¿Se ha agrietado / pirateado / OCR'd / derrotado / roto reCaptcha? [cerrado]

¿Se han utilizado métodos de programación para derrotar a reCAPTCHA?

Estoy interesado en ver evidencia y potencialmente demostraciones de que reCAPTCHA en particular se ha vuelto obsoleto por métodos completamente automatizados y sin humanos.

Para aclarar, no buscar soluciones de trampas reCAPTCHA que involucren a los humanos de ninguna manera, ya sea que los equipos se encarguen de llenar CAPCHA, buscadores de pornografía o Mechanical Turk.

También estoy no buscando alternativas a reCAPTCHA, como elegir el tipo de animal, o campos de fondo o el engaño Javascript.

Noto que casi todas las respuestas aquí se relacionan con la ineficacia del concepto de CAPTCHA, en principio, y aunque estoy muy de acuerdo con ellas, de hecho di una charla en OWASP hace unos meses explicando eso : la pregunta es muy específica. , así que proporcionaré una demostración.
Pero primero, reiteraré esa demostración a un lado, releeré los otros comentarios, ya que es verdad que CAPTCHA no tiene sentido y no es útil, irrelevante para la implementación ...

Pero realmente, mira CAPTCHA Killer . Puede cargar una imagen CAPTCHA y automáticamente, si no de inmediato, proporcionará la respuesta de OCR. También proporciona una API (REST, creo, pero tal vez también SOAP). Personalmente probé numerosas imágenes de reCAPTCHA, y en realidad fueron algunas de las más fáciles (o al menos las más rápidas) rotas.

ACTUALIZACIÓN : el sitio web de CAPTCHA Killer ahora está desactivado, aparentemente bajo presión legal. Consulte http://captcha.org/ para obtener una descripción completa del tema.

Y sí, OCR no es la mejor manera de romper un sitio protegido por CAPTCHA: hay muchas otras formas mejores.

Puede que le interese este informe detallado sobre cómo 4chan derrotó a reCAPTCHA y lo utilizó para manipular los resultados anuales de la Encuesta TIME 100 de Time.com .

Hackear Recaptcha (también conocido como 'La inundación del pene')

La siguiente táctica utilizada fue ver si podían encontrar una falla en la implementación de reCAPTCHA. Una cosa que descubrieron sobre reCAPTCHA fue que siempre presenta dos palabras a un usuario para la decodificación: una palabra es una palabra de control conocida por el sistema reCAPTCHA, mientras que la otra es una palabra desconocida (reCAPTCHA usa a los humanos para ayudar a corregir los errores de OCR). Wikipedia describe el proceso: “El texto escaneado se somete a análisis por dos programas de reconocimiento óptico de caracteres diferentes; En los casos en que los programas no están de acuerdo, la palabra cuestionable se convierte en CAPTCHA. La palabra se muestra junto con una palabra de control ya conocida y está etiquetada por el humano. Esas palabras a las que los jueces humanos les dan constantemente una sola etiqueta se reciclan como palabras de control ”. 2iasdo4 De lo que se dio cuenta Anónimo fue que si siempre etiquetaban el texto escaneado desconocido con la misma palabra, y si lo hacían miles y miles de veces, con el tiempo, un gran porcentaje de las palabras desconocidas estarían mal etiquetadas con su palabra. Todo lo que tenían que hacer era mirar las dos palabras en el captcha, ingresar la etiqueta adecuada para la 'fácil' (presumiblemente esa sería la que los dos escáneres ópticos estarían de acuerdo) e ingresar la palabra "pene" para el uno duro Si lo hicieran con la frecuencia suficiente, pronto un porcentaje significativo de las imágenes se etiquetaría como 'pene' y se restablecería la capacidad de votar automáticamente (un efecto secundario, que no se perdió en Anónimo, fue la noción de que en los años venideros habría una serie de libros digitales con la palabra "pene" insertada al azar en todo el texto. Actualización: le pregunté a Ben Maurer,

Optimizando reCAPTCHA

Tan atractivo como la noción de esparcir la palabra 'pene' en los textos, el equipo de Anonymous sabía que el reloj estaba corriendo, y si iban a restaurar el Mensaje, no tenían tiempo para esperar a que los votantes volvieran a estar en línea. iban a tener que votar manualmente, muchas, muchas veces. Y, entonces, necesitaban poder ingresar al captcha lo más rápido que pudieran. Desarrollaron un conjunto de pautas que les permitieron decidir rápidamente qué palabras reCAPTCHA podrían omitir. Por ejemplo:

Se le darán 2 palabras: 1 real, 1 falso.

Para [REAL FAKE]o [FAKE REAL], simplemente puede escribir REALy debe ser aceptado.

