Neues zur captcha-Diskussion
Über Sinn und Unsinn von captchas gibt es seit längerem Diskussion, die hier nicht aufgewärmt werden sollen. Es gibt neue, interessante Informationen zu diesem Thema
Angeregt von einem Hinweis in einem XING-Forum (Webdesign und Usability), führt die Recherche zu einem aktuellen Aufsatz von Troy Hunt:
http://www.troyhunt.com/2012/01/breaking-captcha-with-automated-humans.html
Dieser setzt sich extrem intensiv mit dem kommerziellen Angebot von KolotiBablo.com auseinander. Dort arbeiten tatsächlich CAPTCHA crackers, die für cent-Preise anbieten, große Mengen von captchas auszulesen. Interessant also für spammer - statt mit Cracking-Tools zu arbeiten, die nur Erfolgsquoten von 50-60 % haben, nimmt man diesen Dienst in Anspruch, wo wirklich "Humans" die Captchas auslesen - mit entsprechend hoher Erfolgsqute.

Das Teamfoto, das in der Werbung gezeigt wird, dürfte natürlich nur ein Stockfoto einer Agentur sein. Aber die Firma arbeitet wirklich, und der Autor obigen Aufsatzes hat das ganze getestet.

Dort gibt es sogar eine Börse, einen Marktplatz, wo weitere Dienste angeboten werden.
Das ganze funktioniert am besten, wenn man ein selbst erstelltes, automatisiertes Programm benutzt, um das Problem zu umgehen, dass nach dem ersten Seitenaufruf schon 1 captcha verbraucht ist. Der Autor deckt hier die ganzen Mechanismen auf, wie man captcha funktionieren und wie Cracker arbeiten.


- Send the CAPTCHA and API key via an HTTP POST request
- A response is returned with an ID
- Wait 10 seconds then send the ID back in another request
- A response with either the resolved text or a “not ready” status is sent back
- If it’s not ready, wait 5 seconds then ask for the status again (rinse, lather, repeat)

Obiges Beispiel ist wie folgt eingebettet:
<script type="text/javascript"> var RecaptchaOptions = { "theme": "Red", "lang": "en", "tabindex": 0 }; </script> <script src="http://www.google.com/recaptcha/api/challenge? k=6Le2hMwSAAAAAPhhj00SFHjaniz3zLnV0nDLThq9" type="text/javascript"></script> <noscript> <iframe frameborder="0" height="300px" src="http://www.google.com/recaptcha/api/noscript? k=6Le2hMwSAAAAAPhhj00SFHjaniz3zLnV0nDLThq9" width="500px"></iframe> <br /> <br /> <textarea cols="40" name="recaptcha_challenge_field" rows="3"></textarea> <input name="recaptcha_response_field" type="hidden" value="manual_challenge" /> </noscript>
Dann liest der Autor den noscript Bereich aus, das ist das, was der Browser zeigt, wenn kein Javascript eingeschaltet ist. Das erspart viel Umstände, wie der Autor erklärt.
Er stieß dann auf das Wichtigste, ein kleiner iframe, wo das Bild eingebettet ist; hier im Beispiel: http://www.google.com/recaptcha/api/noscript?k=6Le2hMwSAAAAAPhhj00SFHjaniz3zLnV0nDLThq9
Diese Seite rendert nur eine sehr einfach Captcha-implementation, was notwendig ist, wenn der User kein Javascript benutzt.

<img width="300" height="57" alt="" src="image? c=03AHJ_VusH0z9XlyEjm8c2Qm6sl9DhDD_fWq7R-tpRlwhF0KeLy2m8nZBM- T7AOpGn6UCLd0M7fITJZ2RJ0pgHVt2PrchJwp3VoaKwcJMAK7_BhQdxIPidUT5- nAUIF7GRDD3vrjs2CXLfw7byQMJa9gDNy9CSvhiSuw">
Das wird dann an Antigate gesandt
http://www.google.com/recaptcha/api/image?c=03AHJ_VusH0z9XlyEjm8c2Qm6sl9DhDD_fWq7R-tpRlwhF0KeLy2m8nZBM-T7AOpGn6UCLd0M7fITJZ2RJ0pgHVt2PrchJwp3VoaKwcJMAK7_BhQdxIPidUT5-nAUIF7GRDD3vrjs2CXLfw7byQMJa9gDNy9CSvhiSuw
Wie er sich dann einen CAPTCHA cracker baut, der auf dieser Erkenntnis basiert, ist immer noch spannend; ich zeige hier nur ein paar Screenshots. Übrigens: Die Firma bietet als Hilfe ein kleines Cplusplus-Skript an, der Autor hatte sich aber selbst eines gestrickt, mit folgendem Konzept:


Umgerechnet 96 US-cents to break 1,000 CAPTCHAS. Das ist o.k.

Nächster Schritt ist die Paypal-Zahlung

A short while later and the code is conveniently delivered via email:






Zitat: A total of 1,230 CAPTCHAs were sent off to Antigate and only 77 were not solved correctly hence causing the registration process to fail. That’s a 94% success rate:

Natürlich reißt der Autor auch die Frage der moralischen Legalität an. Außerdem weist er darauf hin, dass es auch andere Dienste gibt, als nur Antigate.
Noch ein paar interessante Schnipsel aus den Kommentaren zu dem Artikel auf WTF
- Just for your information, Russian speakers would recognize the name they are using for the site KolotiBablo.com as "MakeMoney.com". ...
- There have been lots of algorithmic solutions, but the success rates suck compared to human solvers:
17.5% - http://www.allspammedup.com/20...
30% - http://www.teleread.com/chris-...
Übrigens: Laut einer Hochrechnung der Carnegie Mellon University aus dem Jahre 2004 verbrachten damals die Internetnutzer weltweit pro Tag 150.000 Stunden damit, CAPTCHAs zu lösen. Wieviel werden es wohl 2012 sein?