victoires sans objet, perd de Time Inc.

Original: http://musicmachinery.com/2009/04/27/moot-wins-time-inc-loses/

 

Ce matin Time.com a publié le résultat final pour leur temps annuel 100 Poll. Temps indique que le nouveau propriétaire du titre « personne la plus influente du monde, est sans objet ». Ce temps ne dit pas, c’est que leur scrutin était donc totalement manipulée que les résultats du scrutin ne sont pas une indication de qui est le plus influent, mais au lieu de cela ils se présenter comme un monument à l’incompétence de l’heure.

 

pollresults

 

En regardant les résultats du sondage, nous voyons des preuves claires de l’entaille. Les premières lettres des 21 finalistes dans le sondage épeler “Marblecake, aussi le jeu”. Témoignage de hackery précision pour quiconque de voir. Et pourtant, le temps dit qu’ils ont repoussé toutes les tentatives pour pirater le sondage. Citant l’article du time: “l’équipe technique de TIME.com fait détecter et éteindre plusieurs tentatives pour pirater le vote”. Ce qui m’amène à me demander si Time.com est malhonnête ou est tout simplement incompétent. Compte tenu du rasoir de Hanlon, je dois y aller avec incompétence. (Et si vous avez le moindre doute sur l’incompétence de temps, examiner de près le résultat du scrutin. Notez bien que Oprah Winfrey et Ratan Tata l’exact même nombre de voix. C’est parce qu’ils ont tous deux partagent le même ID dans le sondage. Un vote pour une ou l’autre était un vote pour l’autre. Il en va de même pour Michael Bloomberg et Gustavo Dudamel. Si vous votez pour l’un, vous votez pour l’autre.)

 

Comment est arrivé le hack ? J’ai déjà décrit en détail les étapes qui le lâche collectif connu comme « Anonyme » a eu pour pirater le sondage. Ce groupe (qui se sont réunis sur un canal IRC à anonnet.org) sondé les faiblesses dans les protocoles de sondage et a écrit autovoters pour bourrer les urnes avec les voix qui mettrait les candidats dans l’ordre approprié de préciser le Message, en adaptant si nécessaire chaque fois que le temps a ajusté son protocole dans une maigre tentative afin d’empêcher les pirates informatiques. Mais il y a deux semaines fois obtenu graves sur la sécurité du scrutin. Ils ont modifié le sondage afin que vous aviez besoin de prouver que vous étiez humain (via un captcha) pour pouvoir voter.

 

290px-modern-captcha

 

Cela arrête instantanément tous les autovoters. Anonymous a été hors ligne – n’est plus en mesure de présenter des milliers de votes par minute. Et pire encore, lorsque les autovoters ont été arrêt, le Message « Marblecake, également dans le jeu » cariées bientôt dans un vide de sens « mablre caelakosteghamm ». Il semblait que Time.com avait gagné – le Message ne survivrait pas au cours des deux prochaines semaines du vote. Mais n’abandonne pas anonyme, qu’ils jugent difficile de restaurer le Message. Voici comment ils l’ont fait.

 

Mise à jour -4/29 von Professeur Luis Ahn, responsable du projet pour reCAPTCHA, m’a envoyé un courriel très poli, ce qui laisse croire que j’ai changer quelques mots ici pour faire comprendre à un lecteur occasionnel que reCAPTCHA n’était pas piraté. Je suis d’accord que le message original pourrait être facilement mal interprété par un lecteur occasionnel, donc j’ai changé quelques mots ici et là pour qu’il soit parfaitement clair que reCAPTCHA n’était pas compromis pour le scrutin de temps.

 

Tout d’abord tenter – essayer (et défaillante) crack reCAPTCHA

 

La première chose qu’anonyme a tenté de faire était tentée de briser le reCAPTCHA, la technologie captcha utilisé par Time.com. Ils ont construit un programme qui analyse les images, briser les mots en caractères et appliquer OCR pour les images dans le but d’automatiser le processus de captcha. Toutefois, sans surprise, il s’est avéré pour être trop difficile d’une tâche – certainement qui était un écrou qui prendrait plus d’une semaine à lézarder. Donc après quelques jours, ils ont abandonné cette approche.

