reCaptchaはクラック/ハッキング/ OCR /敗北/破壊されていますか?[閉まっている]


172

reCAPTCHAを打ち破るためにプログラミング手法が使用されましたか?

私は、特にreCAPTCHAが完全に自動化された人のいない方法によって時代遅れになっている証拠と潜在的なデモンストレーションを見ることに興味があります。

明確にするために、CAPCHA、ポルノを求める人、またはメカニカルタークの入力をチームが担当するかどうかに関係なく、人間を含むreCAPTCHAの不正行為ソリューションを探すのではなく

また、動物の種類や背景フィールド、JavaScriptのトリックなど、reCAPTCHAに代わるものを探していません


18
これらの回答の誤った情報の量は驚くべきものです。ReCaptchaが「壊れている」場合は、誰かがFacebook、Craigslist、およびTicketMasterのstatに伝えた方がよいでしょう。:p
Jeff Atwood

15
ジェフ、彼らは言われました、そして唯一の誤った情報はCAPTCHAを有効なセキュリティメカニズムとして言及していることです。これは、一般的な実装と理論の両方(reCAPTCHAだけでなく、CAPTCHAの概念そのもの)でも経験的に壊れています。一方、それは完全に価値がないわけではないので、私は実際にこのサイトをCAPTCHAの有効なユースケースと呼んでいます-他の多くのメカニズムに加えて、それは連携して「攻撃者」に少しの費用をかけることができますもっと。
AviD 2009年

13
主題がそれにないことpwnedに失望しています
skaffman

2
このトピックに関するいくつかの調査:schneier.com/blog/archives/2010/10/analyzing_captc.html。実際、私はコメントが投稿や研究そのものよりも興味深いと感じました...
AviD

9
おお!最高のCAPTCHA!xkcd.com/810
AviD

回答:


92

ここでの回答のほとんどすべてが、CAPTCHA の概念の非効率性に原則的に関連していることに気づきます。私はそれらに非常に同意しますが、実際には数か月前にOWASPで講演しそれについて説明しました -質問は非常に具体的です、それで私はデモンストレーションを提供します。
しかし、最初に、CAPTCHAは無意味で役に立たず、実装とは無関係であるというのは真実であるため、そのデモンストレーションはさておき、他のコメントを読み直します。

しかし、本当に、CAPTCHA Killerをチェックしてください。CAPTCHA画像をアップロードすると、すぐにではなくても、自動的にOCRされた回答が提供されます。また、APIも提供します(REST、おそらくSOAPです)。私は個人的に多数のreCAPTCHA画像を試してみましたが、実際には、最も簡単な(または少なくとも最も速い)画像が壊れていました。

更新:CAPTCHA KillerのWebサイトは、法的圧力下にあるようで、現在削除されています。トピックの完全な概要については、http://captcha.org/を参照してください

そして、そう、OCRはCAPTCHAで保護されたサイトを壊すための最良の方法ではありません-他にも多くのより良い方法があります。


3
キャプチャキラーはどのように機能するのでしょうか。どういうわけか私はそれが安い労働力を使用し、ウェブサイト上の広告でお金を稼いでいるように見えます。(そしてマーチャンダイジング。)
GeorgSchölly

3
一般的にキャプチャについて有用な回答ですが、問題は特にreCAPTCHAに関するものでした。
マイク

2
3つのreCAPTCHAでCaptcha Killerを試してみました。3人とも回答を返さずに期限が切れました。
lfaraone 2009年

21
CAPTCHAキラーは殺害されたようです。大国支配を広め、創造的な表現の自由を排除しようとする多国籍企業によって激しく破壊されました!そんな美しいキラー、こんなに早い死!
キリル

4
ドメインの変更とバージョンが支払われるようになったと思います。このbypasscaptcha.com/captchakiller.phpを
MarmiK

54

4chanがどのようにreCAPTCHAを打ち負かし、それを使用してTime.comの年間TIME 100投票結果を操作したかに関するこの詳細なレポートに興味があるかもしれません。

Recaptchaのハッキング(別名「陰茎の洪水」)

