» »

Googlov CAPTCHA zlomljen, popravljen v nekaj urah

Ars Technica - Googlov reCAPTCHA (kratica za Completely Automated Public Turing test to tell Computers and Humans Apart) je eden izmed najpogostejših sistemov za razlikovanje med ljudmi in računalniki, ki se uporablja na mnogo spletnih straneh. Kjer se želimo znebiti avtomatskih komentarjev oziroma spama ali drugih težav, ki bi jih povzročili računalniški vnosi, si pomagamo s sistemom CAPTCHA. Ta običajno izpiše dvoje besed, ki imata nekoliko izmaličene črke, tako da jih ljudje z lahkoto še kar solidno prepoznajo, računalniki pa niti z najboljšim sistemom za optično prepoznavanje (OCR) ne. Google je ob tem združil nujno s koristnim in rezultate uporablja za digitalizacijo knjig. Sistem naj bi bil praktično nezlomljiv, a to ni čisto res. Trojica hekerjev z vzdevkom Stiltwalker je namreč predstavila svoj sistem, ki z 99-odstotno natančnostjo pretenta CAPTCHA, a je Google potem nekaj ur pred predstavitvijo sistem že nadgradil.

Hekerji niso zlomili optičnega dela CAPTCHA, ampak so sistem napadli z drugega konca. Za slabovidne namreč Google ponuja tudi avdio različico, kjer lahko poslušajo zvočni posnetek izgovora šestih besed, ki jih morajo nato vpisati. Da je posnetek računalnikom neprepoznaven, Google poskrbi z dodatnim šumom v ozadju. Kot so hekerji ugotovili, je sistem pomanjkljiv. Google izbira le med 58 besedami, kar analizo precej zoži. Nadalje so ugotovili, da je mogoče enostavno odfiltrirati zvok iz ozadja, saj ta ne vsebuje nekaterih višjih frekvenc, ki jih izgovorjene besede. Tako ločen avdio zapis so nato analizirali. Ob tem jim je pomagalo še dejstvo, da je Google dopuščal različen zapis besed (npr. boat ali poate oziroma friay za friday, fairy ali four), in da jih je algoritem izbiral po precej predvidljivem (slab psevdorandom) zaporedju. Uspeh pri zlomu CAPTCHE je bil 99,1-odstoten.

Google je dve uri pred napovedano konferenco svoj sistem spremenil, in sicer je besed po novem deset in ne več šest, hkrati pa je zvok v ozadju prav tako človeški in ne več mehanski, tako da filter ne deluje več.

27 komentarjev

7982884e ::

Trojica hekerjev
hekerjev? sem mislu da so to bolj kot hekerji pač tisti, ki so razvili dober OCR

bluefish ::

Beri novico še enkrat. Ni šlo za OCR.

7982884e ::

ah, sploh nisem prebral naslednjega odstavka, my bad

se pa zmeraj bolj trudijo s to captcho, čeprav se mi zdi da je vsaj komercialen OCR softver dokaj nesposoben brat že normalen, poskeniran tekst, kaj šele z raznimi anomalijami

Saladin ::

Lep dokaz stanja pozornosti z strani Googla - očitno so vedeli da bodo zadevo prej ko slej zlomili in so imeli že nadgrajeno varianto v pripravljenosti.
Pohvalno.
Dobro je kar nosi največ svobodne koristi/najmanj bolečine čim več sentientom
na najhitrejši, najvarnejši in najbolj moralen način za najdaljše obdobje.
"Utilitarianizem po Saladinovo"

nekdonekje ::

neki inovativni ravno niso bili.

gendale ::

a še kdo za tisto drugo besedo vedno vpiše nekaj drugega?

jaz to vedno počnem, ker mi je captcha ena najbolj nadležnih stvari na internetu
seznam zanč moderatorjev in razlogov da so zanč
http://pastebin.com/QiWny5dV
gor je mavrik apple uporabniček (mali možgani in mali penis)

nocutius ::

Spam je še bolj.

Phantomeye ::

nekdonekje je izjavil:

neki inovativni ravno niso bili.


