Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 76 reacties

De hoeveelheid spam die afkomstig is van Gmail-adressen is de afgelopen maand verdubbeld, zo meldt beveiligingsfirma Messagelabs. De Google-dienst was in de maand februari de bron van 2,6 procent van alle spam.

Gmail logoIn januari lag het spamaandeel van Google's webmaildienst nog op 1,3 procent, schrijft Techworld. Volgens Messagelabs, dat onder andere spamfiltersoftware verkoopt, wordt de groei in Gmail-spam veroorzaakt doordat de captcha-beveiliging van de gratis e-maildienst is gekraakt.

Een maand geleden kwam Websense met een soortgelijke constatering; in augustus 2007 dook een trojan op die Hotmail- en Yahoo-accounts kon aanmaken waarbij de captcha-beveiliging eveneens werd omzeild.

Hoewel de hackers bij het 'oplossen' van de Gmail-captcha's slechts een succespercentage van twintig procent zouden behalen, kan volgens Messagelabs een geautomatiseerd systeem toch vele duizenden webmailaccounts per dag aanmaken. De geoogste mailadressen zouden vooral gebruikt worden om reclame voor pornosites te maken.

Moderatie-faq Wijzig weergave

Reacties (76)

Wél grappig dat Google zelf al een nette work-around heeft bedacht voor die "captcha" schermpjes én dit zelfs (soort van) gebruikt in de vorm van "Human Computation" om z'n images te taggen.

Google Techtalk filmpje waar het één en ander duidelijk gemaakt wordt.

Filmpje duurt bijna een uur maar is best vermakelijk.
Dit heeft google niet zelf bedacht; Luis von Ahn werkt niet voor google, deze tech-talk is gewoon een lezing die hij een keer bij google heeft gegeven. Maar zeker belangrijk in deze context; Iedereen hierboven zit manieren te bedenken om captcha's sterker te maken, maar het probleem is juist dat spammerts mensen gebruiken om captcha's op te lossen. Dus ingewikkelder maken werkt gewoon niet.
Over welke work-around heb je het trouwens? Volgens mij heeft hij het in die techtalk niet over een work around; hij gebruikt alleen hetzelfde principe om images te taggen, ipv een captcha op te lossen. Volgens mij draagt hij geen oplossing aan voor het registreer-bot probleem.
Ik vond die captcha's waarbij bvb. staat: "tomaat" en je dan het meest passende beeld moet aanklikken uit vier (een tomaat, een appel, een noot en een varken), stukken meer waterproof.

Maar aan de andere kant zag ik elders een lezing over modern captcha kraken dmv "human computing": pornosites laten mensen pas tieten zien als ze eerst een captcha oplossen. Deze captcha wordt on-the-fly en rechtstreeks gekopieerd van pakweg Gmails registratiepagina, en het resultaat ook on-the-fly teruggestuurd.

Zo is het uiteindelijk toch een mens die de taak van die bruteforce-krakers overneemt. En die tieten willen ze zien, dus de captcha zullen ze kraken. Daar geen kruid tegenop gewassen denk ik.
Hoewel de hackers bij de bij het 'oplossen' van de Gmail-captcha's slechts een succespercentage van twintig procent zouden behalen, kan volgens Messagelabs een geautomatiseerd systeem toch vele duizenden webmailaccounts per dag aanmaken. De geoogste mailadressen zouden vooral gebruikt worden om reclame voor pornosites te maken.
100/4=25%
Heb je dus ook niks aan omdat je dan zelfs meer kracht aan ze geeft. Ook als je er meer doet, moet je enorm veel plaatjes maken om het niet door bots te laten automatiseren. Dit probleem is enorm moeilijk aan te pakken, en de beste oplossing is om het moeilijker te maken dan de concurrent en die maakt het dan ook moeilijker en krijg je wip-wap effect.
Hm. Ik snap je punt. Dan laat je de user een combinatie aanklikken, misschien zelfs van 8 plaatjes? (eerst tomaat, dan varken, vervolgens appel en dan noot, miep, boom, vis, net). Dat verkleint de kans al met een factor veel. En je zorgt maar voor genoeg verschillende plaatjes.