次に使用した方法は、reCAPTCHAの実装に欠陥があるかどうかを確認することでした。彼らがreCAPTCHAについて発見したことの1つは、デコードするために常に2つの単語をユーザーに提示することでした-1つの単語はreCAPTCHAシステムによって認識されているコントロールワードであり、もう1つは未知の単語です(reCAPTCHAは人間を使用してOCRエラーを修正します)。ウィキペディアはこのプロセスについて説明しています。「スキャンされたテキストは、2つの異なる光学式文字認識プログラムによる分析を受けます。プログラムが同意しない場合は、疑わしい単語がキャプチャに変換されます。単語は、既知のコントロールワードとともに表示され、人間によってラベルが付けられます。人間の裁判官によって一貫して単一のラベルが付けられた単語は、コントロールワードとしてリサイクルされます。」2iasdo4匿名が認識したことは、未知のスキャンされたテキストに常に同じ単語でラベルを付けた場合、そして何千回もこれを行うと、結局、未知の単語の大部分がその単語で誤ってラベル付けされることになります。彼らがしなければならなかったのは、キャプチャの2つの単語を見て、「簡単」なものの適切なラベルを入力し(おそらく2つの光学式スキャナが同意するものと思われます)、「陰茎」という単語を入力するだけでした。難しいもの。彼らがこれを頻繁に行うと、すぐに画像のかなりの割合が「陰茎」としてラベル付けされ、自動投票機能が復元されます(匿名では失われなかった副作用の1つが、今後数年間の概念でした) 「ペニス」という単語がテキスト全体にランダムに挿入された多くのデジタルブックがあります。更新:私はベンモーラーに尋ねました、

reCAPTCHAの最適化

「ペニス」という単語をテキストにまき散らすという概念と同じくらい魅力的で、匿名チームは時計がカチカチと音を立てていることを知っていました。彼らは手動で何度も何度も投票する必要がありました。そして、彼らはできるだけ早くキャプチャに入ることができる必要がありました。彼らは、スキップできるreCAPTCHA単語をすばやく決定できる一連のガイドラインを作成しました。例えば:

あなたは2つの単語を与えられます:1つの本物、1つの偽物。

以下のため[REAL FAKE][FAKE REAL]、あなただけで入力することができREAL、それが受け入れられるべきです。

[LOOKSREAL LOOKSREAL]またはの場合[LOOKSFAKE LOOKSFAKE]、通常は両方の単語を入力する方が簡単です。どれが本物かを決めるのに貴重な時間を無駄にしないでください。

偽の単語を識別するには、外観と単語の種類の両方を使用します。それらの1つだけに依存しないでください。

ルールセット全体がここにあります:偽のキャプチャー


4
しかし、その話の要点は、彼らがreCAPTCHAを破らなかったということではありませんか?代わりに、手作業の投票プロセスを合理化して、決まったボランティアがそれぞれ数千回投票できるようにすることに成功しました。
pdc

4
@pdcは、画像にOCRを実行しなかったからといって(これも実行できた可能性はあります)、reCAPTCHAを解除しなかったわけではありません。次のように考えてください。reCAPTCHAの目的は、解読できない画像を表示することですか?それとも自動洪水を防ぐためですか?最初の場合は、壊れていなかったと主張できるかもしれませんが(議論の余地はありますが、私は同意しません)、2番目の場合は、reCAPTCHAが機能しないという実証的な証拠があります。また、エンターテインメントの価値は別として、2番目の目的が真の目的であり、重要なのは1つだけであることも明確にすべきだと私は思います。
AviD 2010年

@AviDえ?記事によると、自動洪水はもはや不可能でした。むしろ、献身的な人々はそうでない場合よりも数倍速く投票することができました(そして、さまざまな非キャプチャ関連の手法が、人間によるそのような重い投票に対する効果のない対策を阻止するために使用されました)。基本的に、安い人件費を使用することと同等です。もちろん、reCAPTCHAは停止を要求しません。
ToolmakerSteve

@ToolmakerSteveそれがまさに問題です。reCAPTCHAは実際の問題を止めようとはしません。CAPTCHAは間違った問題をひどく解決しようとします。
AviD

32

CAPTCHAシステムの弱点は、CAPTCHAの画像を見て結果を入力することだけが中国の人々でいっぱいの部屋を設定することです。これは、実際にスパムを行っている自動システムにプラグインします。

