web-dev-qa-db-ja.com

reCaptchaはクラック/ハッキング/ OCR化/敗北/破損しましたか?

ReCAPTCHAを無効にするためにプログラミング方法が使用されていますか?

特にreCAPTCHAが完全に自動化された、人を使わない方法によって廃止されたという証拠と潜在的なデモンストレーションを見ることに興味があります。

明確にするために、notチームがCAPCHA、ポルノシーカー、またはMechanical Turkの記入を任務とするかどうかにかかわらず、何らかの形で人間を巻き込むreCAPTCHA不正行為ソリューションを探しています。

私はまたnot reCAPTCHAに代わるものを探しています。たとえば、動物の種類、背景フィールド、またはJavaScriptのトリックを選ぶことです。

173
Dave Rutledge

ここでの回答のほとんどすべてが、CAPTCHAのconceptの無効性に関係していることに気づきます。そして、私は非常に同意しますが、実際には OWASPで話す 数か月前 それについて説明する -質問は非常に具体的であるため、デモを提供します。
しかし、CAPTCHAは無意味で役に立たない、実装とは無関係であるというのが真実だからです。

しかし、実際には CAPTCHA Killer をチェックしてください。 CAPTCHA画像をアップロードできます。すぐにではない場合、OCRされた回答が自動的に提供されます。また、API(REST、私は思うが、SOAPも)を提供します。私は個人的に多数のreCAPTCHAイメージを試しましたが、実際には最も簡単な(または少なくとも最も速い)壊れたイメージの一部でした。

UPDATE:CAPTCHA Killerのウェブサイトは、法的な圧力の下で削除されたようです。トピックの完全な概要については、 http://captcha.org/ を参照してください。

ええ、OCRはCAPTCHAで保護されたサイトを破る最良の方法ではありません-他にも多くのより良い方法があります。

92
AviD

4chanがどのようにreCAPTCHAを破り、それを使用してTime.comの年間TIME 100投票結果を操作するかに関する詳細なレポート に興味があるかもしれません。

Recaptchaのハッキング(別名「ペニス洪水」)

使用された次の戦術は、reCAPTCHA実装で欠陥を見つけることができるかどうかを確認することでした。 reCAPTCHAについて発見したことの1つは、デコードのために常に2つの単語をユーザーに提示することでした.1つの単語はreCAPTCHAシステムが認識している制御単語であり、もう1つは未知の単語です(reCAPTCHAはOCRエラーを修正するために人間を使用します)。ウィキペディアでは、このプロセスについて次のように説明しています。「スキャンされたテキストは、2つの異なる光学文字認識プログラムによって分析されます。プログラムが一致しない場合、疑わしいWordはCAPTCHAに変換されます。 Wordは、既知のコントロールWordとともに表示され、人間によってラベル付けされます。常に人間の裁判官によって単一のラベルが与えられているこれらの言葉は、制御言葉としてリサイクルされます。」 2iasdo4 Anonymousが気付いたのは、未知のスキャンテキストに常に同じWordでラベルを付けた場合、そしてこれを何千回も繰り返すと、未知の単語の大部分がWordで誤ってラベル付けされることでした。彼らがしなければならないのは、キャプチャ内の2つの単語を見て、「簡単な」ラベル(2つの光学スキャナーが同意するものと思われる)の適切なラベルを入力し、難しいもの。彼らがこれを十分に頻繁に行うと、すぐにかなりの割合の画像が「ペニス」としてラベル付けされ、自動投票機能が復元されます(匿名で失われなかった1つの副作用は、何年も続くという概念でした更新:reCAPTCHAのチーフエンジニアであるBen Maurerに、この「ペニスフラッド」攻撃について尋ねたところ、ベンはこのタイプの攻撃を予想していると言いますまた、ペニスがreCAPTCHAバリアに侵入するのを防ぐ多くの保護があります。

ReCAPTCHAの最適化

匿名のチームは、Wordの「ペニス」をテキストに振りかけるという概念のように魅力的でしたが、クロックが刻々と過ぎていることを知っていました。メッセージを復元する場合、オートボターがオンラインに戻るのを待つ時間はありませんでした-彼らは何度も何度も手動で投票する必要がありました。そのため、できるだけ早くキャプチャを入力できる必要がありました。彼らは、どのreCAPTCHA単語をスキップできるかを迅速に決定できる一連のガイドラインを開発しました。例えば:

