2 Apr 2010, 9:04am
Allgemeines
by

12 comments

Herzlichen Dank, wollte Euch eigentlich zur Finanzierungsrunde gratulieren, dauert wohl noch ein wenig. Cross Fingers.

Tom

Ich nutze einfach mal diese Moeglichkeit hier, um ein paar Fragen zu stellen, die sich mir im Zusammenhang mit Captcha-Ads sofort aufgedraengt haben, und wuerde mich ueber eine Antwort sehr freuen:

- Offensichtlich ist hier noch Arbeit notwendig, was die erlaubte “fuzzyness” der Nutzereingabe betrifft. Im Beispiel auf Ihrer Webseite habe ich fuenf Versuche gebraucht, die korrekte Antwort einzugeben, da mit die korrekte Schreibweise von “Mitsubishi” nicht sofort klar war. Zwar erscheint der Schriftzug noch einmal am Ende des Videos, aber viel hilft das nicht. Desweiteren wurde im Video “Mitsubishi Motors” genannt, was jedoch nicht akzeptiert wurde. Bei anderen Partner bzw. Marken sehe ich da aehnliche Probleme

- Das ganze System steht und faellt mit der Anzahl der verschiedenen Videos und Fragen. Gibt es bspw. 100 verschiedene Moeglichkeiten, bin ich als Angreifer mit purem raten noch ganz gut unterwegs; waehrend ich bei klassichen Text-Captchas durch blindes Raten gar keine Chance habe.

- Weiterhin ist zu pruefen, wie schwierig es ist, den Fragetext zu extrahieren. Bspw. erscheint in dem Beispielspot der Schriftzug nach etwa drei Sekunden und wird mehrfach eingeblendet. Entsprechend kann ich als Angreifer zufaellig ein paar Frames herunterladen und anschliessend den Text suchen und erkennen. Da die Anzahl der Fragen sicherlich irgendwo begrenzt ist, kann ich nach manuellem erstellen einer Datenbank so relativ simpel und schnell eine korrekte Antwort finden. Insbesondere muss ich nur die Antwort von wenigen Fragen kennen, um dennoch eine gute Quote zu bekommen, hier reichen ja sicherlich wenige Prozent.

- Die Videos sind, soweit ich das beobachten konnte, nicht verfremdet. Somit kann ich u.U. schon von dem ersten Frame aus auf das Video schliessen.Eventuell reicht es dann sogar schon aus, allein die ersten paar Pixel gegen eine Datenbank abzugleichen. Daraufhin habe ich mit dem Raten der Antwort (sofern es ueberhaupt mehrere Fragen zu dem gleichen Video gibt) wesentlich weniger Aufwand.

- Das System kann eigentlich, in meinen Augen, nur effizient und sicher funktionieren, sofern nach jeder Falsch-Eingabe ein neues Video mit neuer Frage erscheint (ansonsten habe ich es ja als Angreifer noch einmal wesentlich einfacher). Hier sehe ich aber wiederum eine grosse Problematik was legitime Nutzer angeht. In meinem ersten Beispiel hatte ich ja erwaehnt, dass ich fuenf Versuche gebraucht hatte; Wenn ich dann auch noch fuenf verschiedene Werbespots mir haette ansehen muessen, waere meine Toleranzgrenze sicherlich ueberschritten - und erstrecht die Grenze der “einfachen” Anwendern.

Mich wuerde nun interessieren, wie sie zu den Punkten stehen und diese Begegnen wollen. Da ihr System ja bereits zum Patent angemeldet wurde, gehe ich davon aus, dass Sie schon offen darueber sprechen koennen.

