Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Támadás a reCAPTCHA ellen

2009.04.29. 22:54 | buherator | 2 komment

A reCAPTCHA egy nyílt API-val rendelkező CAPTCHA szolgáltatás, amely jó hatékonyságú Turing-tesztek szolgáltatása mellett nyomtatott szövegek automatikus felismerését és digitalizálását is segíti. A reCAPTCHA tesztekben két szó torz képe jelenik meg: az egyik a  feladvány, melynek jelentését valóban ismeri a rendszer, míg a másik egy olyan szó képe, amely kifogott az OCR-eken (optikai karakterfelismerő rendszerek).

A neves Time magazin is ezt a megoldást használta az automatikus szavazóprogramok megfékezésére a "Világ legbefolyásosabb emberéről" szóló szavazásában. A 4chan-en tobzódó anonymousok azonban úgy döntöttek, saját maguk képére formálják az eredményeket:

Az első próbálkozás természetesen egy teljesen automatizált karakterfelismerő megoldás volt, amely nem túl meglepő módon elbukott.

A második ötlet már sokkal eredetibbnek tűnt: a "játékosok" minden egyes olyan szóra, amely feltehetően nem szerepelt a reCAPTCHA adatbázisában, a 'penis' kifejezést adták megoldásként. A gondolat emögött az, hogy a reCAPTCHA elvileg a szavazatok száma alapján megtanulja az addig nem ismert képek jelentését, de ha minden képre azt mondjuk, hogy 'penis', egy idő után ezt a szót bármely rejtvény esetében sikerrel alkalmazhatjuk. A trükk azonban nem jött be, a reCAPTCHA felhasználói bázisa ugyanis túlzottan nagy ahhoz, hogy potom 200.000 szavazattal meg lehetne mérgezni az adatbázist, ezen kívül az eszköz fejlesztői "számos védelmet" beiktattak az ilyen jellegű támadások kivédésére.

Végül a spammerek közt is legelterjedtebb módszer bizonyult célravezetőnek: a végtelenségig optimalizált emberi munka. Az alakulat egy maximálisan leegyszerűsített felületet állított össze a lelkes szavazóknak, valamint rájöttek, hogy elég egy szót beírni szavazatonként kettő helyett, ezzel pedig rengeteg időt meg lehet spórolni. Emellett a Time szavazatértékelési stratégiájának sajátosságait kihasználva képesek voltak a cél eléréséhez becsült 200.000-es szavazatmennyiséget több mint ötödével csökkenteni.

A szavazást így végül moot, a 4chan alapítója nyerte, az első 21 személy nevének kezdőbetűit összeolvasva pedig a 'Marblecake also the game' mondat vált kiolvashatóvá, amely a társaság egyik kedvelt IRC csatornájára utal. Gratulálok :)

A "játék" további részleteiről itt olvashattok.

Címkék: captcha time anonymous recaptcha

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2009.04.30. 10:41:49

Ezekkel a 4chanosokkal csak a baj van. Sok untakozo pervert :)