あなたは2つの単語を与えられます:1本物、1偽物。

[REAL FAKE]または[FAKE REAL]の場合は、REALと入力するだけで受け入れられます。

[LOOKSREAL LOOKSREAL]または[LOOKSFAKE LOOKSFAKE]の場合、通常は両方の単語を入力する方が簡単です。どれが本物かを決める貴重な時間を無駄にしないでください。

Wordの外観と種類の両方を使用して、偽のWordを識別します。そのうちの1つだけに頼らないでください。

ルールセット全体はここにあります: fake captcha

54
Mathias Bynens

CAPTCHAシステムの弱点は、CAPTCHAの画像を見て結果を入力するだけで、実際にスパム送信を行っている自動システムにプラグインすることが中国の人々でいっぱいの部屋を設定することです。

本当にそれについてできることはあまりありません。

また、実際の画像で画像認識やOCRなどを行うよりもはるかに安価です(他の方法では0.01ドル未満で応答が得られる場合があります)。

32
cletus

Captchaを使用するプレッシャーに屈する前に、CSSによって非表示にされる「Your Comments」というラベルの付いたフィールドを持つなど、創造的な回避策を検討してください。フィールドに入力すると、リクエストはサーバーによってドロップされます。給料不足の労働者でいっぱいの部屋を打ち負かす良い方法がまだない場合でも、ほとんどのボットはそれに陥ります。これはとにかく助けにはなりません。

UPDATEケーススタディ を読むだけで、CAPTCHAを削除すると変換率がほぼ10%増加しました。これは、ボットを除外するためだけにリードの10%を失っている場合、かなり壊れていることを私に示します。ほとんどの企業にとって10%の意味を想像してください。

21
DavGarcia

私のお気に入りのキャプチャはマイクロソフトからです: http://research.Microsoft.com/en-us/um/redmond/projects/asirra/

Asirra(アクセスを制限するための動物種画像認識)は、ユーザーに猫と犬の写真を識別するように依頼することで機能するHIPです。このタスクはコンピューターにとっては困難ですが、ユーザー調査では、人々が迅速かつ正確にそれを達成できることが示されています。多くの人が楽しいとさえ考えています!

これは無料のサービスであり、サンプルコードが用意されています。

ひびが入るまでにどれくらいかかるのだろうか。

18
BoltBait

reCAPTACHAは壊れておらず、非常に長い間使用されません。問題は、壊れた独自のキャプチャを実装すると、おそらく修正に時間がかかることです。

これは reCAPTCHAセキュリティに関するページ から取得されます。

reCAPTCHAはWebサービスです。つまり、すべての画像が生成され、サーバーによってグレーディングされます。 (…)これはまた、追加のレベルの保護を提供します。CAPTCHAは、セキュリティの脆弱性が見つかったときに自動的に更新できます。

たとえば、歪んだ画像を読み取ることができるプログラムを誰かが書いた場合、Webマスターが何も変更せずに、非常に短い時間でより多くの歪みを追加できます彼らの側。

彼らはキャプチャに特化しているため、改善されたバージョンが保存されており、必要に応じてすぐに展開する準備ができています。 (弱者がまだ壊れていないのに、なぜ彼らはより強力なセキュリティを作成する必要があるのですか?)

11
Georg Schölly

敗北しただけでなく、その上に 有用なアプリケーション が正常に構築され、直接ダウンロードの大きなリストのあらゆる種類の無料アカウント保護を破る最も驚くべきツールになりましたサイト(megauploadおよびrapidshareだけでなく)。

Jdownloader はオープンソースであり、Javaで記述されているため、 ソースコード を覗くと、壊れているだけでなくhow

Edit:ほとんどの直接ダウンロードサイトはreCaptchaを使用せず、よりシンプルなCaptchaメソッド(3色の大文字が異なる色で表示)を使用します。それにもかかわらず、Jdownloaderと Cryptload (Jdownloaderに類似したプログラム)は、Captchaメソッドを効果的に破ったことがわかっている唯一の実装です。 reCaptchaをクラックする実装について聞いたことがありません。

Update:reCaptchaの少なくとも1つの実装(reCaptcha自体ではなく) クラックされた のようです。

2010年12月更新:Jdownloader やっとreCaptchaを無効にしているようです 。プラグインはまだ実験段階であり、JdownloaderのWindowsバージョンでのみ動作しますが、試してみた仲間から言われたように、動作します。

