Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties

De hoeveelheid spam via Gmail-adressen is na het kraken van de captcha-beveiliging dermate toegenomen dat sommige antispamdiensten ertoe zijn overgegaan Google's webmail te blokkeren.

Na het kraken van de captcha-beveiliging van Gmail in februari verdubbelde de hoeveelheid spamberichten die afkomstig waren van adressen van de webmail-dienst, zo constateerden antispambedrijven. Virussen als Hotlan laten geïnfecteerde computers webmailaccounts van Hotmail, Yahoo en Gmail registreren nadat ze het captcha-plaatje naar een server hebben gestuurd die de beveiliging kraakt.

Volgens Messagelabs, een aanbieder van spamfilters, zijn de krakers erin geslaagd de berichten door te sluizen zodat ze afkomstig lijken van ip-adressen van Google. "Wij hebben een verkeersregelingsysteem dat ip's afknijpt die de bron van spam lijken", aldus een medewerker van Messagelabs.

De servers van het bedrijf blijken echter niet alleen tot een vertraging van de verzending te lijken, maar weigeren in sommige gevallen zelfs verbinding met de Gmail-relays te maken. Hier kunnen duizenden Gmail-gebruikers hinder van ondervinden. "Messagelabs moet vervolgens de smtp's vinden die daadwerkelijk spam versturen en alleen deze afkappen", aldus de werknemer. Naast de blokkades zijn vertragingen geconstateerd die op kunnen lopen tot 24 uur en zelfs adressen van Google-medewerkers zelf zouden er hinder van ondervinden.

Het probleem zou tot nu toe beperkt zijn tot spamfilters die als Software as a Service aangeboden, zoals die van Messagelabs en Antigen, maar andere bedrijven zouden kunnen volgen als Google de captcha-kraak niet snel ongedaan maakt, aldus Ars Technica.

Moderatie-faq Wijzig weergave

Reacties (58)

@SoaDmaggot en SilentSimon:

Een goed CAPTCHA systeem bouwen is heel moeilijk, moeilijker dan je denkt. Het is niet zomaar even wat tekst vervormen en een achtergrondje erachter; hackers kunnen bijna elke CAPTCHA met een programmaatje ontcijferen. En als dat niet lukt, dan doen ze bijvoorbeeld het volgende: een porno-site biedt gratis vieze plaatjes aan als je even de CAPTCHA intypt, die door de porno-site van Google wordt gehaald. Zo worden mensen die naar de vieze plaatjes willen kijken dus ingezet om CAPTCHA's te ontcijferen.

Het systeem van Google scheen erg goed te zijn, maar is nu helaas ook gekraakt.

[Reactie gewijzigd door jj71 op 7 april 2008 10:26]

Ik moest opeens denken aan sites waar je allemaal bestanden kan dumpen en deze kan downloaden na het intypen van een CAPTCHA.
Aangezien het aangeboden materiaal vaak illegaal is zal er wel genoeg belangstelling zijn voor zulke sites.
Captchas zijn volgens mij al lang achterhaald. Ik heb een demonstratie gezien van software die een captcha kraakte die voor het menselijk oog zelfs onleesbaar was geworden.
Een artikel over hoe makkelijk een captcha te kraken is
En nog eentje

[Reactie gewijzigd door Big Womly op 7 april 2008 10:47]

Zo moeilijk kan het toch niet zijn? En anders is het alleen maar goed voor de wetenschap. AI-ers zijn al tijden bezig om een handschrift goed te herkennen.

De oplossing hiervoor dus: Laat een stuk handgeschreven tekst van 20 regels overtypen. Als de crackers dan een manier hebben om dat te omzeilen hebben ze een vrij goede handschriftherkenning gemaakt lijkt me, alleen maar goed.

Of om het op de taalwetenschap/discourse structure te gooien: laat een paar zinnen zien en vraag naar het onderwerp van het verhaaltje. Ook iets waar men zeer geïntereseerd in is maar niet goed automatisch voor elkaar krijgt. Laat de crackers de wetenschap maar helpen :-P
Ben ik het wel mee eens, Het probleem is in dit geval dat het dus ook heel moeilijk is voor een computer om deze stukjes te genereren.
Dat is het probleem natuurlijk een beetje. Ze willen de computer dingen laten genereren die hij niet zelf kan terugrekenen, maar dat een mens dat dan wel kan.