Zonet las ik ook in the Economist dat het mogelijk was om twee verschillende files dezelfde hash te geven. Dat zou dan met die plaatjes ook moeten gebeuren zodat bots niet aan filesize kunnen gaan achterhalen welk plaatje het welk is. En het plaatje zou opnieuw een beetje distorted kunnen zijn, waardoor image recognition het ook niet te best doet.
Mja, dan moet je dus elk plaatje dezelfde hash geven (voor een aantal veelgebruikte hashes!), dezelfde filesize én elke weergave anders vervormen.

Ik denk dat dat een heel moeilijke opgave is.
Normaalgezien is captcha zo goed als niet te kraken... Ze zouden beter een andere systeem dat het simpelste is toepassen, misschien onhandig voor de gewone mensen, maar zou waarschijnlijk het beste zijn.
Als ze deze redenering zouden volgens zou alles beter zijn. Ze hebben nu waarschijnlijk een bug via hun geluidssysteem, het zou preloaded moeten zijn en zou het dus een pre-load zou zijn, dan zou het al op een temp-bestand staan met bv. sessie-id, zo als de persoon erop drukt dat die het te horen krijgt staat het al vast. Op dit moment moeten ze dan niet meer zo moeilijk doen. Dan moeten ze gewoon bij het laden van de bestand een GD-code gebruiken om lettertjes te vormen en dan de lettertjes in MD5 in een cookie (of beter in een database met sessie-id!!) opslaan en dan kijken of de MD5 klopt of niet. Hiermee zou hun probleem eventueel opgelost zijn denk ik.
Ik weet dat het misschien vergezocht is, maar ik heb dit systeem al eens gebruikt op een site voor iemand, we hebben er 10 hackers op gestuurd en het is niemand gelukt, het is onfeilbaar.
Vele soorten captcha's zijn al tijden te kraken, captchakiller.com is hier bijvoorbeeld erg goed in. De enige captcha's die erg moeilijk zijn te kraken, zijn de captcha's die ook lastig te lezen zijn voor mensen. De captcha's van gmail zijn overigens ook niet enorm geavanceerd.

Dat hele gebral over MD5 etc slaat overigens totaal nergens op. Dat maakt namelijk helemaal niks uit, aangezien de gebruiker sowieso nooit iets hoort te krijgen wat ook maar op enige manier terugleidt tot het antwoord van de captcha. Het antwoord van de captcha staat ergens in een database op de server, de user krijgt alleen een plaatje met een ID en stuurt het antwoord terug dat gecontroleerd wordt. MD5 maakt het op geen enkele manier veiliger, tenzij de mensen toegang zouden hebben tot de database, wat natuurlijk nooit het geval mag zijn.
Je vergeet nog steeds de makkelijkste en doeltreffendste kraakmethode. Je zet een porn-site op die een captcha / andere beveiliging 100% copieert van google. Lost een gebruiker hem op de pron site op, dan is hij voor jou opgelost op google.

Dan even een md5 maken van de beveiliging en opslaan voor future reference.

Redelijke pronsite leidt tot redelijk veel handmatige hacks...

In het uiterste geval wat ik ben tegengekomen was er gewoon een iframe met de originele beveiliging en een activex keylogger.
Onzin. Op een miljarden-hits-site als Google zijn genoeg gekken die proberen met OCR hun CAPTCHA plaatjes uit te lezen. Nee, dat kan je echt niet snel fixen met slechts 10 hackers, maar als je de hele hackende wereld ermee aan de slag laat gaan komen er vast wel op een gegeven moment iemand die het voor elkaar krijgt om "succesvol" tekstherkenning op google's crappy CAPTCHA-plaatjes uit te voeren.

