Gekraakte Gmail-captcha's leiden tot toename spam

Reacties

« 1 2 »

Door finraziel, dinsdag 11 maart 2008 17:19

Hmm, hoop dat google dat snel kan aanpakken, ik ben best gesteld op mijn gmail en zou het niet fijn vinden als het straks op allerlei spamlijsten zou staan en je mail dus weer regelmatig niet aan komt...

Door DirkZzZ, dinsdag 11 maart 2008 17:26

Zou heel simpel kunnen, door een andersoort beveiliging te gebruiken.

Bijv, How much is [plaatje] + [plaatje]

En daar onder 5 knoppen, waarvan 1 het andwoord is.

Door TeeDee, dinsdag 11 maart 2008 17:29

How much is lijkt me iets wat een simpele bot automagisch kan lezen.
Een plaatje met een cijfer erop is ook makkelijk door een bot te lezen.

De manier waarop de captcha's gekraakt zijn is trouwens niet zomaar een screengrab/screenread.

[Reactie gewijzigd door TeeDee]

Door Jouketje, dinsdag 11 maart 2008 17:33

Dat natuurlijk ook allemaal in captcha-stijl, en het liefst die knoppen ook. Misschien zou het dan wel werken

Door xdcx, dinsdag 11 maart 2008 17:47

nee, dna gaat die bot toch steeds knoppen proberen!!! Want dan is er 1/5 kans dat je goed gokt!

"Hoewel de hackers bij de bij het 'oplossen' van de Gmail-captcha's slechts een succespercentage van twintig procent zouden behalen"

Het moet juist iets zijn waarbij de kans dat je goed gokt heel klein word. Bij catcha was dat zo maar nu is er blijkbaar een algoritme wat 20% goed kan invullen...

edit: reactie op dirkzzz

[Reactie gewijzigd door xdcx]

Door maxi-pilot, dinsdag 11 maart 2008 18:14

Geen 1/3 maar 0.2^7
0.2^2 (cijfers) * 0.2^5 (som)

Maar dit is natuurlijk maar een tijdelijke oplossing, een nieuw soort catcha zou beter zijn zodat het slaagpercentage lager zou zijn.

Maar misschien wel een oplossing: Google heeft een prima spamfilter, ze ook toepassen op uitgaande e-mails. De emails niet verwijderen maar bij 1.000+ 'hits' account blokkeren?

Door Kalief, dinsdag 11 maart 2008 18:54

Dan kun je geen nieuwsbrief voor je club meer versturen. Zo goed zijn die filters nou ook weer niet.

Door thegve, woensdag 12 maart 2008 09:56

De 'bad guys' zijn al zo veel adressen nodig omdat gmail en andere diensten bij veel mail tegelijk al blokkeren. Maar 1000 keer is genoeg/te veel.

Door rarzie, dinsdag 11 maart 2008 22:46

Het KittenAuth principe (http://www.thepcspy.com/kittenauth) werkt prima tegen bots. Gebruik het al meer dan twee jaar tegen postbots op m'n fora.

En Google heeft mensen en geld zat om ervoor te zorgen dat de hoeveelheid gebruikt plaatmateriaal zo groot is dat het niet meer te doen is om alles op te halen.

Koppel dat aan een constructie van 3x foute invoer is 30min niet meer proberen en je probleem is opgelost.

Door omixium, woensdag 12 maart 2008 18:03

3 x foute invoer?? met een heel botnetwerk?

Door RemcoDelft, dinsdag 11 maart 2008 18:39

Zoals ik pas tegenkwam: kies de 3 leuke vrouwen (uit 9)...

Door SMa, dinsdag 11 maart 2008 21:40

Een bot kan dat ook wel uitvissen.
- zoeken op ideale vormen
- meest gave huid
- wite tanden
- ...

Door Proxy, woensdag 12 maart 2008 00:53

Aan uiterlijk kun je niet zien of iemand leuk is.

Door mig29, woensdag 12 maart 2008 12:31

Door Sharky, woensdag 12 maart 2008 13:09

nou ik betwijfel of het zo simpel is. Een bot die slim genoeg is om mooie vrouwen van minder mooie te onderscheiden zou wel heel geavanceerd zijn. Stel het zijn portretfoto's die allemaal op dezelfde manier gemaakt zijn met dezelfde belichting, dan is er misschien nog kans op gedeeltelijk succes.

