security - ppt - ¿Ha sido craqueado/pirateado/OCR''d/derrotado/roto ReCaptcha?

AFAIK En la práctica no existe una herramienta para descifrar la implementación de RE-captcha, sin embargo, eventualmente, supongo que alguien lo obtendrá.

Bastante gracioso si alguien logra obtenerlo, entonces todo el proyecto RE-captcha no tiene sentido porque re-captcha diseñó la digitalización de libros que no se puede hacer de manera automática.

Por cierto:

La debilidad de los sistemas CAPTCHA es que las personas instalan salas llenas de gente en China, cuyo único trabajo es mirar una imagen CAPTCHA y escribir el resultado, que se conecta al sistema automatizado que realmente está haciendo spam.

No se puede asegurar que un sistema piense así, es como decir "su aplicación web no es lo suficientemente segura si su servidor no está en un viejo búnker militar, porque ahora las personas pueden robar su máquina".

Antes de ceder a la presión de usar captcha, considere soluciones creativas como tener un campo etiquetado como "Sus Comentarios" que está oculto por CSS. Si se ingresa el campo, el servidor descarta la solicitud. La mayoría de los bots caerán en la trampa, incluso si todavía no hay una buena manera de derrotar a la sala llena de trabajadores mal pagados, que captcha no ayuda con todos modos.

ACTUALIZACIÓN : acaba de leer un estudio de caso en el que la eliminación de CAPTCHA aumentó las tasas de conversión en casi un 10%. Eso me indicaría que está bastante roto si estás perdiendo el 10% de tus leads solo para filtrar bots. Imagine lo que el 10% significa para la mayoría de las empresas.

Es posible que le interese este informe detallado sobre cómo 4chan derrotó a reCAPTCHA y lo utilizó para manipular los resultados de la encuesta TIME 100 anual de Time.com .

Hacando Recaptcha (también conocido como ''The Penis Flood'')

La siguiente táctica utilizada fue ver si podían encontrar un error en la implementación de reCAPTCHA. Una cosa que descubrieron sobre reCAPTCHA fue que siempre presenta dos palabras para decodificar a un usuario: una palabra es una palabra de control conocida por el sistema reCAPTCHA, mientras que la otra es una palabra desconocida (reCAPTCHA usa los humanos para ayudar a corregir los errores de OCR). Wikipedia describe el proceso: "El texto escaneado está sujeto a análisis por dos programas de reconocimiento de caracteres ópticos; en los casos en que los programas no están de acuerdo, la palabra cuestionable se convierte en un CAPTCHA. La palabra se muestra junto con una palabra de control ya conocida y etiquetada por el humano. Aquellas palabras a las que los jueces humanos les otorgan constantemente una etiqueta única se reciclan como palabras de control ". 2iasdo4 Lo que Anonymous se dio cuenta fue que si siempre etiquetaban el texto escaneado desconocido con la misma palabra, y si lo hacían miles y miles de veces, un gran porcentaje de las palabras desconocidas se etiquetaría incorrectamente con su palabra. Todo lo que tenían que hacer era mirar las dos palabras en el captcha, ingresar la etiqueta adecuada para el ''fácil'' (presumiblemente ese sería el que los dos escáneres ópticos estarían de acuerdo) e ingresar la palabra "pene" para el difícil. Si hicieran esto con la suficiente frecuencia, pronto un porcentaje significativo de las imágenes se etiquetaría como "pene" y se restablecería la capacidad de autovotar (un efecto secundario, que no se perdió en Anonymous, fue la idea de que en los próximos años habría una serie de libros digitales con la palabra ''pene'' insertada al azar en todo el texto. Actualización: Le pregunté a Ben Maurer, ingeniero jefe de reCAPTCHA sobre este ataque de ''inundación del pene'', Ben dice que han anticipado este tipo de ataque. y tienen numerosas protecciones que evitarán que los penes penetren en la barrera reCAPTCHA.

Optimizando reCAPTCHA

Tan atractivo como la noción de rociar la palabra "pene" en los textos, el equipo de Anonymous sabía que el tiempo corría, y si iban a restaurar el mensaje no tenían tiempo para esperar a que los autovoteros volvieran a estar en línea. Tendrían que votar manualmente, muchas, muchas veces. Y entonces necesitaban poder entrar al captcha lo más rápido que pudieran. Desarrollaron un conjunto de pautas que les permitieron decidir rápidamente qué palabras de reCAPTCHA podrían omitir. Por ejemplo:

Le darán 2 palabras: 1 real, 1 falso.

