reCaptcha가 크랙 / 해킹 / OCR / 패배 / 파손 되었습니까? [닫은]

reCAPTCHA를 물리 치기 위해 프로그래밍 방법이 사용 되었습니까?

저는 특히 reCAPTCHA가 완전 자동화되고 인간이없는 방법으로 폐기되었다는 증거 및 잠재적 시연에 관심이 있습니다.

팀이 CAPCHA, 포르노 추적자 또는 Mechanical Turk를 작성해야하는지 여부에 관계없이 어떤 방식 으로든 사람과 관련된 reCAPTCHA 부정 행위 솔루션을 찾고 있지 않음 을 명확히 합니다.

또한 동물의 유형 선택, 배경 필드 또는 자바 스크립트 속임수와 같은 reCAPTCHA의 대안을 찾고 있지 않습니다 .

나는 여기에 거의 모든 답변을의 비 효율성에 관련된 것을 알 수 개념 원칙적으로 CAPTCHA의 - 나는 매우 그들에 동의하면서, 사실에 준 OWASP에서 이야기를 몇 달 전 그냥 설명 - 문제는 특정 매우입니다 데모를 제공 할 것입니다.
그러나 먼저, 시위를 제쳐두고 다른 의견을 다시 읽어 볼 것입니다. CAPTCHA는 구현에 관계없이 의미가없고 도움이되지 않는다는 것이 사실이기 때문입니다 ....

그러나 실제로는 CAPTCHA Killer를 확인하십시오 . 보안 문자 이미지를 업로드 할 수 있으며 즉시 그렇지 않은 경우 자동으로 OCR의 답변을 제공합니다. 또한 API (REST, 생각하지만 SOAP도 제공)를 제공합니다. 나는 개인적으로 수많은 reCAPTCHA 이미지를 시도했지만 실제로 가장 쉬운 이미지 중 하나였습니다.

업데이트 : CAPTCHA Killer의 웹 사이트는 이제 법적 압력을 받고 중단되었습니다. 주제에 대한 전체 개요는 http://captcha.org/ 를 참조 하십시오 .

그렇습니다. OCR은 보안 문자로 보호 된 사이트를 차단하는 가장 좋은 방법은 아닙니다. 더 좋은 방법이 많이 있습니다.

4chan이 reCAPTCHA를 물리 친 방법에 대한이 자세한 보고서에 관심이 있고 Time.com의 연간 TIME 100 설문 조사 결과를 조작하는 데 사용했습니다 .

해킹 요점 (일명 '남성 홍수')

다음 전략은 reCAPTCHA 구현에서 결함을 찾을 수 있는지 확인하는 것이 었습니다. 그들이 reCAPTCHA에 대해 발견 한 한 가지는 디코딩을 위해 항상 두 단어를 사용자에게 제공한다는 것입니다. 한 단어는 reCAPTCHA 시스템에 의해 알려진 제어 단어이고 다른 단어는 알 수없는 단어입니다 (reCAPTCHA는 인간을 사용하여 OCR 오류를 수정합니다). Wikipedia는 그 과정을 다음과 같이 설명합니다.“스캔 한 텍스트는 두 개의 서로 다른 광학 문자 인식 프로그램으로 분석됩니다. 프로그램이 동의하지 않는 경우 의심스러운 단어는 보안 문자로 변환됩니다. 단어는 이미 알려진 제어 단어와 함께 표시되며 사람이 표시합니다. 인간 판사에 의해 지속적으로 단일 레이블이 부여 된 단어는 제어 단어로 재활용됩니다.” 익명이 깨달은 것은 그들이 항상 같은 단어로 알 수없는 스캔 된 텍스트에 레이블을 붙였다면, 그리고 수천 번이나 수천 번을했다면 결국 알 수없는 단어의 상당 부분이 그들의 단어로 잘못 레이블링 될 것입니다. 그들이해야 할 일은 보안 문자에있는 두 단어를보고 '쉬운'하나에 대한 적절한 레이블을 입력 한 것입니다 (아마도 두 광학 스캐너가 동의 할 것입니다). 어려운 것. 그들이 충분히 자주 그렇게했다면, 곧 이미지의 상당 부분이 '남근'으로 표시되고 자동 투표 기능이 회복 될 것입니다 (익명에서 손실되지 않은 부작용은 앞으로 몇 년 동안의 개념이었습니다) 텍스트 전체에 'penis'라는 단어가 무작위로 삽입 된 많은 디지털 책이있을 것입니다.