 

res4

 

Deuxième tentative : essayer (et défaillante) à hack reCAPTCHA – “L’inondation du pénis”

 

La prochaine tactique consistait à voir si ils pouvaient trouver une faille dans la mise en œuvre du reCAPTCHA. Une chose, ils ont découvert sur reCAPTCHA c’est qu’elle présente toujours deux mots à un utilisateur pour le décodage – un mot est un mot de commande connu par le système reCAPTCHA, tandis que l’autre est un mot inconnu (reCAPTCHA utilise les humains pour aider à corriger des erreurs d’OCR). Wikipedia décrit le processus: “texte scanné est soumis à l’analyse de deux programmes de reconnaissance optique des caractères différents ; dans les cas où les programmes sont en désaccord, le mot douteux est converti en un CAPTCHA. Le mot s’affiche avec un mot de commande déjà connu et est marqué par l’homme. Ces mots qui reçoivent régulièrement un label unique par les juges humains sont recyclés comme mots de commande”. 2iasdo4 ce 2iasdo4qu’anonyme réalisé était que si ils ont toujours marqué l’inconnu texte numérisé avec le même mot – et si ils ont fait ce milliers et des milliers de fois par la suite un grand pourcentage des mots inconnus pourraient être mal étiquetés avec leur mot. Tout ce qu’ils avaient à faire était Regardez les deux mots dans le captcha, entrez le nom correct de celle « facile » (sans doute qui serait celui qui pourraient convenir des deux lecteurs optiques) et entrez le mot « pénis » pour celui dur. Si ils ont fait cela souvent assez, puis bientôt un pourcentage significatif des images serait étiqueté comme « pénis » et la capacité d’autovote serait restauré (un effet secondaire, qui n’a pas échappé à Anonymous, a l’idée que, pour les années à venir, il serait un certain nombre de livres numériques avec le mot « pénis » insérées au hasard dans tout le texte. Mise à jour : J’ai demandé à Ben Maurer, ingénieur en chef de reCAPTCHA sur cette attaque « inondation de pénis », Ben dit qu’ils ont anticipé ce type d’attaque et ils ont de nombreuses protections qui gardera les pénis de pénétrer la barrière reCAPTCHA. Mise à jour : 4/29 – Luis von Ahn, responsable du projet de reCAPTCHA continue à dire « à propos de le “attaque de pénis ». Nous servons les CAPTCHAs plus de 400 millions par semaine, soumettant ainsi 200 k CAPTCHAS avec le pénis de mot ne vient même pas à proximité de l’empoisonnement de notre base de données — nous servons chaque mot à plusieurs utilisateurs au hasard, et nous exigeons qu’ils soient corrects sur l’autre mot, donc pour obtenir une traction avec cette attaque, ils auraient dû soumettre les CAPTCHAs au moins 100 fois plus. Et même si ils ont fait cela, nous avons beaucoup d’autres mesures contre elle. Cette attaque tout simplement ne fonctionne pas. »

 

Troisième tentative : Optimisation reCAPTCHA entrée

 

Aussi attrayante que la notion de saupoudrer le mot « pénis » dans des textes, l’équipe anonyme savait que le temps était compté, et s’ils allaient pour restaurer le Message ils n’a pas eu le temps d’attente pour l’autovoters à revenir en ligne – qu’ils allaient avoir à voter manuellement, beaucoup, beaucoup de fois. Et ainsi ils devaient être en mesure d’entrer captcha est aussi vite qu’ils le pouvaient. Ils ont mis au point un ensemble de directives qui leur a permis de décider rapidement quels mots reCAPTCHA ils pourraient sauter. Par exemple :

 

Vous recevrez 2 mots: 1 real, 1 faux.

 

Pour [REAL FAKE] ou [REAL FAKE], vous pouvez taper juste en temps réel et il devrait être accepté.

 

Si c’est [LOOKSREAL LOOKSREAL] ou [LOOKSFAKE LOOKSFAKE], il est habituellement juste plus rapide il suffit de taper ces deux mots. Ne perdez pas de temps précieux décider lequel d’entre eux est réel.

 

Utiliser l’apparence et le type de mot d’identifier un faux

 

mot. Ne comptez pas sur un seul d’entre eux.

 

Le ruleset entier est ici : faux captcha

 

En comprenant comment reCAPTCHA travaillé – l’équipe a été en mesure de doubler leur productivité (car ils avaient généralement seulement à entrer un mot au lieu de deux). Pour optimiser leur vote, qu’ils ont créé un sondage frontal qui permettait d’entrer voix rapidement tout en vous donnant une mise à jour de l’état de sondage (et puisque c’est une sorte de 4chan de foule, ils ont également fourni la possibilité de cours d’eau du porno juste pour vous tenir compagnie pendant que vous êtes subvertir une des plus grandes sociétés de médias dans le monde.