Door hAl, dinsdag 11 maart 2008 17:30

Wow, dan heb je zelfs zonder deze beveiling te hoeven kraken al een gegarandeerd 20% succesniveau.

Door Vorak, dinsdag 11 maart 2008 17:48

Door corillis, dinsdag 11 maart 2008 17:31

En dan vult de trojan er willekeurig 1 in en heb je nog steeds 20% kans om de captcha te 'kraken'.

Goed idee, maar dan mag het rekensommetje wel wat moeilijker zijn. Toon een aantal letters en vraag de kleur van een van die letters. De vraag zelf moet ook in de CAPTCHA staan, hoewel leesbaarder dan je nu soms krijgt.

Door dirkie, dinsdag 11 maart 2008 17:32

En daar onder 5 knoppen, waarvan 1 het andwoord is.

Dan hebben ze nog steeds een zelfde succespercentage als ze nu hebben

Door Gomer, dinsdag 11 maart 2008 17:43

Of een plaatje met hol en een bepaald dier daarin. En dan een vraagje onderaan wat voor een dier het is, met invoerbalkje.

Zie dat maar te kraken.

Door jvdmeer, dinsdag 11 maart 2008 17:59

Dit is wel erg makkelijk. Zo verschrikkelijk veel variaties in vragen zullen er niet zijn. Dus dan hoeven ze maar de CRC van het plaatje te berekenen om te 'herkennen' welke afbeelding er staat. Dit lukt alleen als er duizenden verschillende afbeeldingen zijn.

Door Jeanpaul145, dinsdag 11 maart 2008 18:00

Helaas zal dit niet werken: aan de ene kant heb je gebrekkige kennis aan de kant van mensen, die iets exotischere dieren waarschijnlijk niet kennen (er zijn zelfs mensen die het verschil niet weten tussen een husky en een duitse herder!), aan de andere kant heb je dan dat je zo weinig dieren overhoudt die de meesten wel herkennen, dat de kans dat zo'n bot goed raadt al vrij groot wordt.

Door Mathijs, dinsdag 11 maart 2008 18:15

Ben ik het niet mee eens, zolang de plaatjes maar constant vernieuwd worden.
Google maar eens op rabbit afbeeldingen, zie je dat er genoeg keus is.
Verder was het waarschijnnlijk enkel een voorbeeld van de vraag, want je kunt natuurlijk nogal wat vragen stellen.

Zelf gebruik ik op een aantal forums een dergelijke set vragen en ik moet zeggen dat het heel goed werkt, al zijn die sites natuurlijk niet zo interessant voor dergelijke lui als gmail.

Zelf heb ik nogal een hekel aan captcha, want ondanks dat ik prima zicht heb, is het soms zo onduidelijk dat ik er niets van kan maken. Er zijn veel betere oplossingen.

Door Imro!, dinsdag 11 maart 2008 19:48

Het probleem zou niet liggen bij de verschillende plaatjes, maar bij het mogelijke aantal dieren dat ze kunnen gebruiken. Een lijst met dieren waarvan je met vrij veel zekerheid kan zeggen dat (bijna) iedereen ze wel kent is vrij kort. Als zo'n lijst uit 50 dieren bestaat is ie denk ik al vrij lang en zelfs dan hebben ze al een kans van 2% (continu hetzelfde dier raden) om het goed te raden.

Door OddesE, woensdag 12 maart 2008 00:14

Ik heb ook een hekel aan captcha's. Eigenlijk zouden ze een variant moeten maken waar je geen last van hebt als gebruiker. Ik beschrijf in een post op mijn blog een mogelijke oplossing daarvoor, waarbij je als gebruiker niet eens doorhebt dat je een captcha invult.

Door rattenfanger, woensdag 12 maart 2008 13:08

De manier die je beschrijft vind ik inderdaad een erg nette manier. Maar helaas alleen toegankelijk om te beschermen tegen algemene spambots, die alle fora en gastenboek afgaan. In het geval van gMail gaat het om een specifieke bot, die de velden invult. Dit kan bij jou techniek ook nog. De bot kan zelf de gemaakte analyse in de verborgen velden invullen, zodat het toch nog echt lijkt..