reCAPTCHA 최적화

'남성'이라는 단어를 텍스트에 뿌린다는 개념만큼이나, 익명의 팀은 시계가 똑딱 거리고 있다는 것을 알고 있었고, 메시지를 복원하려는 경우 자동 투표자가 온라인으로 돌아올 때까지 기다릴 시간이 없었습니다. 그들은 여러 번 수동으로 투표해야했습니다. 그래서 그들은 가능한 빨리 보안 문자를 입력 할 수 있어야했습니다. 그들은 어떤 reCAPTCHA 단어를 건너 뛸 수 있는지 신속하게 결정할 수있는 일련의 지침을 개발했습니다. 예를 들면 다음과 같습니다.

실제 단어 1 개, 가짜 1 단어 2 개가 제공됩니다.

의 경우 [REAL FAKE]또는 [FAKE REAL], 당신은 입력 할 수 REAL있으며 허용해야한다.

그것의 경우 [LOOKSREAL LOOKSREAL]나 [LOOKSFAKE LOOKSFAKE],이 두 단어 단지 형식에 불과 빨리 일반적입니다. 어느 것이 진짜인지 결정하는 소중한 시간을 낭비하지 마십시오.

모양과 단어 유형을 모두 사용하여 가짜 단어를 식별하십시오. 그들 중 하나에 만 의존하지 마십시오.

전체 규칙 세트가 여기 있습니다 : fake captcha .

CAPTCHA 시스템의 약점은 사람들이 CAPTCHA 이미지를보고 결과를 입력하는 것만으로도 중국에 사람들로 가득 찬 방을 설치한다는 것입니다. 실제로 스팸을하는 자동화 된 시스템에 연결됩니다.

실제로 당신이 할 수있는 일은 많지 않습니다.

실제 이미지에서 이미지 인식, OCR 등을 시도하는 것보다 훨씬 저렴합니다 (다른 방법으로 $ 0.01 미만의 응답을 얻을 수 있음).

보안 문자 사용에 대한 부담을 느끼기 전에 CSS에 숨겨진 "Your Comments"라는 필드가있는 등의 창의적인 해결 방법을 고려하십시오. 필드를 입력하면 서버에서 요청을 삭제합니다. 여전히 임금이 부족한 노동자들로 가득 찬 방을 물리 칠 수있는 좋은 방법이없는 경우에도 대부분의 봇은 실패합니다.

업데이트 : CAPTCHA를 제거하면 전환율이 거의 10 % 증가한 사례 연구를 읽으십시오 . 그것은 당신이 단지 봇을 걸러 내기 위해 리드의 10 %를 잃는다면 오히려 망가 졌음을 나타냅니다. 대부분의 비즈니스에서 10 %가 무엇을 의미하는지 상상해보십시오.

내가 가장 좋아하는 보안 문자는 Microsoft의 것입니다 : http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (액세스 제한을위한 동물 종 이미지 인식)는 사용자에게 고양이와 강아지의 사진을 식별하도록 요청하여 작동하는 HIP입니다. 이 작업은 컴퓨터에서는 어렵지만 사용자 연구에 따르면 사람들이 빠르고 정확하게이를 수행 할 수있는 것으로 나타났습니다. 많은 사람들은 그것이 재미 있다고 생각합니다!

무료 서비스이며 시작하기위한 예제 코드가 있습니다.

금이 오기까지 얼마나 걸리는지 궁금합니다.

reCAPTACHA는 손상되지 않았으며 오랫동안 지속되지 않을 것입니다. 문제가 발생하면 자체 보안 문자를 구현하면 문제를 해결하는 데 시간이 오래 걸릴 수 있습니다.