Deze manier van kraken heeft helemaal niets te maken met de bron van het antwoord op de vraag, sessies/cookies of sterkte van encryptie. Het antwoord op de CAPTCHA vraag komt niet van de server, maar gewoon uit het ge-analyseerde plaatje. Dat je je CAPTCHA antwoord niet over een HTTP lijn moet gooien is logisch voor iedereen die bij Google werkt. (Behalve de schoonmaakster misschien.) Het probleem dat je hierboven omschrijft is voor iedereen te begrijpen die een goed PHP-boek heeft gelezen, ik schat de mannen (M/V) van Google toch wel iets hoger in.

De enige oplossing voor hun probleem is een beter alternatief zoeken voor CAPTCHA, op den duur zal een computer die plaatjes net zo makkelijk kunnen lezen als wij mensen.

[Reactie gewijzigd door pelleke op 11 maart 2008 20:43]

Het probleem ligt dus niet echt bij gmail maar meer in het feit dat er programma's zijn gemaakt waarmee je automatisch accounts kan aanmaken. Dat probleem had google dus niet toen het alleen op uitnodiging werkte. Het zat er dus aan te komen...
En je denkt dat spammers hun spambots niet zo maken dat ze zichzelf uitnodigen? Het feit dat iedereen zich nu kan registreren zal het wel makkelijker gemaakt hebben, maar dat zal zeker niet de reden van de toename zijn.
Hmm, hoop dat google dat snel kan aanpakken, ik ben best gesteld op mijn gmail en zou het niet fijn vinden als het straks op allerlei spamlijsten zou staan en je mail dus weer regelmatig niet aan komt...
Zou heel simpel kunnen, door een andersoort beveiliging te gebruiken.

Bijv, How much is [plaatje] + [plaatje]

En daar onder 5 knoppen, waarvan 1 het andwoord is.
How much is lijkt me iets wat een simpele bot automagisch kan lezen.
Een plaatje met een cijfer erop is ook makkelijk door een bot te lezen.

De manier waarop de captcha's gekraakt zijn is trouwens niet zomaar een screengrab/screenread.

[Reactie gewijzigd door TeeDee op 11 maart 2008 17:30]

Dat natuurlijk ook allemaal in captcha-stijl, en het liefst die knoppen ook. Misschien zou het dan wel werken :)
nee, dna gaat die bot toch steeds knoppen proberen!!! Want dan is er 1/5 kans dat je goed gokt!

"Hoewel de hackers bij de bij het 'oplossen' van de Gmail-captcha's slechts een succespercentage van twintig procent zouden behalen"

Het moet juist iets zijn waarbij de kans dat je goed gokt heel klein word. Bij catcha was dat zo maar nu is er blijkbaar een algoritme wat 20% goed kan invullen...

edit: reactie op dirkzzz

[Reactie gewijzigd door xdcx op 11 maart 2008 17:48]

Geen 1/3 maar 0.2^7
0.2^2 (cijfers) * 0.2^5 (som)

Maar dit is natuurlijk maar een tijdelijke oplossing, een nieuw soort catcha zou beter zijn zodat het slaagpercentage lager zou zijn.

Maar misschien wel een oplossing: Google heeft een prima spamfilter, ze ook toepassen op uitgaande e-mails. De emails niet verwijderen maar bij 1.000+ 'hits' account blokkeren?
Dan kun je geen nieuwsbrief voor je club meer versturen. Zo goed zijn die filters nou ook weer niet.
De 'bad guys' zijn al zo veel adressen nodig omdat gmail en andere diensten bij veel mail tegelijk al blokkeren. Maar 1000 keer is genoeg/te veel.
Het KittenAuth principe (http://www.thepcspy.com/kittenauth) werkt prima tegen bots. Gebruik het al meer dan twee jaar tegen postbots op m'n fora.

En Google heeft mensen en geld zat om ervoor te zorgen dat de hoeveelheid gebruikt plaatmateriaal zo groot is dat het niet meer te doen is om alles op te halen.