Bij "opdrachten" die door de mens zijn gemaakt is er volgens mij al snel een te kort aan opdrachten, waardoor de opdrachten na verloop van tijd terugkeren, waardoor ze weer erg makkelijk te raden zijn door een geautomatiseerd systeem.

hmmm...
Tenzij ze natuurlijk ergens een enorm archief aan handgeschreven materiaal opentrekken...
Dan wordt het een soort recapcha idee, maar dan me handgeschreven tekst....http://recaptcha.net/learnmore.html

gaat goedkomen.... probleem opgelost... ;)
Lijkt me toch niet echt een grote moeite een CAPTCHA systeem volledig om te bouwen?

Eveneens daar het hier om Google gaat, een bedrijf dat naar mijn weten toch echt het budget / de mankracht heeft een dergelijk klein onderdeel in hun systeem om te bouwen (kwestie van code aanmaken en checken on submit..)

Helemaal vreemd is het feit dat het probleem al zeker een maand bekent is en er vanaf google nog geen actie ondernomen is.

[Reactie gewijzigd door PeterSelie op 7 april 2008 10:20]

Het probleem met captcha's is dat er een bepaald punt komt in complexiteit dat de mensen ze zelf al niet meer kunnen lezen - zie ook eens hier, bijvoorbeeld.
Geheel met je eens. In sommige gevallen ben ik 10 maal aan het klikken voordat ik de juiste code heb. Ik heb echt captchas' gezien die vrijwel onmogelijk waren te lezen :(
Oh, gelukkig. Ik dacht dat ik de enige was. Soms lijkt er heel duidelijk een woord te staan, maar het systeem accepteert het dan niet. Ook is het vaak onduidelijk of er hoofdletters gebruikt moeten worden of niet. Er gebruiksvriendelijk is het allemaal niet. :)
Zoals Bill Gates ooit zei: Aan bugfixes kun je niet verdienen.
Nee, maar als het fixen ervan zorgt dat de services waar je wel aan verdient blijven werken, dan is het tóch handig om het te fixen.
Als het geen grote moeite zou zijn om het CAPTCHA syteem aan te passen zou dat al gebeurd zijn. Waarschijnlijk is het systeem dusdaning geintegreed dat dit geen gemakkelijke opdracht is.
Zoals hieronder ook aangegeven staat, zal dit écht niet een 24/7 opdracht zijn voor een groot team programmeurs.
Kan me niet echt bepaald een situatie voorstellen waar CAPTCHA invloed heeft op het complete systeem, naast het genereren van een plaatje en vervolgens te checken of de ingevoerde waarde juist is..
De captcha images gaan aanpassen is alleen symptoom bestrijding. Waarschijnlijk is Google met de Carnegie Melon universiteit bezig met een totaal andere manier van spam bestrijding.

Dat captcha's zijn te kraken is natuurlijk ook weer niet zo vreemd. Neem de volgende vergelijking: Laat 20 willekeurige mensen een adres opschrijven. Allemaal hebben ze een ander handschrift. De een schrijft netjes en anderen (zoals ik) schrijven bijna onleesbaar. Heb je weleens bij PTT/KPN/TPG/TNT gezien hoe snel al die adressen worden gescanned en via OCR worden gelezen?