Door hiostu, dinsdag 11 maart 2008 18:05

ja en echte mensen weten vervolgens het antwoord ook niet, of typen het verkeerd in, of weten de engelse vertaling niet

Door link0007, dinsdag 11 maart 2008 18:15

Bij sommige wiki's krijg je ook vragen om te kijken of je mens/slim genoeg bent..

Geweldige techniek om gewoon echt een schoolvraag te krijgen (maar dan wel een redelijk eenvoudige)

Door Punksmurf, dinsdag 11 maart 2008 19:03

Vragen als "What color has an orange", maar zie maar eens genoeg van die vragen te verzinnen dat het echt teveel werk is om ze allemaal in die bot te krijgen (eerst zal een mens de vraag moeten beantwoorden maar daarna weet die bot het goede antwoord elke keer... en 'refresh catchpa' tot hij er een heeft die hij wel kent kan natuurlijk ook).

Door Blaise, dinsdag 11 maart 2008 19:39

Dit bestaat al. Microsoft heeft een captcha dienst waarbij je 12 plaatjes met honden en katten voorgeschoteld krijgt. Je moest alle plaatjes aanklikken waarop een kat te zien is. De plaatjesdatabase bevat drie miljoen honden en katten (geleverd door petfinder.com), wat kraken moeilijk maakt. Zie http://research.microsoft.com/asirra

Door vandeMeulenhof, dinsdag 11 maart 2008 18:17

Simpelste oplossing is gewoon dit:
Je maakt een aanmeld formulier, daarbij doe je 1 hidden input veld.

Bij het submitten check je dat je dat hidden veld leeg moet zijn. Het nadeel van bots is dat ze alle input velden invullen

. En als gebruiker kirjg je dat hidden veld nooit ingevuld

[Reactie gewijzigd door vandeMeulenhof]

Door MachoM, dinsdag 11 maart 2008 18:34

En hoe lang duurt het voordat die "beveiliging" is gekraakt?

Door era.zer, dinsdag 11 maart 2008 18:36

hoe lang denk je dat ze dat gaan doorhebben als gmail.com dat doet? 10 of 15 seconden?

Zoiets werkt prima voor jouw site omdat niemand langs komt en als er al spammers komen, gebruiken ze een bot; op grote sites gaan ze zelf kijken hoe het werkt en maken dan een bot speciaal voor die site

Door link0007, dinsdag 11 maart 2008 19:25

sorry hoor, maar een hidden veld is zó eenvoudig te vinden..

Door latka, dinsdag 11 maart 2008 18:43

En gokken maar: kans van 20% zelfde als ze nu hebben

Door DevilsProphet, dinsdag 11 maart 2008 20:01

Ah, multiplechoice? Laten we dan maar meteen giscorrectie toepassen.

Nee serieus, het probleem met die multiplechoice is dat er een te grote kans op succes is. Laat de mensen het antwoord zelf intypen, dat lijkt me al veel moeilijker te kraken.

Door Drexz, woensdag 12 maart 2008 09:00

Door DAN900, dinsdag 11 maart 2008 18:10

Laat gebruikers een rebus oplossen !

Door youngster, woensdag 12 maart 2008 00:01

Of een cryptogram

Door SlasZ, dinsdag 11 maart 2008 17:20

Hoe dan ook blijft de Gmail spam filter naar behoren werken.
Kunnen ze die filter niet omgekeerd gebruiken tijdens het versturen van mails?

Door ChessSpider, dinsdag 11 maart 2008 17:25

Dan zou het wel heel erg makkelijk worden om te weten welke emails wel, en welke emails niet verstuurd worden.

Door RemcoDelft, dinsdag 11 maart 2008 18:40

Ik baal juist van het Gmail spamfilter! Ik krijg nauwelijks spam (al m'n spam wordt geredirect naar m'n spam@mydomain), en Gmail heeft meer foute dan goede spam-hits... Helaas is dat ding niet uit te zetten, en via Popmail zie ik zo niet alle mail.