Koppel dat aan een constructie van 3x foute invoer is 30min niet meer proberen en je probleem is opgelost.
3 x foute invoer?? met een heel botnetwerk?
Zoals ik pas tegenkwam: kies de 3 leuke vrouwen (uit 9)...
Een bot kan dat ook wel uitvissen.
- zoeken op ideale vormen
- meest gave huid
- wite tanden
- ...
nou ik betwijfel of het zo simpel is. Een bot die slim genoeg is om mooie vrouwen van minder mooie te onderscheiden zou wel heel geavanceerd zijn. Stel het zijn portretfoto's die allemaal op dezelfde manier gemaakt zijn met dezelfde belichting, dan is er misschien nog kans op gedeeltelijk succes.
Aan uiterlijk kun je niet zien of iemand leuk is.
Of een plaatje met hol en een bepaald dier daarin. En dan een vraagje onderaan wat voor een dier het is, met invoerbalkje.

Zie dat maar te kraken.
Helaas zal dit niet werken: aan de ene kant heb je gebrekkige kennis aan de kant van mensen, die iets exotischere dieren waarschijnlijk niet kennen (er zijn zelfs mensen die het verschil niet weten tussen een husky en een duitse herder!), aan de andere kant heb je dan dat je zo weinig dieren overhoudt die de meesten wel herkennen, dat de kans dat zo'n bot goed raadt al vrij groot wordt.
Ben ik het niet mee eens, zolang de plaatjes maar constant vernieuwd worden.
Google maar eens op rabbit afbeeldingen, zie je dat er genoeg keus is.
Verder was het waarschijnnlijk enkel een voorbeeld van de vraag, want je kunt natuurlijk nogal wat vragen stellen.

Zelf gebruik ik op een aantal forums een dergelijke set vragen en ik moet zeggen dat het heel goed werkt, al zijn die sites natuurlijk niet zo interessant voor dergelijke lui als gmail.

Zelf heb ik nogal een hekel aan captcha, want ondanks dat ik prima zicht heb, is het soms zo onduidelijk dat ik er niets van kan maken. Er zijn veel betere oplossingen.
Het probleem zou niet liggen bij de verschillende plaatjes, maar bij het mogelijke aantal dieren dat ze kunnen gebruiken. Een lijst met dieren waarvan je met vrij veel zekerheid kan zeggen dat (bijna) iedereen ze wel kent is vrij kort. Als zo'n lijst uit 50 dieren bestaat is ie denk ik al vrij lang en zelfs dan hebben ze al een kans van 2% (continu hetzelfde dier raden) om het goed te raden.
Ik heb ook een hekel aan captcha's. Eigenlijk zouden ze een variant moeten maken waar je geen last van hebt als gebruiker. Ik beschrijf in een post op mijn blog een mogelijke oplossing daarvoor, waarbij je als gebruiker niet eens doorhebt dat je een captcha invult.
De manier die je beschrijft vind ik inderdaad een erg nette manier. Maar helaas alleen toegankelijk om te beschermen tegen algemene spambots, die alle fora en gastenboek afgaan. In het geval van gMail gaat het om een specifieke bot, die de velden invult. Dit kan bij jou techniek ook nog. De bot kan zelf de gemaakte analyse in de verborgen velden invullen, zodat het toch nog echt lijkt..
Dit is wel erg makkelijk. Zo verschrikkelijk veel variaties in vragen zullen er niet zijn. Dus dan hoeven ze maar de CRC van het plaatje te berekenen om te 'herkennen' welke afbeelding er staat. Dit lukt alleen als er duizenden verschillende afbeeldingen zijn.
Dit bestaat al. Microsoft heeft een captcha dienst waarbij je 12 plaatjes met honden en katten voorgeschoteld krijgt. Je moest alle plaatjes aanklikken waarop een kat te zien is. De plaatjesdatabase bevat drie miljoen honden en katten (geleverd door petfinder.com), wat kraken moeilijk maakt. Zie http://research.microsoft.com/asirra
Bij sommige wiki's krijg je ook vragen om te kijken of je mens/slim genoeg bent..