Od kdaj se gre pa pri hekanju za inovativnost? 99% napadov ni nič kaj inovativnih.

Oh, google ima ranljivost v kapči.... Brezveze. Nekdo je to že počel.

P.S.

Ta kaptcha deluje na principu primerjanja določene besede, ki je v bazi s strani drugih uporabnikov in potem v njihove transkripte vrže najbolj pogosto?

Zgodovina sprememb…

Icematxyz ::

V bistvu je zadeva nekoliko delikatna, če so sedaj otežili delo slabovidnim. Potem jih ne podpiram. ;)

alessio2 ::

Icematxyz, točno na to sem tudi jaz pomislil. Rezultat na koncu je, da so samo otežili prijavo invalidom.
Vprašanje pa ostaja... Kaj bo google naredil, ko bodo tudi to pohekali?
A bodo dali 20 besed za vpisat?......

Karlos ::

Zanimiv video, se kar nasmeješ, kot da bi gledal stand up :D

Sem se pa tudi jaz par mesecev nazaj lotil ene od google captch analizerat.
S tem, da sem probal audio capctho razbiti vizualno :D
Sej vem sliši se malo čudno, samo ko neka časa gledaš v spektogram se človek kar nauči prepoznati neko številko
in če jo človek prepozna, zakaj jo ne bi še program :)
 google

google

http://www.karlosp.net/blog/ => Malo mešano na žaru
Ne odnehaj dokler ne poskusiš vsaj 2x!

GizmoX ::

Meni je pa zelo zanimiva porast strani, ki ponujajo zaslužek za reševanje CAPTCHA in drugih izzivov. En tak primer je npr. megatypers:
Completely Automated Public Turing Test to tell Computers and Humans Apart image recognition for the visually impaired (blind).
Morda že obstaja addon za firefox, ki (za mesečno plačilo) omogoča samodejno reševanje CAPTCHA izzivov?:))
udirač => uni. dipl. inž. rač.

Zgodovina sprememb…

  • spremenil: GizmoX ()

7982884e ::

Karlos je izjavil:

Zanimiv video, se kar nasmeješ, kot da bi gledal stand up :D

Sem se pa tudi jaz par mesecev nazaj lotil ene od google captch analizerat.
S tem, da sem probal audio capctho razbiti vizualno :D
Sej vem sliši se malo čudno, samo ko neka časa gledaš v spektogram se človek kar nauči prepoznati neko številko
in če jo človek prepozna, zakaj jo ne bi še program :)
zanimivo, ampak zdi se, da to zadevo zgolj pretvori v nov OCR izziv, ki je za računalnike še težji

Karlos ::

7982884e je izjavil:

zanimivo, ampak zdi se, da to zadevo zgolj pretvori v nov OCR izziv, ki je za računalnike še težji

Sem imel ideje kako bi se dalo to dobro detektirati, poleg tega pa znam malo bolj computer vision kot pa audo processing.

Glavna napaka googla,po mojem, je, da je dovolil, da si lahko vpisal besede že po parih sekundah, čeprav sam posnetek traja 8 sekund. Pa to, da so lahko zlovdal par miljonov captch, pa da google ne opazi tega...

Drugače pa ne vem kolk je še smiselno razbijat captcho, če imaš solverje z 90%+ zanesljivostjo za ceno:
An incredible low price of $1.39 for 1000 solved CAPTCHAs.
http://www.karlosp.net/blog/ => Malo mešano na žaru
Ne odnehaj dokler ne poskusiš vsaj 2x!

Zgodovina sprememb…

  • spremenil: Karlos ()

Pluser ::

Kaj se norca delajo zakaj te nebi mogel teh črk prepoznati računalnik. Vse se da pm.

Phantomeye ::

Pluser je izjavil:

Kaj se norca delajo zakaj te nebi mogel teh črk prepoznati računalnik. Vse se da pm.


ja očitno ne.

morbo ::

Pluser je izjavil:

Kaj se norca delajo zakaj te nebi mogel teh črk prepoznati računalnik. Vse se da pm.