이것은 reCAPTCHA security에 관한 페이지 에서 발췌 한 것입니다 .

reCAPTCHA는 웹 서비스입니다. 이는 모든 이미지가 Google 서버에서 생성되고 등급이 매겨 짐을 의미합니다. (…) 또한 추가적인 보호 수준을 제공합니다. 보안 취약점이 발견 될 때마다 보안 문자를 자동으로 업데이트 할 수 있습니다.

예를 들어, 누군가가 왜곡 된 이미지를 읽을 수있는 프로그램을 작성하는 경우 웹 마스터가 아무것도 변경하지 않고도 아주 짧은 시간에 더 많은 왜곡을 추가 할 수 있습니다 .

보안 문자에 특화되어 있으므로 필요한 경우 짧은 시간 내에 배포 할 수 있도록 개선 된 버전이 저장되어 있다고 생각합니다. (약자가 깨지지 않았을 때 왜 더 강력한 보안을 만들어야합니까?)

패배했을뿐만 아니라 유용한 응용 프로그램 이 성공적으로 구축되어 직접 다운로드 사이트의 큰 목록 (megaupload 및 rapidshare뿐만 아니라)의 모든 종류의 무료 계정 보호를 물리 칠 수있는 가장 놀라운 도구가되었습니다. ).

Jdownloader 는 오픈 소스이며 Java로 작성되어 있으므로 소스 코드를 엿볼 수있을뿐만 아니라 코드 가 깨졌을 때 뿐만 아니라 어떻게 응답 하는지 알 수 있습니다.

편집 : 대부분의 직접 다운로드 사이트는 reCaptcha를 사용하지 않고 더 간단한 Captcha 방법 (다른 색상으로 된 3 개의 대문자)을 사용합니다. 그럼에도 불구하고 Jdownloader 및 Cryptload ( Jdownloader와 유사한 프로그램)는 Captcha 메서드를 효과적으로 손상시킨 유일한 작동 구현입니다. reCaptcha를 크랙하는 구현에 대해 들어 본 적이 없습니다.

업데이트 : 하나 이상의 reCaptcha 구현 (전체 reCaptcha 자체가 아님) 도 금이 간 것 같습니다 .

2010 년 12 월 업데이트 : Jdownloader 가 마침내 reCaptcha를 물리 치고있는 것 같습니다 . 플러그인은 여전히 ​​실험적이며 Jdownloader의 Windows 버전에서만 작동하지만, 그것을 시도한 친구의 말에 따르면 작동합니다.

있었다 데프콘에서 연설 지난해 일반적으로 보안 문자에 대한 문제로 갔다. 그들이 한 일 중 하나는 여러 개의 무료 OCR 엔진을 사용하여 최고의 단어에 투표하는 것입니다. 이를 통해 그들은 다소 성공할 확률을 달성 할 수있었습니다. 한 종류의 경우, 그것은 40 % 정도 였지만, 그것이 reCaptcha라고 생각하지 않습니다.

• "사실, [reCAPTCHA를]는 꽤 쓸모가되었다 에 1월 4일 [2011] 스패머가 분명히 우회 reCAPTCHA를 해당 소프트웨어의 조각에 자신의 집단의 손을했고, 완전 자동화 된 등록 절차 수 있습니다. 봇은 참으로 매우 바쁜, 바쁘다 보니 그 이후로 "" 1

2-3 년 전 텍스트 타이핑 기반 보안 문자 접근 방식은 전투에서 패배했을 때 그 선을 넘어 섰습니다. 즉, 추가 합병증으로 인해 컴퓨터가 점점 더 쉬워지고 반발하는 기계에 대해 상대적으로 (컴퓨터 전력이 증가하고 있지만 인간이 아니기 때문) 인간에게는 완전히 불가능합니다. 이것은 컴퓨터에 의해 응답이 생성되지 않는지 확인하기위한 테스트로서 CAPTCHA의 원래 패러다임에 오염됩니다

업데이트 :
참고 reCAPTCHA를가 소유하고 구글 주식 그러나 구글 주식은 자신의 서비스로 사용하지 않습니다.
다음은 Google 자체 / 내부적 으로 예를 들어 Gmail 등록을 위해 사용하는 보안 문자가 포함 된 링크 포함 웹 페이지입니다 .