Door lamme23, dinsdag 11 maart 2008 19:50

De laatste maanden heb ik van de spam (zo'n 700 tot 1000/maand) geen enkele last. Ik check af en toe, maar false-positives heb ik nooit. Heel af en toe filtert hij er eentje niet uit, maar dat is snel gemeld.

Misschien moeten ze gmail weer op invite only zetten. Scheelt misschien wel wat. Is ook wel te automatiseren, maar maakt het wat vervelender voor de spammerts...

Door lfs, dinsdag 11 maart 2008 17:21

Het probleem ligt dus niet echt bij gmail maar meer in het feit dat er programma's zijn gemaakt waarmee je automatisch accounts kan aanmaken. Dat probleem had google dus niet toen het alleen op uitnodiging werkte. Het zat er dus aan te komen...

Door Shoq, dinsdag 11 maart 2008 17:24

En je denkt dat spammers hun spambots niet zo maken dat ze zichzelf uitnodigen? Het feit dat iedereen zich nu kan registreren zal het wel makkelijker gemaakt hebben, maar dat zal zeker niet de reden van de toename zijn.

Door MAX3400, dinsdag 11 maart 2008 17:22

Ach, zolang er mensen zijn die van internet maar zomaar blindelings dingen downloaden, installeren en vertrouwen, heb je niet eens trojans nodig die zelfstandig accounts aanmaken.

Kijk maar eens naar "G-Archiver"; een programma wat bedoeld zou zijn voor het backuppen van je Gmail-mail maar ondertussen je inloggegevens naar iemand anders doorstuurde. En dan vind iemand het raar dat er een toename van spam naar zijn/haar account zou kunnen voorkomen?

[Reactie gewijzigd door MAX3400]

Door bluppfisk, dinsdag 11 maart 2008 17:29

Ik vond die captcha's waarbij bvb. staat: "tomaat" en je dan het meest passende beeld moet aanklikken uit vier (een tomaat, een appel, een noot en een varken), stukken meer waterproof.

Maar aan de andere kant zag ik elders een lezing over modern captcha kraken dmv "human computing": pornosites laten mensen pas tieten zien als ze eerst een captcha oplossen. Deze captcha wordt on-the-fly en rechtstreeks gekopieerd van pakweg Gmails registratiepagina, en het resultaat ook on-the-fly teruggestuurd.

Zo is het uiteindelijk toch een mens die de taak van die bruteforce-krakers overneemt. En die tieten willen ze zien, dus de captcha zullen ze kraken. Daar geen kruid tegenop gewassen denk ik.

Door SirKay, dinsdag 11 maart 2008 17:35

Hoewel de hackers bij de bij het 'oplossen' van de Gmail-captcha's slechts een succespercentage van twintig procent zouden behalen, kan volgens Messagelabs een geautomatiseerd systeem toch vele duizenden webmailaccounts per dag aanmaken. De geoogste mailadressen zouden vooral gebruikt worden om reclame voor pornosites te maken.

100/4=25%
Heb je dus ook niks aan omdat je dan zelfs meer kracht aan ze geeft. Ook als je er meer doet, moet je enorm veel plaatjes maken om het niet door bots te laten automatiseren. Dit probleem is enorm moeilijk aan te pakken, en de beste oplossing is om het moeilijker te maken dan de concurrent en die maakt het dan ook moeilijker en krijg je wip-wap effect.

Door bluppfisk, dinsdag 11 maart 2008 18:03

Hm. Ik snap je punt. Dan laat je de user een combinatie aanklikken, misschien zelfs van 8 plaatjes? (eerst tomaat, dan varken, vervolgens appel en dan noot, miep, boom, vis, net). Dat verkleint de kans al met een factor veel. En je zorgt maar voor genoeg verschillende plaatjes.

Zonet las ik ook in the Economist dat het mogelijk was om twee verschillende files dezelfde hash te geven. Dat zou dan met die plaatjes ook moeten gebeuren zodat bots niet aan filesize kunnen gaan achterhalen welk plaatje het welk is. En het plaatje zou opnieuw een beetje distorted kunnen zijn, waardoor image recognition het ook niet te best doet.

