[security] reCaptcha가 크랙 / 해킹 / OCR / 패배 / 파손 되었습니까? [닫은]

reCAPTCHA를 물리 치기 위해 프로그래밍 방법이 사용 되었습니까?

저는 특히 reCAPTCHA가 완전 자동화되고 인간이없는 방법으로 폐기되었다는 증거 및 잠재적 시연에 관심이 있습니다.

팀이 CAPCHA, 포르노 추적자 또는 Mechanical Turk를 작성해야하는지 여부에 관계없이 어떤 방식 으로든 사람과 관련된 reCAPTCHA 부정 행위 솔루션을 찾고 있지 않음 을 명확히 합니다.

또한 동물의 유형 선택, 배경 필드 또는 자바 스크립트 속임수와 같은 reCAPTCHA의 대안을 찾고 있지 않습니다 .



답변

나는 여기에 거의 모든 답변을의 비 효율성에 관련된 것을 알 수 개념 원칙적으로 CAPTCHA의 – 나는 매우 그들에 동의하면서, 사실에 준 OWASP에서 이야기를 몇 달 전 그냥 설명 – 문제는 특정 매우입니다 데모를 제공 할 것입니다.
그러나 먼저, 시위를 제쳐두고 다른 의견을 다시 읽어 볼 것입니다. CAPTCHA는 구현에 관계없이 의미가없고 도움이되지 않는다는 것이 사실이기 때문입니다 ….

그러나 실제로는 CAPTCHA Killer를 확인하십시오 . 보안 문자 이미지를 업로드 할 수 있으며 즉시 그렇지 않은 경우 자동으로 OCR의 답변을 제공합니다. 또한 API (REST, 생각하지만 SOAP도 제공)를 제공합니다. 나는 개인적으로 수많은 reCAPTCHA 이미지를 시도했지만 실제로 가장 쉬운 이미지 중 하나였습니다.

업데이트 : CAPTCHA Killer의 웹 사이트는 이제 법적 압력을 받고 중단되었습니다. 주제에 대한 전체 개요는 http://captcha.org/ 를 참조 하십시오 .

그렇습니다. OCR은 보안 문자로 보호 된 사이트를 차단하는 가장 좋은 방법은 아닙니다. 더 좋은 방법이 많이 있습니다.


답변

4chan이 reCAPTCHA를 물리 친 방법에 대한이 자세한 보고서에 관심이 있고 Time.com의 연간 TIME 100 설문 조사 결과를 조작하는 데 사용했습니다 .

해킹 요점 (일명 ‘남성 홍수’)

다음 전략은 reCAPTCHA 구현에서 결함을 찾을 수 있는지 확인하는 것이 었습니다. 그들이 reCAPTCHA에 대해 발견 한 한 가지는 디코딩을 위해 항상 두 단어를 사용자에게 제공한다는 것입니다. 한 단어는 reCAPTCHA 시스템에 의해 알려진 제어 단어이고 다른 단어는 알 수없는 단어입니다 (reCAPTCHA는 인간을 사용하여 OCR 오류를 수정합니다). Wikipedia는 그 과정을 다음과 같이 설명합니다.“스캔 한 텍스트는 두 개의 서로 다른 광학 문자 인식 프로그램으로 분석됩니다. 프로그램이 동의하지 않는 경우 의심스러운 단어는 보안 문자로 변환됩니다. 단어는 이미 알려진 제어 단어와 함께 표시되며 사람이 표시합니다. 인간 판사에 의해 지속적으로 단일 레이블이 부여 된 단어는 제어 단어로 재활용됩니다.” 익명이 깨달은 것은 그들이 항상 같은 단어로 알 수없는 스캔 된 텍스트에 레이블을 붙였다면, 그리고 수천 번이나 수천 번을했다면 결국 알 수없는 단어의 상당 부분이 그들의 단어로 잘못 레이블링 될 것입니다. 그들이해야 할 일은 보안 문자에있는 두 단어를보고 ‘쉬운’하나에 대한 적절한 레이블을 입력 한 것입니다 (아마도 두 광학 스캐너가 동의 할 것입니다). 어려운 것. 그들이 충분히 자주 그렇게했다면, 곧 이미지의 상당 부분이 ‘남근’으로 표시되고 자동 투표 기능이 회복 될 것입니다 (익명에서 손실되지 않은 부작용은 앞으로 몇 년 동안의 개념이었습니다) 텍스트 전체에 ‘penis’라는 단어가 무작위로 삽입 된 많은 디지털 책이있을 것입니다.

reCAPTCHA 최적화

‘남성’이라는 단어를 텍스트에 뿌린다는 개념만큼이나, 익명의 팀은 시계가 똑딱 거리고 있다는 것을 알고 있었고, 메시지를 복원하려는 경우 자동 투표자가 온라인으로 돌아올 때까지 기다릴 시간이 없었습니다. 그들은 여러 번 수동으로 투표해야했습니다. 그래서 그들은 가능한 빨리 보안 문자를 입력 할 수 있어야했습니다. 그들은 어떤 reCAPTCHA 단어를 건너 뛸 수 있는지 신속하게 결정할 수있는 일련의 지침을 개발했습니다. 예를 들면 다음과 같습니다.

실제 단어 1 개, 가짜 1 단어 2 개가 제공됩니다.