Nachtrag:
Ich habe soeben erst das Captcha hier im Blog bemerkt. In dieser Auspraegung kann man sicherlich eine sehr grosse Anzahl verschiedener Tests generieren (bspw. einfach aus der Amazon-Datenbank). Nichts desto trotz kann ich als Angreifer in so einem Fall genauso gut mir etwa die Amazon-Datenbank crawlen und in einer zum Vergleich effizienten Weise speichern. Ich verstehe nicht, weshalb die Erkennung von unverzerrtem Text in einem Video deutlich schwieriger sein soll, als die Erkennung von stark verfremdeten Text wie in klassischen Captchas.
Insbesondere reicht hier aber schon allein die Erkennung des Textes, ein Aufwaendier Bildvergleich ist nicht einmal noetig. Die wie “Wie lautet der Preis?” oder “Wer ist der Hersteller?” kann ich schnell “verstehen” und beantworten.

Vielen Dank,
MG

Nachtrag 2:
Bei den Captchas hier im Blog findet bei Falscheingabe auch kein Wechsel statt.
Hier ist es extrem einfach:
Alle Worte bis zum ersten “von” beschreiben den Titel, alle Worte zwischen “von” und “ab” den Hersteller, die letzen Worte den Preis. Die Frage muss ich mir gar nicht anschauen, ich probiere einfach alle drei Dinge nacheinander.

Hallo mg,
ich versuche alle Fragen einigermaßen verständlich zu erklären ohne dabei Interna preisgeben zu müssen.

Generell unterscheiden wir zwischenzeitlich zwei verschiedenen Arten der CaptchaAds. Die eine Variante ist ein CaptchaAd Ersatz. Hierbei steht die Sicherheit im absoluten Vordergrund. Dies muss daher auch in die Programmierung seitens der Website integriert werden. WIr unterstützen derzeit PHP und .NET. Diese Variante sehen Sie in einer Affiliate Version bei der der Webseitenbetreiber für die erfolgreiche Vermittlung von Käufern bestimmter Produkte entlohnt wird. Dabei kann jede Website derzeit aus einem Produktkatalog von 500.000 Produkten auswählen. Zu jedem Produkt gibt es 3 Fragen - dadurch entstehen 1.5 Millionen unterschiedlicher Flashmovies. Diese werden zudem regelmäßig mit den Datenbanken der Hersteller abgeglichen und neu generiert sollten sich Informationen ändern. Diese Version ist was die Sicherheit betrifft sicherlich nicht maximal da eine Balance zwischen Sicherheit und möglicher Einnahme durch die Website gefunden werden muss. Würden wir das System sicherer machen dürfen, so haben wir hierfür sehr viele Ansätze. Aber Produkt kann nur erfolgreich sein, wenn jeder Marktpartner dieses akzeptiert.

Die zweite Variante der CaptchaAds sind Werbebotschaften mit einer garantierten Userinteraktion. Hier geht es nicht um Sicherheit sondern um Informationsvermittlung und Branding. Hier spielt seitens der Publisher als auch Advertiser der Sicherheitsaspekt eigentlich keine Rolle. Diese Form der CaptchaAds wird derzeit mit Nachdruck weiterentwickelt.

Bei weiteren Fragen zur Technologie können Sie mich auch gerne direkt kontaktieren.

Schöne Grüße aus Bonn

Hallo tz,

vielen Dank fuer ihre Ausfuehrungen, die mich aber immernoch verwirren.

Ich habe in der wenigen Zeit, die mir zur Verfuegung steht einmal folgendes probiert:
1) Webseite parsen, hierdurch komme ich auf die aktuelle Captcha-ID
2) Flash Movie (flv) zu dieser ID von ihrem Server herunter laden
3) Mit dem freiem “ffmpeg” ein Frame pro Sekunde aus dem Video extrahieren und abspeichern
4) Obere und untere Region mit dem Text aus den Frames extrahieren
5) Mit dem freien “tesseract” OCR-Programm die Texte erkennen und wieder zusammen fuegen.
6) Letztes Wort in der Frage “Produkname”, “Hersteller” oder “Preis” raten
7) In dem Hinweis-Lauftext den jeweiligen Bereich extrahieren (is immer in der Form ” von ab E”)

Somit waere es ein leichtes, diese Captchas hier im Blog zu brechen. Ich muesste die Ausgabe vom tesseract noch etwas trainieren (untrainiert gibt schon sehr gute Resultate) und ein wenig “tweaken”, aber ich bin hier zuversichtlich, dass eine Erkennungsrate der Captchas in der aktuellen Form bei deutlich ueber 80% liegen sollte. Das alles habe ich in ein paar Stunden “zusammengehackt”, um zu sehen, ob es prinzipiell funktioniert. Man stelle sich einmal vor, was professionelle Spammer erreichen koennten.