 

poll-frontend

 

Ils ont trouvé qu’avec cette version du chargeur manuel, la chose qui a été pris le plus de temps a chargement des images captcha, donc ils ont fait une version squelette chargée des 3 captchas à la fois, dans le fond, éliminant ce goulot d’étranglement, et doubler leur vote manuel de vitesse une fois plus (et montrant leur votent par minutes stats).hack-fast1

 

hack-fast1
Mise à jour – juste pour être parfaitement clair, anon n’a pas pirater reCAPTCHA. Il a fait exactement ce qu’il était censé pour faire. Il éteindra les électeurs auto instantanément et efficacement. La seule option reste après que temps ajouté reCAPTCHA au sondage était une attaque de force brute. Ben Maurer, commentaires (ingénieur en chef sur reCAPTCHA) sur le hack: “reCAPTCHA mis en place un dur jusqu’au barrage de rupture qui a forcé les assaillants à dépenser des centaines d’heures pour obtenir un relativement petit nombre de voix. reCAPTCHA ont empêché de nombreux attaquants potentiels de se livrer à une attaque. Dans n’importe quel système de haut-profil, il est important de mettre en œuvre reCAPTCHA dans le cadre d’une stratégie de défense en profondeur plus grande”. Comme le souligne le Dr von Ahn “temps utilisait reCAPTCHA dès le début, ce ne serait jamais arrivé — anon soumis * des dizaines de millions * de votes avant temps ajouté reCAPTCHA, mais ils n’ont pu soumettre ~ 200 k par la suite. « Et pour ce faire, ils ont dû recourir à taper le captcha à la main! » Une chose que Time Inc. a fait ça rend beaucoup plus facile pour le hack anonyme devait permettre de laisser la porte ouverte pour faux intersite demande qui a permis à anon pour créer un sondage simplifié qui jamais eu pour extraire des données de Time.com.

 

Force brute
Avec le manuel simplifié, processus de vote, un électeur unique, motivé puisse voter 30 / minute (peut-être seulement 20 VPM si ils étaient en train de regarder porno). Mais des calculs ont montré qu’ils avaient besoin d’environ 200K voix pour effectuer un cast pour mettre tout le monde dans leur position correcte. S’ils allaient réussir, ils devaient vraiment organiser leurs votes. Ils brassèrent les numéros et est venu avec ce plan :

 

NOMBRE DE VOIX NÉCESSAIRE 191 209
Alexander Levedev (jusqu’à 37,5) 6 541 votes
Rick Warren (plus de 1 902 130) 7 255 votes
Kobe Bryant (jusqu’à 39,50) 109 174 votes
Sheikh Ahmed bin Zayed Al Nahyan (jusqu’à 35,50) 5 000 votes
Hu Jintao (jusqu’à 31,50) 19 836 votes
Elizabeth Warren (jusqu’à 27,50) 43 403 votes

 

Avec une pincée d’aide des gens sur/b /, l’équipe de base d’environ une douzaine a obtenu jusqu’à vote manuel. (Pour obtenir de l’aide de /b/ ils ont mis ensemble d’informations sur la façon de rationaliser le processus de captcha, comment configurer le navigateur de redirections de masque, traitent des procurations et incitations certains autres (peut-être non-coffre-fort-pour travaux). Certains des électeurs plus hardcore (je les appelle « devoters ») a passé 40 + heures de vote. À leur apogée, ils ont bâti sur 200 votes par minute (par rapport aux nombreuses milliers par minute qu’ils pourraient monter via autovoter avant le temps ajouté le captcha).

 

Avec 200 k voix à monter, ils savaient il serait étroite, et ils ne savaient pas exactement quand les urnes fermaient. Dans les derniers jours, l’équipage a été obtenir démotivé. Mais un coup de pouce à leur productivité et leur moral s’est produite quand ils sussed comment temps a effectivement fait le classement final (ils arrondir la note moyenne à l’indice le plus proche et ensuite utiliser le nombre total de votes pour départager). Avec cette petite pépite d’information, ils ont été capables de redistribuer leur vote, éliminant le besoin d’environ 30 K de la K 200 votes. Ils ont découvert quelques bizarreries plus dans Comment Time.com a classé les candidats qui leur a permis de se raser encore plus voix sur le total requis pour une économie totale de 46k voix. Avec ce votent d’épargne, le but était à portée de main, avec leur moral boosté, ils étaient capables de pousser dans l’ensemble de la ligne d’arrivée.

