Des méthodes de programmation ont-elles été utilisées pour vaincre reCAPTCHA?
Je suis intéressé à voir des preuves et potentiellement des démonstrations que reCAPTCHA en particulier est devenu obsolète par des méthodes complètement automatisées et sans personne.
Pour clarifier, pas recherchons des solutions de fraude à la reCAPTCHA qui impliquent de quelque manière que ce soit les humains, qu’il s’agisse d’équipes chargées de remplir des CAPCHAs, des chercheurs de porno ou de Mechanical Turk.
Je suis aussi pas à la recherche d'alternatives à reCAPTCHA, telles que la sélection du type d'animal, des champs d'arrière-plan ou une supercherie javascript.
Je remarque que presque toutes les réponses ici concernent l'inefficacité du concept de CAPTCHA, en principe - et bien que je sois tout à fait d'accord avec elles, a en fait donné un exposé à l'OWASP il y a quelques mois expliquant justement cela - la question est très spécifique, je vais donc prévoir une démonstration.
Mais d’abord, je vais réitérer cette démonstration, relire les autres commentaires, car c’est vrai que CAPTCHA est inutile et inutile, peu utile à la mise en œuvre ....
Mais vraiment, consultez CAPTCHA Killer . Vous pouvez télécharger une image CAPTCHA. Celle-ci fournira automatiquement, sinon immédiatement, la réponse fournie par l'OCR. Il fournit également une API (REST, je pense, mais peut-être aussi SOAP). J'ai personnellement essayé de nombreuses images reCAPTCHA, et c'étaient en fait des images les plus faciles (ou du moins les plus rapides) cassées.
[~ # ~] mise à jour [~ # ~] : le site Web de CAPTCHA Killer est maintenant fermé, apparemment sous pression légale. Voir http://captcha.org/ pour un aperçu complet du sujet.
Et oui, l'OCR n'est pas le meilleur moyen de casser un site protégé par CAPTCHA - il y a beaucoup d'autres meilleurs moyens.
Vous pourriez être intéressé par ce rapport détaillé sur la façon dont 4chan a battu reCAPTCHA et l'a utilisé pour manipuler les résultats annuels du sondage TIME 100 de Time.com .
Piratage de Recaptcha (alias "The Penis Flood")
La tactique suivante était de voir s’ils pouvaient trouver une faille dans la mise en œuvre de reCAPTCHA. ReCAPTCHA a découvert qu’il présentait toujours deux mots à un utilisateur pour le décodage: un mot est un mot de contrôle connu du système reCAPTCHA, tandis que l’autre est un mot inconnu (reCAPTCHA utilise l’être humain pour corriger les erreurs d’OCR). Wikipedia décrit le processus: "Le texte numérisé est soumis à l'analyse de deux programmes de reconnaissance optique de caractères différents; dans les cas où les programmes sont en désaccord, le mot discutable est converti en CAPTCHA. Le mot est affiché avec un mot de contrôle déjà connu et étiqueté par l'humain. Les mots qui reçoivent systématiquement une seule étiquette par des juges humains sont recyclés en tant que mots de contrôle ". 2iasdo4 Ce que Anonymous a compris, c’est que s’ils étiquettaient toujours le texte scanné inconnu avec le même mot - et s’ils le faisaient des milliers et des milliers de fois, un grand pourcentage des mots inconnus finirait par être mal étiquetés avec leur mot. Tout ce qu’ils avaient à faire, c’était de regarder les deux mots du captcha, de saisir l’étiquette appropriée pour le mot "facile" (vraisemblablement celui sur lequel les deux scanners optiques s’accorderaient) et de saisir le mot "pénis" pour le mot. dure. Si cela se produisait assez souvent, un pourcentage significatif des images serait bientôt étiqueté comme "pénis" et la capacité d'autovote serait restaurée (un effet secondaire, qui n'a pas été perdu pour Anonymous, était la notion que pendant des années à venir Mise à jour: J'ai demandé à Ben Maurer, ingénieur en chef de reCAPTCHA, à propos de cette attaque par "inondation du pénis", Ben dit qu'ils ont anticipé ce type d'attaque. et ils ont de nombreuses protections qui empêcheront les pénis de pénétrer dans la barrière reCAPTCHA.
Optimiser reCAPTCHA
Aussi attrayante que l'idée de saupoudrer le mot "pénis" dans les textes, l'équipe des Anonymes savait que le temps passait, et s'ils voulaient restaurer le Message, ils n'auraient pas le temps d'attendre que les autovoteurs reviennent en ligne - ils allaient devoir voter manuellement, plusieurs fois. Ils devaient donc pouvoir entrer le captcha aussi vite que possible. Ils ont développé un ensemble de directives leur permettant de décider rapidement quels mots reCAPTCHA ils pourraient ignorer. Par exemple:
Vous recevrez 2 mots: 1 réel, 1 faux.