それについてあなたが本当にできることはあまりありません。

また、実際の画像に対して画像認識やOCRなどを行うよりもはるかに安価です(逆に0.01ドル未満で応答が返される場合があります)。


62
または、さらに良いことに、彼らはあなたのサイトからキャプチャを取得し、いくつかのポルノを表示するための要件として、それを一部のワンカー(文字通り)に表示します。
ポールトンブリン

2
男...それは賢いです(クレジットが支払われるべきクレジット)。
cletus 2009年

7
ただし、これによって効果がなくなるわけではありません。それは単にあなたのサイトが十分に人気があれば、これが起こるかもしれないことを意味します。世界の他の99.99%のWebサイトについては、単純なキャプチャーで十分です。
ロバートP

1
地獄、CodingHorrorのキャプチャは変更されず、難読化もされず、なんとか問題なく動作します。
ロバートP

5
実際、それは完全に真実ではありません。この例はありますが、CAPTCHAをOCR 分解する方がはるかに安価です。スウェットショップを使用することは、通常、スパマーにとって経済的に実現可能ではありません
イェンスローランド

21

キャプチャを使用するプレッシャーに屈する前に、CSSによって非表示になっている「コメント」というラベルの付いたフィールドを作成するなど、クリエイティブな回避策を検討してください。このフィールドに入力すると、要求はサーバーによってドロップされます。低賃金の労働者でいっぱいの部屋を倒すための良い方法がまだない場合でも、ほとんどのボットはそれに失敗します。

更新:CAPTCHAを削除するとコンバージョン率がほぼ10%増加するケーススタディを読んでください。ボットを除外するためだけにリードの10%を失っている場合、それはかなり壊れていることを私に示します。ほとんどの企業にとって10%が何を意味するか想像してみてください。


2
これはとてもスマートですが、十分に人気がある場合は機能しません。たとえば、YahooやGoogleはこれを使用できませんでした。
dreeves

2
ここでの問題は、あなたのサイトが特に攻撃するのに十分な価値があるかどうかです。ほとんどはそうではありません、そして、特異性がほとんどないことはいくつかの良いことをします。
David Thornley、

3
10%の損失で更新を+1する-非常に重要なポイント。(しかし、私は隠しフィールドの提案のcuzを+1することはできません-これは役に立たないよりは少ないです。)
AviD

2
「標的型攻撃」と「ランダムなスパム」の2つの問題があります。あなたの解決策はランダムなスパムのためにあなたのお尻を救うかもしれません、しかし標的型攻撃は1日以内にあなたのシステムをあふれさせます。
dr。悪

1
@dreeves:グーグルは単にreCAPTCHAを取得していませんか?
プラブ

18

私のお気に入りのキャプチャはMicrosoftからのものです。http//research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra(アクセスを制限するための動物種画像認識)は、ユーザーに猫と犬の写真を識別するように要求することで機能するHIPです。この作業はコンピューターにとっては困難ですが、ユーザー調査によると、人々はそれを迅速かつ正確に達成できることがわかっています。多くの人が楽しいと思っています。

これは無料のサービスであり、開始するためのサンプルコードがあります。

ひびが入るまでどれくらいかかるのかしら。


1
残念ながら、上記のクレタスの答えは、そのようなサービスがスパムとのより大きな戦いにおいて効果がないことを示しています。
エリックフォーブス

1
ポメラニアンのひどく明るい写真が猫のように見えることがあるので、4回のうち2回は失敗しました:(
Tom Anderson

3
私はテストを受けました、そして私が人間であることを知るのは気持ちがいいです。:)
BoltBait 2009年

5
実際、最高のキャプチャは以前はHotCaptchaでしたが、最後にオフラインでチェックしたときです。HotOrNot.comに基づくと、それは恐ろしく効果的ではありませんでしたが、ユーザーに
非常に

2
ここでの問題は、キースペースが小さいため、ブルートフォースが非常に簡単になることです。yuoが名前にさらにオブジェクトを追加し始めると、名前付けが曖昧になります(例:カンガルー、ジョーイ、ベイビーカンガルーなど)。名前を付けるオブジェクトとその可能な名前の間に1対多の関係があることを確認する必要があります。
Oorang