Geweldige techniek om gewoon echt een schoolvraag te krijgen (maar dan wel een redelijk eenvoudige)
Vragen als "What color has an orange", maar zie maar eens genoeg van die vragen te verzinnen dat het echt teveel werk is om ze allemaal in die bot te krijgen (eerst zal een mens de vraag moeten beantwoorden maar daarna weet die bot het goede antwoord elke keer... en 'refresh catchpa' tot hij er een heeft die hij wel kent kan natuurlijk ook).
ja en echte mensen weten vervolgens het antwoord ook niet, of typen het verkeerd in, of weten de engelse vertaling niet :P
En dan vult de trojan er willekeurig 1 in en heb je nog steeds 20% kans om de captcha te 'kraken'.

Goed idee, maar dan mag het rekensommetje wel wat moeilijker zijn. Toon een aantal letters en vraag de kleur van een van die letters. De vraag zelf moet ook in de CAPTCHA staan, hoewel leesbaarder dan je nu soms krijgt.
En daar onder 5 knoppen, waarvan 1 het andwoord is.
Dan hebben ze nog steeds een zelfde succespercentage als ze nu hebben 8)7
Simpelste oplossing is gewoon dit:
Je maakt een aanmeld formulier, daarbij doe je 1 hidden input veld.

Bij het submitten check je dat je dat hidden veld leeg moet zijn. Het nadeel van bots is dat ze alle input velden invullen ;). En als gebruiker kirjg je dat hidden veld nooit ingevuld :D.

[Reactie gewijzigd door RobbyTown op 11 maart 2008 18:17]

En hoe lang duurt het voordat die "beveiliging" is gekraakt?
hoe lang denk je dat ze dat gaan doorhebben als gmail.com dat doet? 10 of 15 seconden?

Zoiets werkt prima voor jouw site omdat niemand langs komt en als er al spammers komen, gebruiken ze een bot; op grote sites gaan ze zelf kijken hoe het werkt en maken dan een bot speciaal voor die site ;)
sorry hoor, maar een hidden veld is zó eenvoudig te vinden..
En gokken maar: kans van 20% zelfde als ze nu hebben :)
Ah, multiplechoice? Laten we dan maar meteen giscorrectie toepassen. ;)

Nee serieus, het probleem met die multiplechoice is dat er een te grote kans op succes is. Laat de mensen het antwoord zelf intypen, dat lijkt me al veel moeilijker te kraken.
Wow, dan heb je zelfs zonder deze beveiling te hoeven kraken al een gegarandeerd 20% succesniveau.
Laat gebruikers een rebus oplossen !
Of een cryptogram :Y)
Kunnen ze dit niet oplossen met sessions (gelinkt aan IP-adres)?
Bvb het aantal nieuwe accounts limiteren op 20 per 24 uur voor een bepaald IP-adres.

Dan zal het waarschijnlijk wel wat moeilijker zijn om een degelijk systeem op te zetten.
20 per 24 uur per IP-adres? Ik weet niet hoor, maar ik maak gemiddeld eens in de 5 jaar een e-mailadres aan.
Niet iedereen heeft een vast IP-adres of zelfs continue internet-verbinding. En dan kan het gerust dat hetzelfde IP-adres op een dag aan meerdere gebruikers toegekend wordt.
Waarom kunnen net nieuwe google accounts dan ook meteen duizenden mails versturen?
omdat dit natuurlijk niets helpt.

als je een beveiliging inbouwt dat je account eerst 2 weken acief moet zijn dan wachten de spammers toch ff lekker 2 weken.
Ik heb nu een Captcha geschreven waarin 6 verschillende letters (A-Z) verschijnen in 5 verschillende lettertypes en elke letter variërend in een hoek van -45 tot 45 graden. De lettergroottes zijn per letter anders en de kleuren van de letters, 10 horizontale en 10 verticale lijnen en achtergrond verschillen ook per letter/lijn.