Pour
[REAL FAKE]
ou[FAKE REAL]
, vous pouvez simplement taperREAL
et il devrait être accepté.Si c'est
[LOOKSREAL LOOKSREAL]
ou[LOOKSFAKE LOOKSFAKE]
, il est généralement plus rapide de taper les deux mots. Ne perdez pas un temps précieux à décider lequel d’entre eux est réel.Utilisez à la fois l'apparence et le type de Word pour identifier un faux mot. Ne comptez pas sur un seul d'entre eux.
L'ensemble des règles est ici: faux captcha .
La faiblesse des systèmes CAPTCHA réside dans le fait que des personnes installent des salles remplies de personnes en Chine dont le seul travail consiste à examiner une image CAPTCHA et à taper le résultat, ce qui se connecte au système automatisé qui effectue réellement le spam.
Vous ne pouvez pas faire grand chose à ce sujet vraiment.
C'est aussi beaucoup moins cher que d'essayer de faire de la reconnaissance d'image, OCR, etc. sur l'image réelle (vous pouvez obtenir une réponse pour moins de 0,01 $ dans l'autre sens).
Avant de céder à la pression liée à l’utilisation de captcha, envisagez des solutions de contournement créatives, telles que le fait que le champ "Vos commentaires" soit masqué par CSS. Si le champ est saisi, la demande est abandonnée par le serveur. La plupart des robots craqueront même s'il n'y a toujours pas un bon moyen de vaincre la salle pleine d'ouvriers sous-payés, ce que captcha n'aide pas de toute façon.
[~ # ~] mise à jour [~ # ~] : il suffit de lire un étude de cas où supprimer CAPTCHA a augmenté les taux de conversion de presque dix%. Cela m'indiquerait que c'est plutôt cassé si vous perdez 10% de vos prospects simplement pour filtrer les bots. Imaginez ce que 10% signifie pour la plupart des entreprises.
Mon captcha préféré provient de Microsoft: http://research.Microsoft.com/en-us/um/redmond/projects/asirra/
Asirra (Reconnaissance d'images d'espèces animales pour restreindre l'accès) est un système HIP qui demande aux utilisateurs d'identifier les photographies de chiens et de chats. Cette tâche est difficile pour les ordinateurs, mais nos études auprès d'utilisateurs ont montré que les utilisateurs peuvent l'accomplir rapidement et avec précision. Beaucoup pensent même que c'est amusant!
C'est un service gratuit et ils ont un exemple de code pour vous aider à démarrer.
Je me demande combien de temps il faudra avant qu'il ne soit fissuré.
reCAPTACHA n'est pas cassé et ce ne sera pas pour très longtemps. Le fait est que si vous implémentez votre propre captcha s'il est cassé, il faudra probablement beaucoup de temps pour le réparer.
Ceci est tiré de la page page sur la sécurité reCAPTCHA :
reCAPTCHA est un service Web. Cela signifie que toutes les images sont générées et classées par nos serveurs. (…) Cela fournit également un niveau supplémentaire de protection: nos CAPTCHAs peuvent être automatiquement mis à jour chaque fois qu'une faille de sécurité est trouvée.
Par exemple, si quelqu'un écrit un programme capable de lire nos images déformées, nous pouvons ajouter plus de distorsions en très peu de temps et sans que les webmasters n'aient à changer quoi que ce soit de leur côté.
Je pense que comme ils sont spécialisés dans les captchas, ils ont des versions améliorées stockées, prêtes à être déployées en peu de temps si nécessaire. (Pourquoi devraient-ils créer une sécurité plus forte alors que le plus faible n'est pas encore brisé?)
Non seulement il a été vaincu, mais aussi ne application utile a été construit avec succès dessus, pour devenir l'outil le plus extraordinaire pour vaincre toutes sortes de protections gratuites sur le compte d'une grande liste de téléchargements directs sites (pas seulement megaupload et rapidshare).
Jdownloader est open source et écrit en Java donc un coup d'oeil au code source peut répondre non seulement si elle est cassée mais aussi comment .
Modifier : La plupart des sites de téléchargement direct n'utilisent pas reCaptcha, mais une méthode plus simple, celle de Captcha (3 lettres majuscules de différentes couleurs). Néanmoins, Jdownloader et Cryptload (un programme similaire à Jdownloader) sont les seules implémentations fonctionnelles que je connaisse qui ont effectivement rompu une méthode Captcha. Je n'ai entendu parler d'aucune implémentation pour craquer reCaptcha.
Update : Il semble qu’au moins une implémentation de reCaptcha (pas toute reCaptcha elle-même) a également été craquée .
Update Dec 2010 : Jdownloader semble enfin vaincre reCaptcha . Le plugin est toujours expérimental et ne fonctionne que sur les versions Windows de Jdownloader, mais, comme l’a dit un collègue qui l’a essayé, cela fonctionne.
