kontrol kelimesi, diğeri bilinmeyen bir kelime (reCAPTCHA OCR hatalarını düzeltmek için insanları kullanıyor). Wikipedia işlemi açıklar: “Taranan metin, iki farklı optik karakter tanıma programı tarafından analize tabi tutulur; programların aynı fikirde olmadığı durumlarda, şüpheli kelime CAPTCHA'ya dönüştürülür. Kelime, zaten bilinen bir kontrol kelimesi ile birlikte görüntülenir ve insan tarafından etiketlenir. İnsan hakimler tarafından sürekli olarak tek bir etiket verilen kelimeler kontrol kelimeleri olarak geri dönüştürülür ”. 2iasdo4 Anonim'in gerçekleştirdiği şey, bilinmeyen taranmış metni her zaman aynı sözcükle etiketledikleri takdirde - ve bunu binlerce ve binlerce kez yaptıkları takdirde, bilinmeyen kelimelerin büyük bir yüzdesinin sözcükleriyle yanlış etiketleneceği idi. Tek yapmaları gereken, captcha'daki iki kelimeye bakmak, 'kolay' olan için uygun etiketi girmek (muhtemelen iki optik tarayıcının kabul edeceği şey olurdu) ve "penis" kelimesini girmek zor olanı. Bunu yeterince sık yaparlarsa, görüntülerin önemli bir yüzdesi `` penis '' olarak etiketlenecek ve otomatik oylama yeteneği geri yüklenecek (Anonim'de kaybolmayan bir yan etki, gelecek yıllar için) metin boyunca rastgele yerleştirilen 'penis' kelimesinin yer aldığı bir dizi dijital kitap olacak.Güncelleme: Ben Maurer'e,

ReCAPTCHA'yı optimize etme

'Penis' kelimesini metinlere serpme fikri kadar çekici olan Anonim ekip, saatin işlediğini biliyordu ve Mesajı geri yükleyeceklerse, otomatik oylayıcıların tekrar çevrimiçi olmasını beklemek için zamanları yoktu - manüel olarak, birçok kez oy kullanmak zorunda kalacaklardı. Bu yüzden captcha'lara olabildiğince hızlı girebilmeleri gerekiyordu. Hangi reCAPTCHA kelimelerini atlayabileceklerine hızla karar vermelerine izin veren bir dizi kılavuz geliştirdiler. Örneğin:

Size 2 kelime verilecek: 1 gerçek, 1 sahte.

İçin [REAL FAKE]ya [FAKE REAL], sadece yazabilirsiniz REALve onu kabul edilmelidir.

Eğer öyleyse [LOOKSREAL LOOKSREAL]ya da [LOOKSFAKE LOOKSFAKE], her iki kelimeyi yazmak genellikle daha hızlıdır. Hangisinin gerçek olduğuna karar vermek için değerli zaman kaybetmeyin.

Sahte bir kelimeyi tanımlamak için hem görünümü hem de kelime türünü kullanın. Sadece bir tanesine güvenmeyin.

Tüm kural seti burada: sahte captcha .

CAPTCHA sistemlerinin zayıflığı, insanların Çin'de tek işi olan bir CAPTCHA görüntüsüne bakmak ve sonuçta yazmak, aslında spam yapan otomatik sisteme takılan insanlar ile dolu odalar kurmasıdır.

Gerçekten bu konuda yapabileceğiniz pek bir şey yok.

Ayrıca, gerçek görüntü üzerinde görüntü tanıma, OCR, vb. Yapmaya çalışmaktan çok daha ucuzdur (başka bir şekilde 0,01 doların altında bir yanıt alabilirsiniz).

Captcha kullanma baskısını vermeden önce, "Yorumlarınız" etiketli bir alanın CSS tarafından gizlenmesi gibi yaratıcı geçici çözümleri düşünün. Alan girilirse, istek sunucu tarafından bırakılır. Çoğu kaptan zaten yardımcı olmuyor, düşük ücretli işçilerle dolu odayı yenmek için hala iyi bir yol olmasa bile, botların çoğu bunun için düşecek.

GÜNCELLEME : CAPTCHA'yı kaldırmanın dönüşüm oranlarını neredeyse% 10 artırdığı bir vaka çalışmasını okuyun . Bu, sadece botları filtrelemek için olası satışlarınızın% 10'unu kaybederseniz bunun oldukça kırıldığını gösterir. % 10'un çoğu işletme için ne anlama geldiğini hayal edin.

