Ars Technica - Googlov reCAPTCHA (kratica za Completely Automated Public Turing test to tell Computers and Humans Apart) je eden izmed najpogostejših sistemov za razlikovanje med ljudmi in računalniki, ki se uporablja na mnogo spletnih straneh. Kjer se želimo znebiti avtomatskih komentarjev oziroma spama ali drugih težav, ki bi jih povzročili računalniški vnosi, si pomagamo s sistemom CAPTCHA. Ta običajno izpiše dvoje besed, ki imata nekoliko izmaličene črke, tako da jih ljudje z lahkoto še kar solidno prepoznajo, računalniki pa niti z najboljšim sistemom za optično prepoznavanje (OCR) ne. Google je ob tem združil nujno s koristnim in rezultate uporablja za digitalizacijo knjig. Sistem naj bi bil praktično nezlomljiv, a to ni čisto res. Trojica hekerjev z vzdevkom Stiltwalker je namreč predstavila svoj sistem, ki z 99-odstotno natančnostjo pretenta CAPTCHA, a je Google potem nekaj ur pred predstavitvijo sistem že nadgradil.
Hekerji niso zlomili optičnega dela CAPTCHA, ampak so sistem napadli z drugega konca. Za slabovidne namreč Google ponuja tudi avdio različico, kjer lahko poslušajo zvočni posnetek izgovora šestih besed, ki jih morajo nato vpisati. Da je posnetek računalnikom neprepoznaven, Google poskrbi z dodatnim šumom v ozadju. Kot so hekerji ugotovili, je sistem pomanjkljiv. Google izbira le med 58 besedami, kar analizo precej zoži. Nadalje so ugotovili, da je mogoče enostavno odfiltrirati zvok iz ozadja, saj ta ne vsebuje nekaterih višjih frekvenc, ki jih izgovorjene besede. Tako ločen avdio zapis so nato analizirali. Ob tem jim je pomagalo še dejstvo, da je Google dopuščal različen zapis besed (npr. boat ali poate oziroma friay za friday, fairy ali four), in da jih je algoritem izbiral po precej predvidljivem (slab psevdorandom) zaporedju. Uspeh pri zlomu CAPTCHE je bil 99,1-odstoten.
Google je dve uri pred napovedano konferenco svoj sistem spremenil, in sicer je besed po novem deset in ne več šest, hkrati pa je zvok v ozadju prav tako človeški in ne več mehanski, tako da filter ne deluje več.
ah, sploh nisem prebral naslednjega odstavka, my bad
se pa zmeraj bolj trudijo s to captcho, čeprav se mi zdi da je vsaj komercialen OCR softver dokaj nesposoben brat že normalen, poskeniran tekst, kaj šele z raznimi anomalijami
Lep dokaz stanja pozornosti z strani Googla - očitno so vedeli da bodo zadevo prej ko slej zlomili in so imeli že nadgrajeno varianto v pripravljenosti. Pohvalno.
Dobro je kar nosi največ svobodne koristi/najmanj bolečine čim več sentientom
na najhitrejši, najvarnejši in najbolj moralen način za najdaljše obdobje.
"Utilitarianizem po Saladinovo"
Od kdaj se gre pa pri hekanju za inovativnost? 99% napadov ni nič kaj inovativnih.
Oh, google ima ranljivost v kapči.... Brezveze. Nekdo je to že počel.
P.S.
Ta kaptcha deluje na principu primerjanja določene besede, ki je v bazi s strani drugih uporabnikov in potem v njihove transkripte vrže najbolj pogosto?
Icematxyz, točno na to sem tudi jaz pomislil. Rezultat na koncu je, da so samo otežili prijavo invalidom. Vprašanje pa ostaja... Kaj bo google naredil, ko bodo tudi to pohekali? A bodo dali 20 besed za vpisat?......
Zanimiv video, se kar nasmeješ, kot da bi gledal stand up
Sem se pa tudi jaz par mesecev nazaj lotil ene od google captch analizerat. S tem, da sem probal audio capctho razbiti vizualno Sej vem sliši se malo čudno, samo ko neka časa gledaš v spektogram se človek kar nauči prepoznati neko številko in če jo človek prepozna, zakaj jo ne bi še program :)
google
Sai Baba: "Dam vam to, kar hočete, da boste hoteli to, kar vam želim dati."
Zanimiv video, se kar nasmeješ, kot da bi gledal stand up
Sem se pa tudi jaz par mesecev nazaj lotil ene od google captch analizerat. S tem, da sem probal audio capctho razbiti vizualno Sej vem sliši se malo čudno, samo ko neka časa gledaš v spektogram se človek kar nauči prepoznati neko številko in če jo človek prepozna, zakaj jo ne bi še program :)
zanimivo, ampak zdi se, da to zadevo zgolj pretvori v nov OCR izziv, ki je za računalnike še težji
zanimivo, ampak zdi se, da to zadevo zgolj pretvori v nov OCR izziv, ki je za računalnike še težji
Sem imel ideje kako bi se dalo to dobro detektirati, poleg tega pa znam malo bolj computer vision kot pa audo processing.
Glavna napaka googla,po mojem, je, da je dovolil, da si lahko vpisal besede že po parih sekundah, čeprav sam posnetek traja 8 sekund. Pa to, da so lahko zlovdal par miljonov captch, pa da google ne opazi tega...
Drugače pa ne vem kolk je še smiselno razbijat captcho, če imaš solverje z 90%+ zanesljivostjo za ceno: An incredible low price of $1.39 for 1000 solved CAPTCHAs.
Sai Baba: "Dam vam to, kar hočete, da boste hoteli to, kar vam želim dati."
zanimivo, ampak zdi se, da to zadevo zgolj pretvori v nov OCR izziv, ki je za računalnike še težji
Sem imel ideje kako bi se dalo to dobro detektirati, poleg tega pa znam malo bolj computer vision kot pa audo processing.
Glavna napaka googla,po mojem, je, da je dovolil, da si lahko vpisal besede že po parih sekundah, čeprav sam posnetek traja 8 sekund. Pa to, da so lahko zlovdal par miljonov captch, pa da google ne opazi tega...
Drugače pa ne vem kolk je še smiselno razbijat captcho, če imaš solverje z 90%+ zanesljivostjo za ceno: An incredible low price of $1.39 for 1000 solved CAPTCHAs.
Ta cena ne vključuje poti do captche, tako da spet ni vse tako kot zgleda.