Il y a eu n discours prononcé devant Defcon l'année dernière qui s'est penché sur les problèmes liés aux CAPTCHA en général. Une des choses qu'ils ont faites est d'utiliser plusieurs moteurs d'OCR gratuits et de les faire voter pour les meilleurs mots. Ce faisant, ils ont réussi à obtenir une chance assez décente de réussir. Pour un type, c'était 40% ou plus, je ne pense pas que c'était reCaptcha, cependant.
Il y a 2 ou 3 ans, les captchas basés sur la saisie de texte avaient franchi la ligne de front quand ils avaient perdu la bataille, c.-à-d. Que d'autres complications les rendaient relativement plus faciles (car la puissance de l'ordinateur augmentait alors que les humains ne le sont pas) plus faciles pour les machines et plus répugnants et repoussants, sinon complètement impossible, pour les humains. Ceci est en contradiction avec le paradigme original de CAPTCHA pour vérifier que la réponse n'est pas générée par un ordinateur
Mise à jour:
Notez que reCAPTCHA appartient à Google Inc. mais Google Inc. ne l'utilise pas par ses propres services.
Voici un lien contenant une page Web avec le captcha utilisé par Google lui-même/en interne par exemple, pour l'enregistrement Gmail:
Notez que le reCAPTCHA de Google a toujours 2 mots.
Voici le lien pour image avec le reCAPTCHA de Google offert à être utilisé par d'autres] .
Et la capture d'écran de reCAPTCHA:
Je laisse faire les conclusions évidentes à un lecteur.
Cité: [1]
Les forums vBulletin touchés par le bot anti-spam reCAPTCHA | Blog PC Pro
Publié le le 12 janvier 2011 par Davey Winder
Je vois des commentaires de blog sur un système protégé par reCAPTCHA où la page est chargée et une seconde plus tard, la publication a été faite avec succès. L'agent utilisateur était absurde (dans ce cas particulier, il prétendait exécuter Ubuntu 9.25/Firefox 3.8), le parrain venait d'un site totalement indépendant, sans lien avec nous.
Ceci est clairement automatisé.
reCAPTCHA n'a pas été vaincu. Si tel avait été le cas, pourquoi Google l'aurait-il acheté et annoncé-t-il qu'il appliquerait la technologie au sein de Google pour renforcer la protection contre la fraude et le courrier indésirable de ses produits?
à partir de Google acquiert reCAPTCHA publié dans le blog de Google le 16/09/09:
De cette manière, la technologie unique de reCAPTCHA améliore le processus de conversion des images numérisées en texte brut, connu sous le nom de reconnaissance optique de caractères (OCR). Cette technologie alimente également des projets de numérisation de texte à grande échelle tels que Google Livres et Google News Archive Search. Il est important de disposer de la version texte des documents, car il est possible de rechercher du texte brut, de l'afficher facilement sur des appareils mobiles et de l'afficher à des utilisateurs malvoyants. Nous allons donc appliquer la technologie au sein de Google non seulement pour renforcer la protection anti-fraude et anti-spam des produits Google, mais également pour améliorer nos processus de numérisation de livres et de journaux.
Le meilleur moyen de vaincre Captchas est Amazon Mechanical Turk. Il y a un gars du nom de Kermit Welda qui paye un centime chacun à chacun pour enregistrer ses comptes Hotmail, AOL et Gmail. Cela représente 6 000 faux comptes de messagerie à 5 cents = 300 $ par jour. Le coût des affaires est assez bon marché lorsque d’autres personnes font le sale boulot pour vous. Pas étonnant que les filtres anti-spam de notre serveur veuillent rejeter quoi que ce soit de Hotmail.
AFAIK En pratique, il n’existe aucun outil permettant d’interrompre l’implémentation de RE-captcha, mais j’entends en fin de compte présumer que quelqu'un l’aura.
C'est assez drôle si quelqu'un réussit à l'obtenir, alors tout le projet RE-captcha est inutile, car re-captcha a conçu des livres numérisés qui ne peuvent pas être réalisés de manière automatisée.
BTW:
La faiblesse des systèmes CAPTCHA réside dans le fait que des personnes installent des salles remplies de personnes en Chine dont le seul travail consiste à examiner une image CAPTCHA et à taper le résultat, ce qui se connecte au système automatisé qui effectue réellement le spam.
Vous ne pouvez pas sécuriser un système pensant ainsi, cela revient à dire "votre application Web n'est pas suffisamment sécurisée si votre hôte ne se trouve pas dans un ancien bunker militaire, car à présent, les gens peuvent voler votre machine".
Il y a beaucoup de méthodes qui sont utilisées pour chier recaptcha. Bien que son réseau difficile à utiliser, le réseau de neurones, permette aux programmes de les résoudre automatiquement, il est possible de saisir l’image et d’avoir le génie mécanique d’Amazon ou un programme équivalent pour les résoudre.
http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/