Para [REAL FAKE] o [FAKE REAL] , puede simplemente escribir REAL y debería ser aceptado.

Si es [LOOKSREAL LOOKSREAL] o [LOOKSFAKE LOOKSFAKE] , generalmente es más rápido escribir ambas palabras. No pierdas un tiempo precioso decidiendo cuál de ellos es real.

Use tanto la apariencia como el tipo de palabra para identificar una palabra falsa. No confíes solo en uno de ellos.

Todo el conjunto de reglas está aquí: falso captcha .

Estoy viendo comentarios de blog sobre un sistema protegido por reCAPTCHA donde se carga la página y 1 segundo después la publicación se realizó con éxito. El User-Agent no tenía sentido (en este caso en particular, afirmaba que estaba ejecutando Ubuntu 9.25 / Firefox 3.8), el remitente era de un sitio completamente no relacionado que no tenía ningún enlace.

Esto está claramente automatizado.

Hay muchos métodos que se utilizan para recaptcha mierda. Si bien su red neuronal difícil de usar les permitió a los programas resolverlos automáticamente, es posible tomar la imagen y tener el turk mecánico de Amazon o algún programa equivalente para resolverlos.

http://codemagician.wordpress.com/2010/01/22/solving-recaptcha/

Hubo un discurso en Defcon el año pasado que entró en los problemas con CAPTCHA en general. Una de las cosas que hicieron fue utilizar varios motores de OCR gratuitos y hacer que voten sobre las mejores palabras. Al hacer esto, pudieron lograr una oportunidad decente de tener éxito. Para un tipo, era 40% más o menos, no creo que fuera ReCaptcha, sin embargo.

La debilidad de los sistemas CAPTCHA es que las personas instalan salas llenas de gente en China, cuyo único trabajo es mirar una imagen CAPTCHA y escribir el resultado, que se conecta al sistema automatizado que realmente está haciendo spam.

No hay mucho que puedas hacer al respecto realmente.

También es mucho más económico que tratar de hacer reconocimiento de imagen, OCR, etc. en la imagen real (puede recibir una respuesta por menos de $ 0.01 a la inversa).

La forma más fácil de vencer a Captchas es Amazon Mechanical Turk. Hay un tipo llamado Kermit Welda que le paga a las personas un centavo cada una para registrar cuentas de Hotmail, AOL y Gmail. Eso es 6,000 cuentas de correo electrónico falsas a 5 centavos = $ 300 por día. El costo de hacer negocios es bastante bajo cuando otras personas hacen el trabajo sucio por usted. No es de extrañar que los filtros de spam de nuestro servidor quieran rechazar cualquier cosa de Hotmail.

Mi captcha favorito es de Microsoft: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Asirra (Reconocimiento de imágenes de especies animales para restringir el acceso) es un HIP que funciona pidiendo a los usuarios que identifiquen fotografías de perros y gatos. Esta tarea es difícil para las computadoras, pero nuestros estudios de usuarios han demostrado que las personas pueden lograrla de forma rápida y precisa. ¡Muchos incluso piensan que es divertido!

Es un servicio gratuito y tienen un código de ejemplo para comenzar.

Me pregunto cuánto tiempo pasará antes de que se rompa.

No solo ha sido derrotado, sino que también se ha construido una aplicación útil para convertirse en la herramienta más increíble para vencer todo tipo de protecciones de cuentas gratuitas de una gran lista de sitios de descarga directa (no solo megaupload y rapidshare). )

Jdownloader es de código abierto y está escrito en Java para que un vistazo al código fuente pueda responder no solo si está roto sino también cómo .

Editar : la mayoría de los sitios de descarga directa no usan reCaptcha, sino un método de Captcha más simple (3 letras mayúsculas coloreadas en diferentes colores). Sin embargo, Jdownloader y Cryptload (un programa similar a Jdownloader) son las únicas implementaciones que sé que efectivamente han roto un método Captcha. No he oído de ninguna implementación para crackear ReCaptcha.

Actualización : parece que al menos una implementación de reCaptcha (no toda ReCaptcha en sí misma) también se ha descifrado .

Actualización de diciembre de 2010 : Jdownloader parece por fin estar derrotando a ReCaptcha . El plugin aún es experimental y funciona solo en las versiones de Windows de Jdownloader, pero, como me dijo un compañero que lo probó, funciona.