11

reCAPTACHAは壊れておらず、長期間は使用できません。問題は、独自のキャプチャを実装している場合、壊れていると、修正におそらく長い時間がかかることです。

これは、reCAPTCHAのセキュリティに関するページから引用したものです。

reCAPTCHAはWebサービスです。つまり、すべての画像がサーバーによって生成され、評価されます。(…)これは、保護の追加レベルも提供します。セキュリティの脆弱性が見つかった場合は、CAPTCHAを自動的に更新できます。

たとえば、誰かが私たちの歪んだ画像を読み取ることができるプログラムを書いた場合、Webマスターが側で何かを変更する必要なく、非常に短い時間でより多くの歪みを追加できます

これらはキャプチャに特化しているため、改良版が保存されており、必要に応じて短時間で展開できるようになっています。(弱い方がまだ壊れていないのに、なぜ彼らはより強いセキュリティを作成する必要があるのですか?)


9

それが打ち負かされただけでなく、便利なアプリケーションがその上に首尾よく構築され、直接ダウンロードサイトの大きなリスト(megauploadやRapidshareだけでなく)のあらゆる種類の無料アカウント保護を打ち負かす最も驚くべきツールになります)。

Jdownloaderはオープンソースであり、Javaで記述されているため、ソースコードをのぞくと、コードが壊れている場合だけでなく、その方法にも対応できます

編集:ほとんどの直接ダウンロードサイトはreCaptchaを使用していませんが、より単純なCaptchaメソッド(3つの大文字が異なる色で色分けされています)を使用しています。それでも、JdownloaderとCryptloadJdownloaderに似たプログラム)は、Captchaメソッドを効果的に壊したことがわかっている唯一の動作する実装です。reCaptchaを解読する実装については聞いたことがありません。

更新:reCaptcha全体(reCaptcha全体ではない)の少なくとも1つの実装もクラックされているようです。

2010年12月の更新:JdownloaderがついにreCaptcha を破っているようです。プラグインはまだ実験的で、Windows版のJdownloaderでのみ機能しますが、私が試した仲間から聞いたように、機能します。


2
RapidshareとmegauploadがRE-captchaを使用していないため、これらのファイルホスターのどれを使用していますか。
dr。邪悪な

@ dr.evilそれは私たちが言うことができるほとんどすべてのホスティング業者のリストをカバーしていました、リストは私たちが今まで聞いたことのない多くを含んでいるので、プログラムはほとんどのキャプチャを壊すのに十分スマートであり、そうでない場合はユーザーにプロンプ​​トを出していました同じ、それは便利ではありません。私は過去にそれを個人的に使用しました。これは、IDMよりも優れているダウンローダーの1つでした。注意:私はjDownloaderのプロモーターではありません。ありがとう
MarmiK

8

CAPTCHA全般の問題を取り上げた昨年のデフコンでのスピーチがありまし。彼らがしたことの1つは、複数の無料のOCRエンジンを使用して、最高の言葉に投票してもらいました。これを行うことで、彼らは成功するややまともなチャンスを得ることができました。ある種、それは40%かそこらでしたが、それはreCaptchaではなかったと思います。


3
これは重要なポイントです。スパムボットはすべてのキャプサを破壊する必要はありません。1%が試行を続けることができるなら、そうするでしょう。
Martin Beckett、

8
  • 「実際には、それ[reCAPTCHAの]はかなり無駄になった上で1月4日[2011]スパマーは明らかに回避reCAPTCHAのそのソフトウェアの一部にその集団の手を持って、完全に自動化された登録プロセスが可能になります。ボットは確かに非常に忙しく、忙しくしています以来、」 [1]

2〜3年前、テキスト入力ベースのキャプチャアプローチは、戦いに負けたときに不法侵入しました。人間には完全に不可能です。これは、応答がコンピュータによって生成されないことを確認するためのテストとして、CAPTCHAの元のパラダイムに矛盾します。

更新:
ことを注意reCAPTCHAのがが所有しているグーグルが、グーグル社は、独自のサービスで、それを使用しません。
これは、Gmailの登録など、 Google自体/内部 でex。

代替テキスト



GoogleのreCAPTCHAは常に2語であることに注意してください。
これは、他のユーザーが使用するために提供されているGoogleのreCAPTCHAを含む画像のリンクです。

そしてreCAPTCHAのスクリーンショット:

代替テキスト

私は読者に明白な結論を出すために去ります。

引用:[1]
reCAPTCHAクラッキングスパムボットがヒットしたvBulletinフォーラム| PC Proブログ2011年1月12日、 Davey Winderによる
投稿