Zato ker recimo jaz googlov captcha zgrešim najmanj enkrat na prijavo.
All humans are vermin in the eyes of Morbo!

Phantomeye ::

morbo je izjavil:

Pluser je izjavil:

Kaj se norca delajo zakaj te nebi mogel teh črk prepoznati računalnik. Vse se da pm.

Zato ker recimo jaz googlov captcha zgrešim najmanj enkrat na prijavo.


Baje je 80-90% success rate pri ljudeh.

RockyS ::

Karlos je izjavil:

7982884e je izjavil:

zanimivo, ampak zdi se, da to zadevo zgolj pretvori v nov OCR izziv, ki je za računalnike še težji

Sem imel ideje kako bi se dalo to dobro detektirati, poleg tega pa znam malo bolj computer vision kot pa audo processing.

Glavna napaka googla,po mojem, je, da je dovolil, da si lahko vpisal besede že po parih sekundah, čeprav sam posnetek traja 8 sekund. Pa to, da so lahko zlovdal par miljonov captch, pa da google ne opazi tega...

Drugače pa ne vem kolk je še smiselno razbijat captcho, če imaš solverje z 90%+ zanesljivostjo za ceno:
An incredible low price of $1.39 for 1000 solved CAPTCHAs.


Ta cena ne vključuje poti do captche, tako da spet ni vse tako kot zgleda.

Goldee ::

Zakaj bi crackal, če pa lahko najameš n Indijcev/Pakistancev/Filipincev.., ki ti za 1$ na uro rešujejo capche s 100% natančnostjo v real timeu :)
And Now for Something Completely Different...

-two things I like about UK -Monty Python & Pink Floyd-

Gandalfar ::

Goldee je izjavil:

Zakaj bi crackal, če pa lahko najameš n Indijcev/Pakistancev/Filipincev.., ki ti za 1$ na uro rešujejo capche s 100% natančnostjo v real timeu :)


A das link na kaksen tak service? Ko sem jaz gledal je bila cena bistveno visja.

Goldee ::

odesk.com, freelancer.com?
Kokr se zmeniš :)
And Now for Something Completely Different...

-two things I like about UK -Monty Python & Pink Floyd-

Zgodovina sprememb…

  • spremenil: Goldee ()

Gandalfar ::

To je en kup dela, pa se infrastrukturo si mors sprogramirat.

Goldee ::

Pomojem manj dela, kot skrekat samo captcho.
And Now for Something Completely Different...

-two things I like about UK -Monty Python & Pink Floyd-

RejZoR ::

Zakaj bi se jebal s hekanjem če je verjetno ceneje zaposlit deset kitajčkov al pa pakistancev, ki nato mlatijo po tipkah cele dneve?
RejZoR's Flock of Sheep @ rejzor.wordpress.com

PaX_MaN ::

Zakaj pa bi, če si za to plačan (Stanford, d0h) in na račun tega dobivaš še pike?
(impact factor)
Neresno trolanje JS @ https://github.com/paxman/ZDIJZovanje
Za tenorista me imajo: BSi, Policija, MF.
Kar pogreje me pri srcu!

mojca ::

Par dni preden je prišla ta novica ven, sem našla dve leti staro diplomo Darmstadčana, ki tudi citira zavidljive rezultate krekanja kaptche.

In kot stranski produkt svoje diplome je ponudil še aplikacijo za razpoznavanje simbolov: http://shapecatcher.com/.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Mešetar.com [razvojno-beta testiranje] (strani: 1 2 3 4 5 )

Oddelek: Loža
24714846 (629) opeter
»

Googlov CAPTCHA zlomljen, popravljen v nekaj urah

Oddelek: Novice / Omrežja / internet
274152 (1979) mojca
»

[PHP] Uporaba ReCaptcha

Oddelek: Programiranje
15727 (382) Blisk
»

Osrednja stran za komentiranje znanstvenih člankov

Oddelek: Znanost in tehnologija
211052 (313) gzibret
»

Spam boti

Oddelek: Izdelava spletišč
141099 (782) Trdi

Več podobnih tem