Observo que casi todas las respuestas aquí se relacionan con la ineficacia del concepto de CAPTCHA, en principio, y aunque estoy muy de acuerdo con ellas, de hecho di una charla en OWASP hace unos meses explicando eso , la pregunta es muy específica. , entonces proporcionaré una demostración.
Pero primero, reiteraré esa demostración, volveré a leer los otros comentarios, ya que es verdad que CAPTCHA no tiene sentido y no es útil, es irrelevante para la implementación ...

Pero realmente, mira CAPTCHA Killer . Puede cargar una imagen CAPTCHA y proporcionará automáticamente, si no de inmediato, la respuesta OCR. También proporciona una API (REST, creo, pero quizás también SOAP). Personalmente probé numerosas imágenes reCAPTCHA, y en realidad fueron algunas de las más fáciles (o al menos las más rápidas) rotas.

ACTUALIZACIÓN : El sitio web de CAPTCHA Killer ahora está desactivado, aparentemente bajo presión legal. Vea http://captcha.org/ para una descripción completa del tema.

Y sí, OCR no es la mejor manera de romper un sitio protegido CAPTCHA; hay muchas otras formas mejores.

ReCAPTACHA no está roto y no será por mucho tiempo. El caso es que si implementa su propio captcha si está roto, probablemente demore mucho tiempo en solucionarlo.

Esto se toma de la página sobre seguridad reCAPTCHA :

reCAPTCHA es un servicio web. Eso significa que todas nuestras imágenes son generadas y clasificadas por nuestros servidores. (...) esto también proporciona un nivel adicional de protección: nuestros CAPTCHA se pueden actualizar automáticamente siempre que se encuentre una vulnerabilidad de seguridad.

Por ejemplo, si alguien escribe un programa que puede leer nuestras imágenes distorsionadas, podemos agregar más distorsiones en muy poco tiempo, y sin que los maestros de Internet tengan que cambiar nada de su lado.

Creo que como están especializados en captchas tienen versiones mejoradas almacenadas, listas para ser implementadas en poco tiempo si es necesario. (¿Por qué deberían crear una mayor seguridad cuando el más débil aún no está roto?)

reCAPTCHA no ha sido derrotado. Si lo hubiera sido, ¿por qué Google simplemente lo compró y anunció que aplicará la tecnología dentro de Google para aumentar el fraude y la protección contra el spam para los productos de Google?

de Google adquiere reCAPTCHA publicado en el blog de Google el 16/09/09:

De esta manera, la tecnología única de reCAPTCHA mejora el proceso que convierte las imágenes escaneadas en texto sin formato, conocido como reconocimiento óptico de caracteres (OCR). Esta tecnología también impulsa proyectos de escaneo de texto a gran escala como Google Books y Google News Archive Search. Tener la versión de texto de los documentos es importante porque se puede buscar en el texto sin formato, se puede representar fácilmente en dispositivos móviles y se puede mostrar a los usuarios con discapacidad visual. Por lo tanto, aplicaremos la tecnología dentro de Google no solo para aumentar la protección contra el fraude y el spam para los productos de Google, sino también para mejorar nuestros libros y el proceso de escaneo de periódicos.

• "De hecho, [reCAPTCHA] se volvió bastante inútil el 4 de enero [2011] cuando los spammers aparentemente obtuvieron sus manos colectivas en un software que elude reCAPTCHA y permite un proceso de registro completamente automatizado. Los bots han estado ocupados, muy ocupados , desde entonces " [1]

Hace dos o tres años, el enfoque captchas basado en texto pasó por alto la línea cuando perdieron la batalla, es decir, complicaciones adicionales los hacen relativamente (dado que la potencia de la computadora aumenta, mientras que la del ser humano) más fáciles para las máquinas y más repulsivas y repulsivas. completamente imposible, para los humanos. Esto contamina el paradigma original de CAPTCHA como una prueba para asegurar que la respuesta no sea generada por una computadora

Actualizar:
Tenga en cuenta que reCAPTCHA es propiedad de Google Inc. pero Google Inc. no lo utiliza por sus propios servicios.
Aquí hay un enlace que contiene la página web con captcha utilizado por Google mismo / internamente por ejemplo, para el registro de Gmail:

Tenga en cuenta que Google reCAPTCHA siempre tiene 2 palabras.
Aquí está el enlace para la imagen con reCAPTCHA de Google que se ofrece para ser utilizado por otros .

Y la captura de pantalla de reCAPTCHA:

Lo dejo para sacar las conclusiones obvias a un lector.

Citado: [1]
vBulletin foros golpeados por reCAPTCHA craqueo spam bot | Blog de PC Pro
Publicado el 12 de enero de 2011 por Davey Winder