Door Punksmurf, dinsdag 11 maart 2008 19:08

Mja, dan moet je dus elk plaatje dezelfde hash geven (voor een aantal veelgebruikte hashes!), dezelfde filesize én elke weergave anders vervormen.

Ik denk dat dat een heel moeilijke opgave is.

Door mastair, dinsdag 11 maart 2008 17:48

Het viel me al op, ik heb nu telkens email in mijn Spam folder zitten met "Your funny ecard is waiting for you" of iets dergelijks. Zo'n 10 per dag. Zeer irritant, want ook al zit het in je spam folder, je kijkt er toch naar.

Door nulkelvin, dinsdag 11 maart 2008 18:01

En daar is dus de human error. Je weet dat je een groot risico loopt en je kijkt er toch naar. Iemand met een beetje verstand in z'n kop kijkt daar dus NIET naar.

Door Punksmurf, dinsdag 11 maart 2008 19:10

Ik krijg pas sinds kort redelijk wat spam op m'n gmail, dus ik kijk wel. Niet omdat ik graag spam lees, maar wel omdat ik het systeem nog niet voldoende vertrouw op het voorkomen van false positives. Heeft niet zoveel met fouten maken te maken dus.

Door NHJ BV, woensdag 12 maart 2008 00:06

Met 50 stuks spam per dag ga je er vanzelf niet meer op letten. Zo eens per maand neem ik de map even door alle spam weg te gooien en om te kijken of er misschien toch niet iets semi-belangijks in zit.

Door wimmel_1, dinsdag 11 maart 2008 17:58

Wél grappig dat Google zelf al een nette work-around heeft bedacht voor die "captcha" schermpjes én dit zelfs (soort van) gebruikt in de vorm van "Human Computation" om z'n images te taggen.

Google Techtalk filmpje waar het één en ander duidelijk gemaakt wordt.

_{Filmpje duurt bijna een uur maar is best vermakelijk.}

Door .Johnny, woensdag 12 maart 2008 09:13

Dit heeft google niet zelf bedacht; Luis von Ahn werkt niet voor google, deze tech-talk is gewoon een lezing die hij een keer bij google heeft gegeven. Maar zeker belangrijk in deze context; Iedereen hierboven zit manieren te bedenken om captcha's sterker te maken, maar het probleem is juist dat spammerts mensen gebruiken om captcha's op te lossen. Dus ingewikkelder maken werkt gewoon niet.
Over welke work-around heb je het trouwens? Volgens mij heeft hij het in die techtalk niet over een work around; hij gebruikt alleen hetzelfde principe om images te taggen, ipv een captcha op te lossen. Volgens mij draagt hij geen oplossing aan voor het registreer-bot probleem.

Door roy-t, dinsdag 11 maart 2008 18:42

Ik merkt het ook inderdaad belachelijk veel spam van gmail adressen en ook vooral op mijn gmail adres eigenlijk

op hotmail nergens last van, eigenlijk nooit last van spam daar, terwijl dat email adres toch ook bij redelijk wat bedrijven bekend is...

Zou dan toch Microsoft meetbaar ergens beter in zijn dan Google?

would be nice

Door Dima_2005, dinsdag 11 maart 2008 19:00

Normaalgezien is captcha zo goed als niet te kraken... Ze zouden beter een andere systeem dat het simpelste is toepassen, misschien onhandig voor de gewone mensen, maar zou waarschijnlijk het beste zijn.
Als ze deze redenering zouden volgens zou alles beter zijn. Ze hebben nu waarschijnlijk een bug via hun geluidssysteem, het zou preloaded moeten zijn en zou het dus een pre-load zou zijn, dan zou het al op een temp-bestand staan met bv. sessie-id, zo als de persoon erop drukt dat die het te horen krijgt staat het al vast. Op dit moment moeten ze dan niet meer zo moeilijk doen. Dan moeten ze gewoon bij het laden van de bestand een GD-code gebruiken om lettertjes te vormen en dan de lettertjes in MD5 in een cookie (of beter in een database met sessie-id!!) opslaan en dan kijken of de MD5 klopt of niet. Hiermee zou hun probleem eventueel opgelost zijn denk ik.
Ik weet dat het misschien vergezocht is, maar ik heb dit systeem al eens gebruikt op een site voor iemand, we hebben er 10 hackers op gestuurd en het is niemand gelukt, het is onfeilbaar.