En sevdiğim captcha Microsoft'tan: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Erişimi Kısıtlamak için Hayvan Türleri Görüntü Tanıma) kullanıcılardan kedi ve köpeklerin fotoğraflarını tanımlamalarını isteyen bir HIP'dir. Bu görev bilgisayarlar için zordur, ancak kullanıcı çalışmalarımız insanların bunu hızlı ve doğru bir şekilde başarabileceğini göstermiştir. Hatta çoğu eğlenceli olduğunu düşünüyor!

Ücretsiz bir hizmettir ve başlamanız için örnek kodları vardır.

Kırılmadan önce ne kadar süreceğini merak ediyorum.

reCAPTACHA kırılmaz ve çok uzun bir süre olmayacaktır. Mesele şu ki, eğer kırılmışsa kendi captcha'nızı uygularsanız, düzeltmek muhtemelen uzun zaman alır.

Bu, reCAPTCHA güvenliği ile ilgili sayfadan alınmıştır :

reCAPTCHA bir Web servisidir. Bu, tüm görüntülerin sunucularımız tarafından oluşturulduğu ve derecelendirildiği anlamına gelir. (…) Bu ayrıca ekstra bir koruma düzeyi sağlar: CAPTCHA'larımız bir güvenlik açığı bulunduğunda otomatik olarak güncellenebilir.

Örneğin, birisi çarpık görüntülerimizi okuyabilen bir program yazarsa, çok az zamanda ve Web yöneticileri yanlarında bir şey değiştirmek zorunda kalmadan daha fazla çarpıtma ekleyebiliriz .

Gerektiğinde kısa sürede dağıtılmaya hazır, geliştirilmiş sürümleri olan captcha'larda uzmanlaştıklarına inanıyorum. (Zayıf henüz kırılmadığında neden daha güçlü güvenlik oluştursunlar?)

Sadece yenilgi değil, aynı zamanda kullanışlı bir uygulama başarıyla bunun üzerine inşa edilmiştir, doğrudan indirme sitelerinin büyük bir listenin serbest hesap korumaları her türlü (sadece megaupload ve rapidshare yenmek için en şaşırtıcı aracı olma ).

JDownloader açık kaynak ve bir şekilde göz atmak böylece Java ile yazılmış olan kaynak kodu sadece cevap verebilir o kırık ise aynı zamanda nasıl .

Düzenleme : Doğrudan indirme sitelerinin çoğu reCaptcha kullanmaz, ancak daha basit bir Captcha yöntemi (farklı renklerde renkli 3 büyük harf) kullanır. Yine de Jdownloader ve Cryptload ( Jdownloader'a benzer bir program), etkili bir Captcha yöntemini bozduğunu bildiğim tek çalışma uygulamalarıdır. ReCaptcha'yı kırmak için herhangi bir uygulama duymadım.

Güncelleme : Görünüşe göre en az bir reCaptcha uygulaması (tüm reCaptcha'nın kendisi değil) de çatlamış durumda .

Aralık 2010 Güncellemesi : Jdownloader sonunda reCaptcha'yı yeniyor gibi görünüyor . Eklenti hala deneysel ve sadece Jdownloader'ın Windows sürümlerinde çalışıyor, ancak deneyen bir eş tarafından söylendiği gibi çalışıyor.

Orada Defcon bir konuşma geçen yıl genel olarak CAPTCHA'ları sorun haline gitti. Yaptıkları şeylerden biri, birden fazla ücretsiz OCR motoru kullanmak ve en iyi kelimelere oy vermelerini sağlamak. Bunu yaparak, başarılı olma şansını yakalayabildiler. Bir tür,% 40 ya da öyleydi, yine de reCaptcha olduğunu sanmıyorum.

• "Aslında, [reCAPTCHA] , 4 Ocak [2011] tarihinde , spam göndericilerinin, kolektif ellerini, reCAPTCHA'yı atlayan ve tam otomatik bir kayıt işlemine izin veren bir yazılım parçasına aldıklarında oldukça işe yaramaz hale geldi . Botlar meşguldü, gerçekten çok meşgul , o zamandan beri " [1]

2-3 yıl önce metin yazmaya dayalı captchas yaklaşımı, savaşını kaybettiklerinde çizgiyi aştı, yani diğer komplikasyonlar onları nispeten göreli hale getirdi (bilgisayar gücü arttığından, insan olmasa da) makineler için daha kolay ve daha iğrenç ve itici, değilse insanlar için tamamen imkansız. Bu , yanıtın bir bilgisayar tarafından oluşturulmadığından emin olmak için bir test olarak CAPTCHA'nın orijinal paradigmasını engeller.