5

reCAPTCHAで保護されたシステムで、ページが読み込まれ、1秒後に投稿が成功したブログのコメントが表示されます。User-Agentは意味がありませんでした(この特定のケースでは、Ubuntu 9.25 / Firefox 3.8を実行していると主張しています)。参照元は、まったく関係のないサイトからのものであり、私たちへのリンクはありません。

これは明らかに自動化されています。


3

reCAPTCHAは破られていません。もしそうなら、なぜGoogleはそれを購入し、Google内のテクノロジーを適用してGoogle製品の詐欺やスパム保護を強化することを発表したのですか?

Googleから9/16/09にGoogleブログに投稿されたreCAPTCHAを取得

このように、reCAPTCHAの独自のテクノロジーにより、スキャンされた画像を光学式文字認識(OCR)と呼ばれるプレーンテキストに変換するプロセスが改善されます。このテクノロジーは、GoogleブックスやGoogleニュースアーカイブ検索などの大規模なテキストスキャンプロジェクトにも役立ちます。プレーンテキストを検索したり、モバイルデバイスで簡単にレンダリングしたり、視覚障害者に表示したりできるため、テキストバージョンのドキュメントを用意することは重要です。したがって、Google内のテクノロジーを適用して、Google製品の詐欺やスパム保護を強化するだけでなく、書籍や新聞のスキャンプロセスを改善します。


3

キャプチャを倒す最も簡単な方法は、Amazon Mechanical Turkです。Hotmail、AOL、Gmailアカウントを登録するために人々にそれぞれニッケルを支払うカーミットウェルダという名前の男がいます。これは、5セントで6,000の偽の電子メールアカウントです。他の人にあなたのために汚い仕事をさせてもらえば、ビジネスを行うコストはかなり安いです。私たちのサーバーのスパムフィルターがHotmailからの何かを拒否したいのも不思議ではありません。


これは本当に答えですか...?
オースティンヘンリー2012年

理にかなって、Death By Captchaに似たコンセプトがあります。
ケノーブ2015年

OP haは、これは彼が探しているものではないことを明確に述べています。
スコットソル

2

AFAIK実際には、RE-CAPTCHAの実装を解読するツールはありませんが、最終的には誰かがそれを取得すると思います。

自動化された方法で行うことができないデジタル化された本をre-captchaが設計したため、誰かがそれを手に入れられたとしても、RE-captchaプロジェクト全体は無意味です。

ところで:

CAPTCHAシステムの弱点は、CAPTCHAの画像を見て結果を入力することだけが中国の人々でいっぱいの部屋を設定することです。これは、実際にスパムを行っている自動システムにプラグインします。

そのように考えるシステムを保護することはできません。これは、「ホストが古い軍用バンカーにない場合、Webアプリケーションは十分に安全ではありません。今や人々はあなたのマシンを盗むことができるからです」のようなものです。


3
あなたの感情は適切ですが、その適用は間違っています:(あなたが引用したコメントの)考え方は、CAPTCHA は意図した問題を解決しないということです。または私がよく言っているように、「CAPTCHA(一般的に)は間違った問題の悪い解決策です。」CAPTCHAが(定義により)解決しようとしている問題は、次のとおりです。ユーザーがコンピューターではなく人であることをどのようにして知ることができますか?CAPTCHAがこれを解決する(しない)かどうかに関係なく、REALの問題は次のとおりです。サービスの大量フラッディングを防ぐにはどうすればよいですか?CAPTCHAファームとプロキシは、正確な違いを示しています。そのため、セキュリティソリューションは脅威から始める必要があります。
AviD 2010年

1
そうだね、「なぜCAPTCHAを使用しているの?」ということになる。いくつかのシステムにとっては、それはいくつかのシステムにとっては十分なセキュリティであり、それは近くにさえありません。しかし、暗号のキーサイズと同様に、ブルートフォースに何年もかかることで何かを保護するのに役立ちます(最終的にはそれを解読することになりますが、この寿命ではないか、次の10年ではありません)。一部のシステムのCAPTCHAは、非常に同じ方法。あなたが言ったように、すべてが降りてきたので、CAPTCHAを何に使用していますか?
dr。邪悪な

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.