Vroeger zag je vaak 'hit the monkey' banners. Tegenwoordig zie je vaak steeds vaker 'welke plaatje hoort hier niet' banners waarmee je een prijs kunt winnen. Een handige manier om dergelijke captcha's te omzeilen en dan is er natuurlijk nog de brute force attack op gmail accounts zelf. De grootste zwakte van elk systeem zijn altijd de gebruikers en websites vragen vrijwel altijd om een wachtwoord. Op websites waar mensen hun toegangscode kunnen opgeven (wij hebben daar een onderzoekje naar gedaan) zijn de gekozen codes een stuk lastiger/moeilijker..
je bedoelt denk ik dat de website voor jou een 'wachtwoord' bedenkt, ipv de gebruiker zelf?
Denk niet dat een gemiddelde gebruiker daar nu echt op zit te wachten, zeker niet als je telkens moet inloggen en dus dat wachtwoord moet invoeren, zeeeeeer gebruiksonvriendelijk.. Denk trouwens ook wel dat het niet zoveel uitmaakt of de gebruiker nu een wachtwoord invoert of dat de computer het voor me genereert, de ene kan ik wel onthouden, de andere niet, voor wachtwoordkraak software maakt het geen reet uit, en is alleen de lengte van het wachtwoord een grotere factor (want hoe langer het wachtwoord hoe langer het kraken duurt)..
Ik denk dat hij bedoelt dat je, als je vraagt om een wachtwoord, meer kans hebt om een bestaand woord als invoer te krijgen, dan wanneer je vraagt om een toegangscode. Een code, die bestaat uit willekeurige letters en cijfers, gedeeltelijk in hoofdletters , is nu eenmaal een stuk moeilijker te "raden" dan een bestaand woord. Door de juiste vraagstelling kan je de invoer dus - blijkbaar - positief beinvloeden.

[Reactie gewijzigd door Toff op 7 april 2008 20:44]

De grootste zwakte van elk systeem zijn altijd de gebruikers en websites vragen vrijwel altijd om een wachtwoord. Op websites waar mensen hun toegangscode kunnen opgeven (wij hebben daar een onderzoekje naar gedaan) zijn de gekozen codes een stuk lastiger/moeilijker..
Je hebt wel gelijk hiermee, maar wat heeft dat met captcha's te maken die een nieuw gmailaccount aanmaken om mee te spammen, het gaat niet over gmail account diefstal
Tsja, zonder symptoombestrijding is in dit geval gmail onbruikbaar, dus lijkt me de keus makkelijk. Gewoon symptomen bestrijden tot het Prachtige Nieuwe Systeem (tm) gebruiksklaar is.

@Soldaatje: Ik bedoel symptoombestrijding door Google zelf, waar Niemand_Anders van vond dat het wel even zou kunnen wachten omdat de betere oplossing toch al in de planning zou zitten. Ik vind dat daarop wachten erop neer zou komen dat Google zijn gebruikers in de kou laat staan.

[Reactie gewijzigd door mae-t.net op 8 april 2008 01:37]

Ja maar blijkbaar is de symptoombestrijding het volledig blokkeren van alle Gmail gebruikers.

Niet echt leuk voor ze/mij.
Het probleem is dat ze momenteel al in staat zijn om de CAPTCHA plaatjes automatisch te lezen/kraken. Ze moeten dus een oplossing bedenken dat het voor de huidige software die dat doet onmogelijk wordt en tevens dat het niet gemakkelijk is om nieuwe softwar te ontwikkelen die dat wel kan. Ik kan me goed voorstellen dat zoiets tijd kost mede doordat de CAPTCHA plaatjes soms al moeilijk te lezen zijn voor gebruikers.
Ze zouden volledig over kunnen stappen op geluidsconfirmatie, voor slechtzienden hebben ze nu namelijk dat je ook kan kiezen om te luisteren naar de letters en/of cijfers. Dan zouden de hackers een geheel nieuw systeem moeten maken.
tis niet zo moeilijk... je zou de normale captcha kunnen blijven gebruiken,
maar de vraag stellen welke getallen er in staan en de andere keer welke hoofdletters, volgende keer welke getallen onder de 10.. kies maar random een vraag met getallen en letters.
Dat lijkt me niet zo heel moeilijk om te bouwen. Het hele systeem van Captcha blijft vrijwel gelijk er door.. maar maakt het voor een geautomatiseerd systeem vrijwel onmogelijk tenzij deze ook de vragen kan begrijpen.....
Het script wat de captcha kraakt kan deze extra "beveiliging" natuurlijk ook lezen, en omzeilen. Als het eenmaal Alle karakters kan herkennen, kan het ook alle hoofdletters en getallen onder de 10 eruit halen.

Het probleem is ook dat het simpel is om duizenden captcha plaatjes te genereren of ergens op te pikken van een registratie systeem, waardoor het makkelijk is om een kraak script door en door te testen en te verbeteren (totdat het beter is dan mensen zelf.)