Google의 reCAPTCHA 에는 항상 2 단어가 있습니다.
다음은 다른 사람이 사용하도록 제공 한 Google의 reCAPTCHA를 사용한 이미지 링크입니다 .

그리고 reCAPTCHA의 스크린 샷 :

나는 독자들에게 명백한 결론을 내리기 위해 떠난다.

인용 : [1]
vBulletin이 스팸 봇을 크래킹하는 reCAPTCHA에 의해 공개 된 포럼 | PC Pro 블로그 Davey Winder에 의해 2011 년 1 월 12 일
에 게시 됨

페이지가로드되고 1 초 후에 게시물이 성공적으로 작성된 reCAPTCHA로 보호되는 시스템에 대한 블로그 의견이 표시됩니다. User-Agent는 말도 안되며 (이 경우 Ubuntu 9.25 / Firefox 3.8을 실행한다고 주장함) 리퍼러는 우리와 연결되지 않은 완전히 관련이없는 사이트에서 온 것입니다.

이것은 명확하게 자동화되어 있습니다.

reCAPTCHA는 패배하지 않았습니다. 그렇다면 Google은 왜이를 구매하여 Google 제품에 사기 및 스팸 방지를 강화하기 위해 Google에 기술을 적용 할 것이라고 발표 한 이유는 무엇입니까?

에서 구글 인수 reCAPTCHA를은 9/16/09에 Google 블로그에 게시 :

이러한 방식으로 reCAPTCHA의 고유 한 기술은 스캔 이미지를 광학 문자 인식 (OCR)으로 알려진 일반 텍스트로 변환하는 프로세스를 개선합니다. 이 기술은 또한 Google 도서 및 Google 뉴스 자료실 검색과 같은 대규모 텍스트 스캔 프로젝트를 지원합니다. 일반 텍스트를 검색하고 모바일 장치에서 쉽게 렌더링하고 시각 장애인에게 표시 할 수 있기 때문에 텍스트 버전의 문서를 갖는 것이 중요합니다. Google은 Google 제품에 대한 사기 및 스팸 방지 기능을 높이고 도서 및 신문 스캔 프로세스를 개선하기 위해 Google에이 기술을 적용 할 것입니다.

보안 문자를 물리 치는 가장 쉬운 방법은 Amazon Mechanical Turk입니다. Kermit Welda라는 사람이 Hotmail, AOL 및 Gmail 계정을 등록하기 위해 니켈을 각각 지불합니다. 5 센트로 하루에 $ 300에 6,000 개의 가짜 이메일 계정입니다. 다른 사람이 당신을 위해 더러운 일을 할 때 사업 비용은 매우 저렴합니다. 서버의 스팸 필터가 Hotmail의 모든 것을 거부하고 싶어하는 것은 당연합니다.

AFAIK 실제로 RE 보안 문자 구현을 해독하는 도구는 없지만 결국 누군가가 얻을 것이라고 가정합니다.

누군가가 그것을 얻는다면 충분히 재미있다. 재 캡 차가 자동화 된 방식으로 수행 할 수없는 책을 디지털화하도록 설계했기 때문에 전체 RE 캡차 프로젝트는 의미가 없습니다.

BTW :

CAPTCHA 시스템의 약점은 사람들이 CAPTCHA 이미지를보고 결과를 입력하는 것만으로도 중국에 사람들로 가득 찬 방을 설치한다는 것입니다. 실제로 스팸을하는 자동화 된 시스템에 연결됩니다.

그렇게 생각하는 시스템을 보호 할 수는 없습니다. "사람들이 컴퓨터를 훔칠 수 있기 때문에 호스트가 오래된 군사 벙커에 있지 않으면 웹 응용 프로그램이 충분히 안전하지 않습니다"라고 말하는 것과 같습니다.

recaptcha를 폐기하는 데 사용되는 많은 방법이 있습니다. 신경망을 사용하기 어려운 프로그램을 사용하면 자동으로 해결할 수 있지만 이미지를 잡고 아마존의 기계적 터크 또는 이와 동등한 프로그램을 사용하여 해결할 수 있습니다.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/