Si es [LOOKSREAL LOOKSREAL]o [LOOKSFAKE LOOKSFAKE], generalmente es más rápido simplemente escribir ambas palabras. No pierdas un tiempo precioso decidiendo cuál de ellos es real.

Use tanto la apariencia como el tipo de palabra para identificar una palabra falsa. No confíes solo en uno de ellos.

Todo el conjunto de reglas está aquí: captcha falso .

La debilidad de los sistemas CAPTCHA es que las personas preparan habitaciones llenas de personas en China cuyo único trabajo es mirar una imagen CAPTCHA y escribir el resultado, que se conecta al sistema automatizado que realmente está enviando correo no deseado.

No hay mucho que puedas hacer al respecto realmente.

También es mucho más barato que tratar de hacer reconocimiento de imagen, OCR, etc. en la imagen real (puede obtener una respuesta por menos de $ 0.01 de la otra manera).

Antes de ceder ante la presión de usar captcha, considere soluciones creativas como tener un campo etiquetado "Sus comentarios" que está oculto por CSS. Si se ingresa el campo, el servidor descarta la solicitud. La mayoría de los bots caerán en él, incluso si todavía no hay una buena manera de derrotar a la sala llena de trabajadores mal pagados, lo que captcha no ayuda de ninguna manera.

ACTUALIZACIÓN : Acabo de leer un estudio de caso donde eliminar CAPTCHA aumentó las tasas de conversión en casi un 10%. Eso me indicaría que está bastante roto si está perdiendo el 10% de sus clientes potenciales solo para filtrar los bots. Imagine lo que significa el 10% para la mayoría de las empresas.

Mi captcha favorito es de Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Reconocimiento de imágenes de especies animales para restringir el acceso) es un HIP que funciona pidiendo a los usuarios que identifiquen fotografías de gatos y perros. Esta tarea es difícil para las computadoras, pero nuestros estudios de usuarios han demostrado que las personas pueden realizarla de manera rápida y precisa. ¡Muchos incluso piensan que es divertido!

Es un servicio gratuito y tienen un código de ejemplo para comenzar.

Me pregunto cuánto tiempo pasará antes de que se rompa.

reCAPTACHA no está roto y no lo estará por mucho tiempo. La cuestión es que si implementas tu propio captcha si está roto, probablemente tarde mucho tiempo en solucionarlo.

Esto está tomado de la página sobre seguridad reCAPTCHA :

reCAPTCHA es un servicio web. Eso significa que todas las imágenes son generadas y clasificadas por nuestros servidores. (...) esto también proporciona un nivel adicional de protección: nuestros CAPTCHA se pueden actualizar automáticamente cada vez que se encuentra una vulnerabilidad de seguridad.

Por ejemplo, si alguien escribe un programa que puede leer nuestras imágenes distorsionadas, podemos agregar más distorsiones en muy poco tiempo y sin que los maestros web tengan que cambiar nada de su lado.

Creo que, como están especializados en captchas, tienen versiones mejoradas almacenadas, listas para implementarse en poco tiempo si es necesario. (¿Por qué deberían crear una seguridad más fuerte cuando el más débil aún no está roto?)

No solo ha sido derrotado, sino también una aplicación útil ha creado con éxito para convertirse en la herramienta más sorprendente para derrotar todo tipo de protecciones de cuenta gratuita de una gran lista de sitios de descarga directa (no solo megaupload y rapidshare )

Jdownloader es de código abierto y está escrito en Java, por lo que un vistazo al código fuente puede responder no solo si está roto sino también cómo .

Editar : La mayoría de los sitios de descarga directa no usan reCaptcha, sino un método Captcha más simple (3 letras mayúsculas coloreadas en diferentes colores). Sin embargo, Jdownloader y Cryptload (un programa similar a Jdownloader) son las únicas implementaciones que sé que efectivamente han roto un método Captcha. No he oído hablar de ninguna implementación para crackear reCaptcha.

Actualización : Parece que al menos una implementación de reCaptcha (no toda la reCaptcha en sí) también se ha descifrado .

Actualización de diciembre de 2010 : Jdownloader parece estar finalmente derrotando a reCaptcha . El complemento todavía es experimental y funciona solo en las versiones de Windows de Jdownloader, pero, como me dijo un compañero que lo probó, funciona.

Hubo un discurso en Defcon el año pasado que abordó los problemas con CAPTCHA en general. Una de las cosas que hicieron fue usar múltiples motores OCR gratuitos y hacer que votaran las mejores palabras. Al hacer esto, fueron capaces de lograr una posibilidad bastante decente de tener éxito. Para un tipo, fue del 40% más o menos, sin embargo, no creo que fuera reCaptcha.