Güncelleme: reCAPTCHA'nın Google Inc.'e ait
olduğunu , ancak Google Inc.'in kendi hizmetleri tarafından kullanmadığını unutmayın. İşte Google tarafından / dahili olarak Gmail kaydı için kullanılan captcha ile web sayfasını kapsayan bir bağlantı :

Google'ın reCAPTCHA'sının her zaman 2 kelime olduğunu unutmayın.
İşte Google'ın başkaları tarafından kullanılması önerilen reCAPTCHA resminin bağlantısı .

And reCAPTCHA ekran görüntüsü:

Bir okuyucuya bariz sonuçlar çıkarmak için ayrıldım.

Alıntı: [1]
reCAPTCHA tarafından isabet Forumlar cracking spam bot | PC Pro blog
Yayınlanan 12 Ocak 2011 Davey Winder tarafından

Sayfanın yüklendiği ve 1 saniye sonra yayının başarıyla yapıldığı reCAPTCHA tarafından korunan bir sistemde blog yorumları görüyorum. User-Agent saçmalıktı (bu özel durumda Ubuntu 9.25 / Firefox 3.8'i çalıştırdığını iddia etti), yönlendiren, bizimle bağlantısı olmayan tamamen alakasız bir sitedendi.

Bu açıkça otomatiktir.

reCAPTCHA yenilmedi. Öyleyse, neden Google onu satın aldı ve Google ürünleri için dolandırıcılık ve spam korumasını artırmak için Google içindeki teknolojiyi uygulayacaklarını açıkladı?

dan Google Aldı reCAPTCHA'nın 9/16/09 Google Blog 'dan duyurulur:

Bu şekilde, reCAPTCHA'nın benzersiz teknolojisi, taranan görüntüleri Optik Karakter Tanıma (OCR) olarak bilinen düz metne dönüştüren süreci geliştirir. Bu teknoloji ayrıca Google Kitaplar ve Google Haberler Arşiv Arama gibi büyük ölçekli metin tarama projelerine de güç vermektedir. Belgelerin metin sürümüne sahip olmak önemlidir, çünkü düz metin aranabilir, mobil cihazlarda kolayca oluşturulabilir ve görme engelli kullanıcılara gösterilebilir. Dolayısıyla, Google'daki teknolojiyi yalnızca Google ürünleri için sahtekarlık ve spam korumasını artırmak için değil, aynı zamanda kitaplarımızı ve gazete tarama sürecimizi geliştirmek için de uygulayacağız.

Captchas'ı yenmenin en kolay yolu Amazon Mechanical Turk. Hotmail, AOL ve Gmail hesaplarını kaydetmek için her birine bir nikel ödeyen Kermit Welda adında bir adam var. Bu, 5 sentte günde 6.000 sahte e-posta hesabı = günde 300 dolar. Diğer insanlar sizin için kirli işi yapmak olduğunda iş yapmanın maliyeti oldukça ucuzdur. Sunucumuzun spam filtrelerinin Hotmail'den herhangi bir şeyi reddetmek istemesine şaşmamalı.

AFAIK Pratikte RE-captcha uygulamasını kırmak için bir araç yoktur, ancak sonunda birisinin alacağını varsayıyorum.

Birisi onu almayı başarırsa yeterince komik o zaman tüm RE-captcha projesi anlamsızdır, çünkü re-captcha otomatik bir şekilde yapılamayacak kitapları dijitalleştirmiştir.

BTW:

CAPTCHA sistemlerinin zayıflığı, insanların Çin'de tek işi olan bir CAPTCHA görüntüsüne bakmak ve sonuçta yazmak, aslında spam yapan otomatik sisteme takılan insanlar ile dolu odalar kurmasıdır.

Böyle düşünen bir sistemi güvence altına alamazsınız, bu "ev sahibi eski bir askeri sığınakta değilse web uygulamanız yeterince güvenli değildir, çünkü artık insanlar makinenizi çalabilir" demek gibidir.

Recaptcha'yı tedavi etmek için kullanılan birçok yöntem var. Sinir ağlarını kullanmak zor programların otomatik olarak çözülmesini sağlasa da, görüntüyü yakalamak ve Amazon'un mekanik turk veya bunları çözmek için eşdeğer bir programa sahip olmak mümkündür.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/