En nog vermoed ik dat deze Captcha ook gekraakt zal worden. 'k Wil het alleen ergens laten testen om te kijken wat de succespercentage is. Iemand een idee?
Uit je beschrijving maak ik op: eenvoudig te kraken. Zie bijvoorbeeld http://www.lafdc.com/captcha/ voor soortgelijke pogingen.

Aan de andere kant: het hangt ook af van hoe aantrekkelijk je site is voor spammers. Het moeten intikken van één vast woord is al genoeg om de ergste spambots buiten de deur te houden.
Zie de onderstaande link voor 5 voorbeelden van datgene wat ik bedoel:

Klik
Goed voorbeeld van een captcha die ook voor mensen slecht leesbaar is... Bij nummer 2 is de "P" bijna onzichtbaar, bij nummer 5 de "M", bij nummer 3 zou de "K" ook een "X" kunnen zijn. Als je kleurenblind bent wordt het waarschijnlijk erger.

De kriskras-lijnen zijn eenvoudig te herkennen en te verwijderen en voegen zo goed als niets toe aan de moeilijkheid. Dan blijven alleen nog de karakters over, maar da's een kwestie van genoeg fonts hebben. Geroteerde karakters zijn namelijk nog steeds makkelijk te herkennen. En helemaal als ze altijd op dezelfde plaats staan.

De beste techniek is waarschijnlijk om zoveel mogelijk projecten af te gaan die captcha's kraken en kijken of je je eigen captcha kan kraken. Zolang je dat lukt is het nog niet goed genoeg (en als het niet lukt bewijst het natuurlijk nog steeds niet zoveel, maar het is beter dan hopen op het beste). En zoals gezegd: het maakt eigenlijk veel meer uit hoeveel mensen geïnteresseerd zijn in het kraken van je site. Jeff Atwood beschermt zijn blog door van bezoekers te eisen dat ze "orange" intikken. Triviaal te omzeilen, natuurlijk, maar er zijn geen partijen die daar belang bij hebben. Het houdt alleen domme blogspambots buiten de deur, en da's precies genoeg.
Hoe dan ook blijft de Gmail spam filter naar behoren werken.
Kunnen ze die filter niet omgekeerd gebruiken tijdens het versturen van mails?
Ik baal juist van het Gmail spamfilter! Ik krijg nauwelijks spam (al m'n spam wordt geredirect naar m'n spam@mydomain), en Gmail heeft meer foute dan goede spam-hits... Helaas is dat ding niet uit te zetten, en via Popmail zie ik zo niet alle mail.
De laatste maanden heb ik van de spam (zo'n 700 tot 1000/maand) geen enkele last. Ik check af en toe, maar false-positives heb ik nooit. Heel af en toe filtert hij er eentje niet uit, maar dat is snel gemeld.

Misschien moeten ze gmail weer op invite only zetten. Scheelt misschien wel wat. Is ook wel te automatiseren, maar maakt het wat vervelender voor de spammerts...
Dan zou het wel heel erg makkelijk worden om te weten welke emails wel, en welke emails niet verstuurd worden.
Ach, zolang er mensen zijn die van internet maar zomaar blindelings dingen downloaden, installeren en vertrouwen, heb je niet eens trojans nodig die zelfstandig accounts aanmaken.

Kijk maar eens naar "G-Archiver"; een programma wat bedoeld zou zijn voor het backuppen van je Gmail-mail maar ondertussen je inloggegevens naar iemand anders doorstuurde. En dan vind iemand het raar dat er een toename van spam naar zijn/haar account zou kunnen voorkomen?

[Reactie gewijzigd door MAX3400 op 11 maart 2008 17:23]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True