Categorie | SEO


Google ‘s reCAPTCHA Gekraakt

Posted on 09 February 2011


Ondanks de ontkenningen door Google, blijft een security-onderzoeker beweren dat het systeem reCAPTCHA – wat gebruikt wordt voor de bescherming van websites – met succes kan worden misbruikt door Internet junk mail spammers.

Onderzoeker Jonathan Wilkins publiceerde ruim een jaar geleden een document (zie bronnen) met een analyse over de veiligheid van reCAPTCHA. In geautomatiseerde aanvallen tegen het reCAPTCHA systeem meldde hij dat hij een alarmerend slagingspercentage van 17,5 procent had behaald. Nadat Google enkele aanpassingen had gedaan aan het systeem bleef het stil.

Echter sinds enkele weken vind er een ware spam plaag plaats op systemen die gebruik maken van reCAPTCHA zoals vBulletin. Het lijkt er dus op dat spammers het systeem succesvol hebben geimplementeerd.

reCAPTCHA, waar staat dat voor dan?

Googles reCAPTCHA GekraaktCAPTCHA – wat staat voor Completely Automated Public Turing test to tell Computers and Humans Apart – is een methode voor het verijdelen van geautomatiseerde aanvallen door spammers op websites. Voordat een internetter iets kan uitvoeren op een site, zoals bijvoorbeeld het opzetten van een e-mailaccount of het toevoegen van commentaar op een blog posting,  wordt hij of zij voorzien met een beeld van een woord of woordgroep die verdraaid is op een bepaalde manier. Dit verdraaide beeld is bedoeld om scanners en optische herkennings software programma’s uit te sluiten van automatische registratie op websites en met als doel spammers tegen te gaan. Het idee is dat mensen het beeld wel kunnen lezen terwijl machines of software dit niet kan.

Een eenvoudige wiskundige berekening onthult hoe alarmerend Wilkins bevindingen zijn. De exploitant van zelfs een bescheiden botnet van 10.000 machines zou al gelukkig zijn met een slagingspercentage van 0,01 procent. Dit zou betekenen dat 10 nieuwe Gmail-accounts elke seconde aangemaakt kunnen worden m.a.w. er kunnen maar liefst 864.000 nieuwe accounts per dag aangemaakt worden op deze manier!

reCAPTCHA Spam Chat Bot Check

Google over de reCAPTCHA kraak

Google brengt daartegen in dat Wilkins-test is gedaan op een oude vorm van reCAPTCHA en dat er vanaf 2008 veel is veranderd. “Wilkins studie toont niet de effectiviteit van de huidige reCAPTCHA technologie met deze door hem ontwikkelde captcha solver methode,” zei een Google-woordvoerder tegen The Register. “We hebben geconstateerd dat reCAPTCHA veel krachtiger is terwijl er ook een goede balans is met de menselijke bruikbaarheid, hierover hebben we dan ook zeer positieve feedback van onze klanten ontvangen.”

Wilkins heeft erkend dat zijn oorspronkelijke tests gedaan werden op een oudere versie van reCAPTCHA, maar sinds die tijd heeft hij testen uitgevoerd op de nieuwe beelden geproduceerd door het systeem en het lijkt er op dat deze zelfs nog zwakker is dan de oudere reCAPTCHE versie. In een van zijn oorspronkelijke tests op het systeem was zijn slagingspercentage 5 tegen 200. Nadat dezelfde test werd gedaan op de nieuwe reCAPTCHA was het slagingspercentage zelfs 23 van de 100!

Het grote verschil tussen de oude en nieuwere versies van reCAPTCHA, is het gebruik van horizontale lijnen om de afbeelding nog verder te verdraaien. Door het gebruik van de lijnen wordt het moeilijker voor captcha solvers om de reCAPTCHA zin te herkennen – hoewel Wilkins stelt dat de lijnen gemakkelijk misbruikt kunnen worden door spammers – door deze lijnen wordt het voor het menselijk oog ook steeds moeilijker om de captache te herkennen. De nieuwe reCAPTCHA beelden hebben de lijnen laten vervallen maar voegen een distortion toe aan het beeld. Deze zijn makkelijker te lezen voor mensen, maar helaas zijn deze ook makkelijker voor captcha solvers te lezen.

Google reCAPTCHA Gekraakt

In tegenstelling tot de meeste CAPTCHA systemen maakt Google gebruik van beelden met twee woorden. Dit komt omdat Google reCAPTCHA gebruikt voor twee doeleinden. Net als andere CAPTCHA-systemen, is het ontworpen om spammers te dwarsbomen, als tweede reden is het ook opgenomen in Google’s inspanningen om boeken te digitaliseren. Als een woord in een boek niet kan worden herkend door Google’s OCR-software, wordt deze doorgestuurd naar het reCAPTCHA systeem. Wanneer een persoon dus een reCAPTCHA zin in een formulier invult kan Google ontdekken wat het OCR-programma niet kon. Een handige methode dus zonder dat daar menselijke editors voor ingehuurd hoeven te worden die de ingescande resultaten moeten bekijken.

Een zwakte van CAPTCHA’s, is echter dat ze woorden gebruiken die gevonden kunnen worden in een woordenboek. Dit maakt het makkelijker voor machines om de zinnen te kraken omdat ze iets hebben om te vergelijken.

Bovendien maakt reCAPTCHA gebruik van het “one-off” – systeem. Dat betekent dat één letter in één woord verkeerd mag zijn om nog aanvaard te worden door het systeem. Dus als de reCAPTCHA zin het woord “boom” bevat en een internetter tikt “room”, dan zal zijn of haar reactie nog steeds worden gezien als een geldige reCAPTCHA.

Sommige alternatieven voor CAPTCHA vermijden woorden in het geheel. Microsoft bijvoorbeeld, heeft een CAPTCHA ontwikkeld die ze Asirra noemen. Deze is volledig gebaseerd op beelden van katten en honden. Voor het uitvoeren van een taak beschermd door Asirra wordt een internetter voorzien van 12 foto’s en er wordt gevraagd om alle katten of honden te selecteren. Deze methode heet Human Interactive Proof, of HIP.

Voor de doeltreffendheid maken HIP-systemen gebruik van grote achterliggende databases die een zware aanslag op rekenkracht van een aanvallende spammer zijn computer kost. Microsoft doet dit door gebruik van de foto-database van Petfinder.com, deze bevat ongeveer drie miljoen foto’s van katten en honden.

Het is dus wachten tot Google met een verbeterde versie van reCAPTCHA komt.

Bronnen reCAPTCHA:
http://www.google.com/recaptcha
http://nl.wikipedia.org/wiki/Captcha

Leave a Reply

Snel Geld Verdienen Sponsors

Snel Geld Verdienen Sponsors

Snel Geld Verdienen Boeken

Copyright © Snel Geld Verdienen Blog Developed by Rival Media