9

昨年のDefconでのスピーチ があり、CAPTCHA全般の問題になりました。彼らがしたことの1つは、複数の無料のOCRエンジンを使用し、最高の言葉に投票してもらうことでした。これを行うことで、彼らは成功するある程度のチャンスを得ることができました。ある種の場合、40%程度でしたが、reCaptchaとは思いません。

8
FryGuy
  • "実際、[reCAPTCHA]はかなり役に立たなくなった on4月[2011]スパマーが明らかになったときreCAPTCHAを回避し、完全に自動化された登録プロセスを可能にするソフトウェアの一部を共同で手に入れました。それ以来、ボットは忙しく、非常に忙しくなりました」 [1]

2〜3年前、テキストタイピングベースのキャプチャアプローチは、戦闘に負けたときにラインを侵害しました。人間には完全に不可能です。これは、元のパラダイム 応答がコンピューターによって生成されていないことを確認するためのテストとしてのCAPTCHA に汚染されています

更新:
reCAPTCHAGoogle Inc。 が所有していますが、 Google Inc。 は独自のサービスでは使用していません。
これは、Google自体/内部で使用されるcaptchaを含むWebページを含むリンクです たとえば、Gmail登録の場合:

alt text



Googleの reCAPTCHA には常に2つの単語があることに注意してください。
ここに GoogleのreCAPTCHAが他の人に使用されるように提供された画像 のリンクがあります。

ReCAPTCHAのスクリーンショット:

alt text

読者に明らかな結論を出すために私は去ります。

引用:[1]
vCAPフォーラムがreCAPTCHAクラッキングスパムボットにヒット| PC Pro blog
投稿:2011年1月12日Davey Winder

ページが読み込まれ、1秒後に投稿が正常に行われたreCAPTCHAで保護されたシステムに関するブログコメントが表示されています。 User-Agentはナンセンスであり(この特定のケースではUbuntu 9.25/Firefox 3.8を実行していると主張)、リファラーは私たちへのリンクのない完全に無関係なサイトからでした。

これは明らかに自動化されています。

5
Benjamin Franz

reCAPTCHAは敗北していません。もしそうなら、なぜGoogleはそれを購入し、Google製品の詐欺とスパム保護を強化するためにGoogle内でこの技術を適用することを発表したのですか?

from GoogleはreCAPTCHAを取得 2009年9月16日にGoogleブログに投稿:

このように、reCAPTCHAの独自の技術は、スキャンされた画像を光学文字認識(OCR)と呼ばれるプレーンテキストに変換するプロセスを改善します。このテクノロジーは、GoogleブックスやGoogleニュースアーカイブ検索などの大規模なテキストスキャンプロジェクトにも役立ちます。プレーンテキストを検索し、モバイルデバイスで簡単にレンダリングし、視覚障害のあるユーザーに表示できるため、テキストバージョンのドキュメントを保持することが重要です。そのため、Google製品の詐欺やスパム対策を強化するだけでなく、書籍や新聞のスキャンプロセスを改善するために、Google内でこの技術を適用します。

3
Mike

Captchasを倒す最も簡単な方法は、Amazon Mechanical Turkです。 Hotmail、AOL、Gmailのアカウントを登録するために人々にニッケルを支払うKermit Weldaという名前の男がいます。これは、1日5セント= 300ドルの6,000の偽のメールアカウントです。他の人に汚い仕事をしてもらうと、ビジネスのコストはかなり安くなります。サーバーのスパムフィルターがHotmailからの何かを拒否したいのも不思議ではありません。

3
Dr. Klahn

知る実際には、REキャプチャの実装をクラックするツールはありませんが、最終的には誰かがそれを手に入れると思います。

誰かがそれを手に入れることができれば、RE-captchaプロジェクト全体は無意味です。なぜなら、re-captchaは自動化された方法ではできない本をデジタル化して設計したからです。

ところで:

CAPTCHAシステムの弱点は、CAPTCHAの画像を見て結果を入力するだけで、実際にスパム送信を行っている自動システムにプラグインすることが中国の人々でいっぱいの部屋を設定することです。

そのように考えてシステムを保護することはできません。これは、「ホストが古い軍事バンカーにない場合、Webアプリケーションは十分に安全ではない、ということです。

2
dr. evil

Recaptchaをクラップするために使用される多くのメソッドがあります。ニューラルネットワークを使用するのは難しいので、プログラムで自動的に解決できますが、イメージを取得して、Amazonのメカニカルタークまたは同等のプログラムで解決することができます。

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/

2
redstick