Door Gomez12, dinsdag 11 maart 2008 20:11

Je vergeet nog steeds de makkelijkste en doeltreffendste kraakmethode. Je zet een porn-site op die een captcha / andere beveiliging 100% copieert van google. Lost een gebruiker hem op de pron site op, dan is hij voor jou opgelost op google.

Dan even een md5 maken van de beveiliging en opslaan voor future reference.

Redelijke pronsite leidt tot redelijk veel handmatige hacks...

In het uiterste geval wat ik ben tegengekomen was er gewoon een iframe met de originele beveiliging en een activex keylogger.

Door pelleke, dinsdag 11 maart 2008 20:40

Onzin. Op een miljarden-hits-site als Google zijn genoeg gekken die proberen met OCR hun CAPTCHA plaatjes uit te lezen. Nee, dat kan je echt niet snel fixen met slechts 10 hackers, maar als je de hele hackende wereld ermee aan de slag laat gaan komen er vast wel op een gegeven moment iemand die het voor elkaar krijgt om "succesvol" tekstherkenning op google's crappy CAPTCHA-plaatjes uit te voeren.

Deze manier van kraken heeft helemaal niets te maken met de bron van het antwoord op de vraag, sessies/cookies of sterkte van encryptie. Het antwoord op de CAPTCHA vraag komt niet van de server, maar gewoon uit het ge-analyseerde plaatje. Dat je je CAPTCHA antwoord niet over een HTTP lijn moet gooien is logisch voor iedereen die bij Google werkt. (Behalve de schoonmaakster misschien.) Het probleem dat je hierboven omschrijft is voor iedereen te begrijpen die een goed PHP-boek heeft gelezen, ik schat de mannen (M/V) van Google toch wel iets hoger in.

De enige oplossing voor hun probleem is een beter alternatief zoeken voor CAPTCHA, op den duur zal een computer die plaatjes net zo makkelijk kunnen lezen als wij mensen.

[Reactie gewijzigd door pelleke]

Door BarôZZa, dinsdag 11 maart 2008 21:47

Vele soorten captcha's zijn al tijden te kraken, captchakiller.com is hier bijvoorbeeld erg goed in. De enige captcha's die erg moeilijk zijn te kraken, zijn de captcha's die ook lastig te lezen zijn voor mensen. De captcha's van gmail zijn overigens ook niet enorm geavanceerd.

Dat hele gebral over MD5 etc slaat overigens totaal nergens op. Dat maakt namelijk helemaal niks uit, aangezien de gebruiker sowieso nooit iets hoort te krijgen wat ook maar op enige manier terugleidt tot het antwoord van de captcha. Het antwoord van de captcha staat ergens in een database op de server, de user krijgt alleen een plaatje met een ID en stuurt het antwoord terug dat gecontroleerd wordt. MD5 maakt het op geen enkele manier veiliger, tenzij de mensen toegang zouden hebben tot de database, wat natuurlijk nooit het geval mag zijn.

Door SlickAxe, dinsdag 11 maart 2008 19:03

Ah dat is de reden. Had er de laatste tijd ook al veel meer last van. Eigenlijk uitzonderlijk voor Google.

« 1 2 »

Op dit item kan niet meer gereageerd worden.

17:36	'Microsoft levert onvolledige api-documentatie Exchange'
16:58	Nieuwe 'Aero'-toetsenborden van Microsoft zien het levenslicht

Frontpage

Archieven

Pricewatch

Community

Jobs

My Tnet

Nieuws I/O

Shortcuts

Categorieën

Tags

Gerelateerde artikelen

Reacties

06-09 Nieuws

04-09 Uit de rubrieken

02:04 Productreview

00:51 Vraag & Aanbod

23:16 Jobs

01:05 Etc.

03:15 Reacties

03:19 Forum

24-07 Server & Storage by HP

05-09 Tweakblogs

05-09 Computable headlines

06-09 Emerce headlines