Sicherlich ist eine Balance zwischen Sicherheit und moeglichen Einnahmen zu finden. Ihre Zielgruppe sind aber nicht Ihre Werbepartner (im Prinzip zwar schon, aber Sie verstehen sicherlich, was ich meine). Denn was hilft diese gewaehlte Balance, wenn niemand die Captchas verwendet?

Hier ist genau der Knackpunkt: Ihre Idee mit der Werbung ist gut, aber das eigentlich spannende ist dann, wie man das Ganze umsetzt. Statt Buchstabensuppen nach Claims zu fragen kann jeder, und sobald ein Non-Profit Anbieter auf den Zug springt, helfen Patente auch nur noch bedingt. Ich sehe hier noch nicht die wirkliche Innovation und bleibe skeptisch.

Ich hoffe, Sie koennen mir hier bei meinem Verstaendniss weiter helfen.

Gruesse,
MG

Den von Ihnen beschriebenen Weg haben auch wir schon geprüft. Grundsätzlich gebe ich Ihnen recht. Wie ich aber angemerkt habe ist der Stand der Entwicklung des Plugins nicht das was technisch machbar ist. Ich kann Ihnen versichern, dass wir in unserem Labor Versionen laufen haben, die dem von Ihnen beschrieben Weg einen Riegel vorschieben. Darauf kann ich jedoch hier in einem öffentlichen Forum nicht eingehen. Einen Tipp jedoch kann ich geben. Zukünftig wird die Lösung eines CaptchaAds nicht mehr über die Tastatur eingegeben.

Lieber tz,

vielen Dank fuer Ihre Ausfuehrungen! Sie haben also noch etwas “Richtiges” in der Hinterhand, das beruhigt mich zu hoeren.
Dann bin ich mal gespannt, wie Ihre neue Loesung aussieht.
Koennen Sie schon ungefaehr sagen, wann sie dieses neue Konzept der Oeffentlichkeit vorstellen koennen?

Viele Gruesse und gutes Gelingen,
MG

Nein, sagen können wir dazu noch nichts.

Hallo noch einmal,

ich bitte um Verzeihung, dass ich hier vielleicht etwas ueber-Kritisch erscheinen mag, aber ich habe mir eben grade Ihre Praesentation angeschaut.

Dort wird behauptet, Zitat: “Weltweit bester Spam-Schutz”. Worauf stuetzt sich diese Aussage? In den Kommentaren hier haben wir uns ja geeinigt, dass der Schutz nicht wirklich hoch ist. Aus meiner Erfahrung wuerde ich einmal behauptet, hinsichtlich der Sicherheit liegen zwischen Ihrem Ansatz und etwa reCAPTCHA Welten.
Sie haben zwar noch etwas in Ihrem Labor in Entwicklung, was vielleicht diese Aussage rechtfertigen kann, aber solange hier weder Details bekannt sind oder zumindest ein Einfuehrungstermin existiert, waere ich vorsichtig.
Ist Ihr neuer Ansatz eigentlich in Ihrem Patent enthalten?