• "De hecho, [reCAPTCHA] se volvió bastante inútil el 4 de enero [2011] cuando los spammers aparentemente pusieron sus manos colectivas en una pieza de software que elude a reCAPTCHA y permite un proceso de registro totalmente automatizado. Los bots han estado ocupados, de hecho muy ocupados , desde entonces " [1]

Hace 2-3 años, el enfoque de captchas basado en la escritura de texto traspasó la línea cuando perdieron la batalla, es decir, otras complicaciones solo los hacen relativamente (ya que la potencia de la computadora aumenta, mientras que los humanos no) son más fáciles para las máquinas y más repugnantes y repelentes, si no completamente imposible para los humanos. Esto entra en contacto con el paradigma original de CAPTCHA como prueba para garantizar que la computadora no genere la respuesta.

Actualización:
Tenga en cuenta que reCAPTCHA es propiedad de Google Inc. pero Google Inc. no lo utiliza por sus propios servicios.
Aquí hay un enlace que contiene la página web con captcha utilizada por el propio Google / internamente, por ejemplo, para el registro de Gmail:

Tenga en cuenta que reCAPTCHA de Google siempre tiene 2 palabras.
Aquí está el enlace para la imagen con reCAPTCHA de Google ofrecido para ser utilizado por otros .

Y la captura de pantalla de reCAPTCHA:

Les dejo sacar las conclusiones obvias a un lector.

Citado: [1]
foros de vBulletin golpeados por reCAPTCHA cracking spam bot | PC Pro blog
Publicado el 12 de enero de 2011 por Davey Winder

Veo comentarios de blog sobre un sistema protegido por reCAPTCHA donde se carga la página y 1 segundo después la publicación se realizó con éxito. El User-Agent no tenía sentido (en este caso particular afirmaba estar ejecutando Ubuntu 9.25 / Firefox 3.8), el referente era de un sitio completamente no relacionado sin ningún enlace para nosotros.

Esto está claramente automatizado.

reCAPTCHA no ha sido derrotado. Si lo hubiera sido, ¿por qué Google simplemente lo compró y anunció que aplicará la tecnología dentro de Google para aumentar la protección contra el fraude y el spam para los productos de Google?

de Google adquiere reCAPTCHA publicado en el Blog de Google el 16/09/09:

De esta manera, la tecnología única de reCAPTCHA mejora el proceso que convierte las imágenes escaneadas en texto sin formato, conocido como Reconocimiento óptico de caracteres (OCR). Esta tecnología también impulsa proyectos de escaneo de texto a gran escala como Google Books y Google News Archive Search. Tener la versión de texto de los documentos es importante porque se puede buscar texto sin formato, representar fácilmente en dispositivos móviles y mostrarlo a usuarios con discapacidad visual. Por lo tanto, aplicaremos la tecnología dentro de Google no solo para aumentar la protección contra el fraude y el correo no deseado para los productos de Google, sino también para mejorar nuestro proceso de escaneo de libros y periódicos.

La forma más fácil de derrotar a Captchas es Amazon Mechanical Turk. Hay un tipo llamado Kermit Welda que paga a la gente un centavo cada uno para registrar cuentas de Hotmail, AOL y Gmail. Eso es 6,000 cuentas de correo electrónico falsas a 5 centavos = $ 300 por día. El costo de hacer negocios es bastante barato cuando tienes a otras personas que hacen el trabajo sucio por ti. No es de extrañar que los filtros de spam de nuestro servidor quieran rechazar cualquier cosa de Hotmail.

AFAIK En la práctica no existe una herramienta para descifrar la implementación de RE-captcha, sin embargo, eventualmente supongo que alguien la obtendrá.

Es bastante divertido si alguien logra obtenerlo, entonces todo el proyecto RE-captcha no tiene sentido porque re-captcha diseñó libros digitalizados que no se pueden hacer de manera automatizada.

Por cierto:

La debilidad de los sistemas CAPTCHA es que las personas preparan habitaciones llenas de personas en China cuyo único trabajo es mirar una imagen CAPTCHA y escribir el resultado, que se conecta al sistema automatizado que realmente está enviando correo no deseado.

No puede asegurar un sistema que piense así, es como decir "su aplicación web no es lo suficientemente segura si su host no está en un viejo búnker militar, porque ahora la gente puede robar su máquina".

Hay muchos métodos que se utilizan para basura recaptcha. Si bien es difícil usar programas de red neuronal habilitados para resolverlos automáticamente, es posible tomar la imagen y tener el turk mecánico de Amazon o algún programa equivalente para resolverlos.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/