Helaas, het eind van captcha is in zicht. Het is Security by Obscurity, dat werkt nooit lang.
Dat niet alleen, als mens heb ik steeds meer moeite om de "tekst" in die plaatjes te kunnen lezen! Dus "erger" kunnen ze het niet maken...
Zelfs Google is niet in staat een enorme codebase te bedwingen.
sommige sites hebben tegenwoordig een fake captcha login. Alles wat je invoert wordt goed gerekend maar op deze manier krijgen ze mensen zover om captcha's van andere sites in te voeren bij het inloggen op voornamelijk wat illegalere sites.

Op deze manier stelt dat hele captcha systeem niks meer voor.
Een vrij effectieve barriere zou een wachttijd voor nieuwe accounts zijn van bv een week, waarin Google de tijd heeft om dergelijke massale account registraties te detecteren. Maar ja, daar zijn bonafide klanten niet blij mee omdat die zo snel mogelijk een mail account willen.

[Reactie gewijzigd door Dreamvoid op 7 april 2008 11:57]

Waarom gaan ze niet weer terug naar het invite only. Laat gebruikers extra invites verdienen als de service goed gebruikt wordt en verwijder de spam adressen. Eenmalige schoonmaakactie...

<flauw>
Laat google een mailtje rondsturen dat de mailadressen verwijderd worden, als je het niet binnen een paar dagen rondstuurt naar al je vrienden...
</flauw>
Ik lees dat de captcha cracker maar 1 op 5 haalt. Kunnen ze bij Google niet gewoon die cracker(s) draaien op iedere gegeneerde captcha? Als de cracker het goeie antwoord weet, genereer je een nieuwe captcha, tot je er één hebt die niet herkend wordt, en die toon je dan aan de bezoeker.
Grote kans dat dat er dan één is die een bezoeker ook niet herkend ;)
Een nieuwe captcha is toch in een uurtje of wat gefixed lijkt me? (misschien lichtelijk overdreven maar toch)
Weederom, als dit echt het geval was waarom zou een bedrijf met een dusdanige hoeveelheid cash als google dit niet doen? Ze zijn er zelf immers niet bij gebaad omdat ze nu duidelijk schade oplopen.

Waarschijnlijk is het technisch aanzienlijk moeilijker dan een paar drukken op de knop.
offtopic:
Of ze bij Google dagelijks een bad nemen hoef ik niet te weten, waarom jij vindt dat dat hiermee te maken heeft ook niet...



Aangezien er geprogrammeerd zal moeten worden is het probleem oplossen aanzienlijk moeilijker dan een paar drukken op de knop, maar het kan onmogelijk meer dan een paar dagen werk zijn, waarschijnlijk is een zeer tijdelijke fix binnen een dag prima mogelijk. Vergeet niet dat men bij Google over het algemeen geen slechte programmeurs en netwerkdeskundigen in dienst heeft.
schijnbaar doen ze het niet of hebben geen oplossing laat staan dat ze communiceren dat het überhaupt een probleem is waar ze aan werken.

In dit geval lijkt dat dus eerder het probleem,. slechte communicatie van google. Zeg we hebben een probleem, we werken aan en oplissing maar dat lees ik nergens en dus krijg je van allerlei berichten en problemen.
Het viel me al op dat sommige mail er 6 tot zelfs meer dan 24 uur over doet voordat ik het in mijn gmail inbox zie...
Als Gmail dit probleem diet afdoende oplost zullen er mensen opstappen en van andere mail mogelijkheden gebruik gaan maken. Dat zullen ze niet willen denk ik.
Ik merk dit ook sinds dit weekend meer en meer. Op dit moment is Gmail m'n primaire mail adres, en echt wisselen van mail-provider is een beetje veel gedoe. Hopelijk is het snel voorbij, anders moet ik toch maar iets anders gaan bedenken.
Alle mail is aan het instorten. GMX uit Duitsland weigert alle mail van Planet Internet. Anderen weigeren weer mail van GMX enz. Door dat soort problemen was ik uitgeweken naar Gmail...en dat gaat dus nu ook weer onderuit. Nog heel even en je kan alleen van je eigen provider naar iemand bij dezelfde provider. Het enige wat nog min of meer lijkt te werken is mijn hotmail adres

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True