Ich will Ihnen wirklich nichts boeses, und ich meine das als einen ehrlichen und guten Ratschlag: Solche Aussagen (“das sicherste Ueberhaupt”) fuehren bei Fachkundigen sehr schnell zu einer gewissen Gereiztheit (fuer die ich mich hier in meinem Falle noch einmal entschuldigen moechte).
Ihr Konzept mit Werbung+Video ist auf jeden Fall ein Versuch wert, und ich wuensche Ihnen von ganzem Herzen alles Gute dabei. Sie koennen gerne argumentieren, dass fuer viele Webseiten kein extrem hoher Schutz notwendig ist und hier ist der perfekte Einsatzzweck Ihrer Loesung. Sich mit Aussagen bzgl. der Sicherheit so weit aus dem Fenster zu lehnen finde ich hingegen gefaehrlich. Eventuell laesst einer Ihrer Investoren oder Interessenten das Ganze dann doch einmal genauer pruefen, und dann stehen Sie schlecht da.
Worst-Case waere hier, dass Sie einen grossen Partner wie z.B. StudiVZ gewinnen (wie in einem Interview von Ihnen ertraeumt), und dann in kuerzester Zeit Bots auftauchen, die das Ganze umgehen. Auch konnte ich nicht erkennen, welche Kompetenz Sie bzw. Ihr Team in diesem Bereich (also Sicherheit von Captchas) vorweisen kann, immerhin ist das ein komplexes Thema und es gibt reichlich wissenschaftliche Arbeiten zu dem Thema, die Ihnen, wie man meinen koennte, unbekannt sind.

Hallo Herr Grosse,
ich muss Sie korrigieren. In den Kommentaren hier haben wir uns geeinigt, dass die Version die derzeit öffentlich zu sehen ist nicht die 100% sicher ist. Ich hatte aber auch darauf hingewiesen, dass in unserem Labor sichere Versionen laufen welche derzeit auf Herz und Nieren getestet werden. Und ja, der erweiterte Ansatz ist durch das Patent abgedeckt.

Unsere potentiellen Investoren wissen auch um unsere Versionen in unserem Labor und bewerten das Unternehmen nach der Technologie die wir entwickeln und nicht danach was wir der Öffentlichkeit preisgeben. Und Sie werden Verständnis haben, dass wir hier auf keine Details eingehen können da es sich um ein sensibles Thema handelt.

Ich möchte Sie zudem bitte die Kompetenzen unseres Teams nicht anzuzweifeln. Weder kennen Sie uns noch wissen Sie was wir hier hinter den Kulissen entwickeln. Und um auch diese Frage zu beantworten: Wir kennen in der Tat einige wissenschaftliche Abhandlungen über Captchas.

Schöne Grüße

Hallo Herr Zumtobel,

ich entschuldige mich erneut, dass wir uns hier offensichtlich wieder missverstanden haben! Ich wuerde Ihnen und Ihrem Team niemals Inkompetenz unterstellen - wie sie selbst sagen, kenne ich Sie ja gar nicht.

Vielleicht ist das ein kommunikatives Problem, vielleicht bin auch ich der einzige Mensch, den das stoert. Ich lese nur “weltweit am sichersten” und finde keinerlei Anhaltspunkte, die mich ueberzeugen, daran zu glauben. Den bisherigen Ansatz schaetze ich als leicht zu brechen ein, daher meine Zweifel. In meinen Augen ist das aktuelle Verfahren sehr unsicher. Gerne kann ich dahingehend eine Praesentation und Auswertung vorbereiten.

Aber das ist dann ja ohnehin hinfaellig, wenn die neue Technologie kommt. Vielleicht haetten Sie werben sollen mit “Bald der weltweit sicherste Schutz”, dann haetten wir diese unnoetige Diskussion vermeiden koennen.

Vielen Dank fuer Ihre Geduld,
MG

Hallo Herr Grosse,
kein Problem. Wir werden Sie gerne als einen der ersten informieren wenn die neue Version “raus” darf. Dann bin ich auf Ihr Feedback gespannt.

Wenn Sie sich mit Captchas gut auskennen und zudem PHP programmieren können, wäre vielleicht ein Job bei uns für Sie von Interesse? Wir suchen genau solche Entwickler - die kritisch hinterfragen und immer die optimale Lösung suchen. Bei Interesse melden Sie sich doch bitte bei mir.

Schöne Grüße

 

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>