의 경우 [REAL FAKE]또는 [FAKE REAL], 당신은 입력 할 수 REAL있으며 허용해야한다.

그것의 경우 [LOOKSREAL LOOKSREAL][LOOKSFAKE LOOKSFAKE],이 두 단어 단지 형식에 불과 빨리 일반적입니다. 어느 것이 진짜인지 결정하는 소중한 시간을 낭비하지 마십시오.

모양과 단어 유형을 모두 사용하여 가짜 단어를 식별하십시오. 그들 중 하나에 만 의존하지 마십시오.

전체 규칙 세트가 여기 있습니다 : fake captcha .


답변

CAPTCHA 시스템의 약점은 사람들이 CAPTCHA 이미지를보고 결과를 입력하는 것만으로도 중국에 사람들로 가득 찬 방을 설치한다는 것입니다. 실제로 스팸을하는 자동화 된 시스템에 연결됩니다.

실제로 당신이 할 수있는 일은 많지 않습니다.

실제 이미지에서 이미지 인식, OCR 등을 시도하는 것보다 훨씬 저렴합니다 (다른 방법으로 $ 0.01 미만의 응답을 얻을 수 있음).


답변

보안 문자 사용에 대한 부담을 느끼기 전에 CSS에 숨겨진 “Your Comments”라는 필드가있는 등의 창의적인 해결 방법을 고려하십시오. 필드를 입력하면 서버에서 요청을 삭제합니다. 여전히 임금이 부족한 노동자들로 가득 찬 방을 물리 칠 수있는 좋은 방법이없는 경우에도 대부분의 봇은 실패합니다.

업데이트 : CAPTCHA를 제거하면 전환율이 거의 10 % 증가한 사례 연구를 읽으십시오 . 그것은 당신이 단지 봇을 걸러 내기 위해 리드의 10 %를 잃는다면 오히려 망가 졌음을 나타냅니다. 대부분의 비즈니스에서 10 %가 무엇을 의미하는지 상상해보십시오.


답변

내가 가장 좋아하는 보안 문자는 Microsoft의 것입니다 : http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (액세스 제한을위한 동물 종 이미지 인식)는 사용자에게 고양이와 강아지의 사진을 식별하도록 요청하여 작동하는 HIP입니다. 이 작업은 컴퓨터에서는 어렵지만 사용자 연구에 따르면 사람들이 빠르고 정확하게이를 수행 할 수있는 것으로 나타났습니다. 많은 사람들은 그것이 재미 있다고 생각합니다!

무료 서비스이며 시작하기위한 예제 코드가 있습니다.

금이 오기까지 얼마나 걸리는지 궁금합니다.


답변

reCAPTACHA는 손상되지 않았으며 오랫동안 지속되지 않을 것입니다. 문제가 발생하면 자체 보안 문자를 구현하면 문제를 해결하는 데 시간이 오래 걸릴 수 있습니다.

이것은 reCAPTCHA security에 관한 페이지 에서 발췌 한 것입니다 .

reCAPTCHA는 웹 서비스입니다. 이는 모든 이미지가 Google 서버에서 생성되고 등급이 매겨 짐을 의미합니다. (…) 또한 추가적인 보호 수준을 제공합니다. 보안 취약점이 발견 될 때마다 보안 문자를 자동으로 업데이트 할 수 있습니다.

예를 들어, 누군가가 왜곡 된 이미지를 읽을 수있는 프로그램을 작성하는 경우 웹 마스터가 아무것도 변경하지 않고도 아주 짧은 시간에 더 많은 왜곡을 추가 할 수 있습니다 .

보안 문자에 특화되어 있으므로 필요한 경우 짧은 시간 내에 배포 할 수 있도록 개선 된 버전이 저장되어 있다고 생각합니다. (약자가 깨지지 않았을 때 왜 더 강력한 보안을 만들어야합니까?)


답변

패배했을뿐만 아니라 유용한 응용 프로그램 이 성공적으로 구축되어 직접 다운로드 사이트의 큰 목록 (megaupload 및 rapidshare뿐만 아니라)의 모든 종류의 무료 계정 보호를 물리 칠 수있는 가장 놀라운 도구가되었습니다. ).

Jdownloader 는 오픈 소스이며 Java로 작성되어 있으므로 소스 코드를 엿볼 수있을뿐만 아니라 코드 가 깨졌을 때 뿐만 아니라 어떻게 응답 하는지 알 수 있습니다.

편집 : 대부분의 직접 다운로드 사이트는 reCaptcha를 사용하지 않고 더 간단한 Captcha 방법 (다른 색상으로 된 3 개의 대문자)을 사용합니다. 그럼에도 불구하고 Jdownloader 및 Cryptload ( Jdownloader와 유사한 프로그램)는 Captcha 메서드를 효과적으로 손상시킨 유일한 작동 구현입니다. reCaptcha를 크랙하는 구현에 대해 들어 본 적이 없습니다.

업데이트 : 하나 이상의 reCaptcha 구현 (전체 reCaptcha 자체가 아님) 도 금이 간 것 같습니다 .

2010 년 12 월 업데이트 : Jdownloader 가 마침내 reCaptcha를 물리 치고있는 것 같습니다 . 플러그인은 여전히 ​​실험적이며 Jdownloader의 Windows 버전에서만 작동하지만, 그것을 시도한 친구의 말에 따르면 작동합니다.