 

La fin du jeu

 

Enfin, vendredi, temps fermé le sondage, mais drôle, c’est qu’ils n’ont pas éteindre les URL Secrétaire du scrutin, donc même si vous ne pouvait pas voter via le site officiel de Time.com, il était encore possible de voter par l’intermédiaire de l’électeur manuelle simplifiée – et donc la farce de bulletin de vote a continué. Samedi après-midi, le message a été restauré, mais le vote continue – que l’équipe a tenté de gagner un coussin de sécurité, devraient les électeurs des autres candidats gâcher choses à la dernière minute. Tôt le matin du 27 avril Time.com a publié les résultats. Et là, pour l’ensemble mondial de voir était le message, intact, « mARBLECAKE également THE GAME ».

 

result

Célébrations étaient en ordre, il y avait gâteau

 

alsothecake

 

et les visages heureux

 

smiles

 

et un soupir général de redressement du groupe.

 

Il est 12 heures après que le scrutin de Time.com a été fermé. L’ambiance entre anonyme est élevé – le hack a été achevé, il est là pour le monde de voir. Time.com s’est comporté comme prévu – ils ont refusé de reconnaître le hack et le Message – mais le mot est là-bas. Gens lisent sur le hack sur 4chan, Reddit et Digg-les gens savent que le scrutin a été piraté et ils savent que les Anonymous est responsable. Ils ont commencé avec un but et malgré quelques revers plutôt sévères ont été en mesure d’atteindre cet objectif

 

Où je m’assieds, j’ai vraiment à s’interroger sur Time.com. Ils ont passé leur temps, promouvoir et exécuter ce sondage qu’ils savent (ou devraient savoir) est une farce totale. Ils donnent un clin d’oeil et coup de pouce aux résultats douteux en disant “il s’agit d’un sondage Internet. Mettre en doute les résultats est type de point. » Ce qui est tout simplement stupide. Peut-être le point doit être « si vous voulez maintenir n’importe quel genre d’intégrité journalistique, ne procéder à des sondages en ligne ».

 

Donc, ce qui est prévu pour anonyme ? Un hacker (sachant les gens stéréotype ont pour un hacker anonyme) a dit « nous allons reprendre se masturber et étant le total d’échecs de qui nous sommes ». Quand j’ai demandé à Zombocom, le cerveau du Message, s’il avait un message pour moot-l’homme qu’ils ont mis sur le toit du monde-Zombocom a répondu: « “The Game” – mais encore, en profiter. »

 

Mise à jour : Une mini-entrevue avec discutable :

 

Un ami m’a mis en contact avec moot je pourrais lui demande du hack. Depuis qu’il est si influent, j’ai gardé mes questions bref et précis. Voici l’interview de mini :

 

Temps fait une blague a vos frais (“pour exprimer l’ampleur de l’incident en perspective, il est à noter que tout le monde a battu Moot a fait un travail.”). Toute réponse à Time magazine à ce sujet :

 

Je n’étais pas offensé par le texte de présentation sur TIME.com. Pour préciser, j’ai jamais prétendu être pas au courant du « plan concerté pour influencer le scrutin, » juste que je n’avais pas chargé quelqu’un de voter pour moi. Ils l’ont fait tout sur leurs propres (comme vous le savez déjà).
Temps indique aussi qu’ils ont repoussé les tentatives de pirater le sondage. (“L’équipe technique de TIME.com fait détecter et éteindre plusieurs tentatives pour pirater le vote. »). Cela me semble être un mensonge. De même, ils ignorent le message « marblecake, aussi le jeu » complètement. Rien à dire à ce sujet ?

 

Honnêtement, je pense que temps eu autant de plaisir avec le sondage que nous avons tous fait. Il a conduit beaucoup de trafic sur leur site et après que les résultats définitifs ont été libérés, ont suscité beaucoup de buzz autour de la question à venir.

 

Il y a un groupe d’une dizaine des gars qui avez consacré quelques mois de cela. Quelque chose à leur dire ?
Pour ce qui est une réponse aux joueurs: « Merci. »

Comments are closed.