Seinerzeit war "Completely Automated Public Turing- Test to Tell Computers and Humans Apart" - kurz: Captcha - eine gute Idee: Dem Nutzer wird eine verschleierte Zeichenkette präsentiert, die er zu "entschlüsseln" und einzugeben hat, um einen E-Mail- oder Social-Network-Account beziehungsweise einen Kommentarzugang bei einem Online-Forum zu erhalten. Nicht viel Aufwand für den User - und wenig Durcheinander für den Web-Administrator.
Aus diesem Grund schaffte Captcha den Sprung von einer relativ obskuren, im Jahr 2000 von Forschern an der US-amerikanischen Carnegie Mellon University perfektionierten Schutzvorkehrung zum heute von den meisten großen Web-E-Mail-Sites und vielen anderen Seiten eingesetzten Authentifizierungsverfahren. Sites wie Yahoo Mail, Gmail und Microsofts Hotmail nutzen Captcha, um sicherzustellen, dass nur Personen und nicht etwa Bots Accounts erhalten oder Beiträge posten können.
Das war einmal
Im Januar 2008 wurde Yahoo Mails Captcha geknackt, im April erwischte es Gmail und Hotmail. Und von da an ging es mit dem offenbar nicht mehr ganz zeitgemäßen Authentifizierungsverfahren bergab.
Mittlerweile sind Programme im Internet verfügbar, mit denen sich Angriffe via Captcha auch ohne spezielles Know-how automatisieren lassen. Spam, Malware beziehungsweise anonyme Online-Attacken kamen an den Captchas vorbei.
Und nicht nur kostenlose E-Mail-Sites lassen sich damit beeinträchtigen. Wie John Nagle, Gründer von Sitetruth (einer Web-Seite, die Schwindelfirmen und ihre Sites entlarvt), Ende Mai auf Techdirt schrieb, haben Spammer bei dem Online-Werbeservice Craiglist, für den E-Werbemüll bislang ein eher geringfügiges Ärgernis war, seit diesem Jahr Oberwasser.
Demnach versucht Craiglist zwar, die Spamming-Aktivitäten zu stoppen, indem es zum einen nach exzessiven, von einer einzelnen IP-Adresse ausgehenden Posts forscht, zum anderen nur Nutzern mit gültiger E-Mail-Adresse erlaubt, sich zu registrieren. Ferner soll ein Captcha automatisierte Posting-Tools außer Gefecht setzen. Auch haben User die Möglichkeit, Postings, die sie für Spam halten, entsprechend zu kennzeichnen.
Tools hebeln Schutz aus
Laut Nagle lassen sich diese kleinen Hindernisse für den Massenversand mit einer Reihe kommerzieller, im Internet erhältlicher Produkte jedoch leicht aus dem Weg räumen. Zu erwähnen sei in diesem Kontext etwa das "CL Auto Posting Tool", das nicht nur automatisch an Craiglist poste, sondern jegliche Antispam-Mechanismen der Site ausheble. Darüber hinaus gebe es Desktop-Produkte wie "AdBomber" und "AdMaster" oder - speziell für E-Müll-Versender, die den Serviceorientierten Ansatz bevorzugten, - "ItsYourPost".
Mit Power-Tools wie diesen sei es Spammern gelungen, den Craiglist-Schutzwall zu durchbrechen. "Einige Kategorien auf der Craiglist-Site bestehen mittlerweile zu 90 Prozent aus Spam: allen voran der Personalbereich, gefolgt von Services und vor kurzem Job-Postings", schreibt Nagle. Und man muss dafür nicht einmal Geld ausgeben - es werden auch kostenlose Captcha-Cracker angeboten.
Anhaltendes Duell
Craiglist schlägt zurück - und setzt bei bestimmter Werbung neuerdings auf Verifizierung via Telefon. Im Gegenzug arbeiten Cracker bereits an einer Methode, den telefonischen Schutzwall des Service zu überwinden. Wer aus dem Kampf als Sieger hervorgehen wird, bleibt abzuwarten. Allerdings stellt sich angesichts der steigenden Kosten für diese Art von Gegenwehr die Frage, wie der kostenlose Dienst mit seinem Geschäftsmodell auf Dauer überleben will.
Bösartige elektronische Post ist aber offenbar nicht das einzige Problem, das geknackte Captchas mit sich bringen. So will MessageLabs bereits Spammer beobachtet haben, die, nachdem sie die Captchas von Gmail und Hotmail ausgehebelt haben, weitere Techniken ausnutzen. Laut Paul Wood, Analyst bei dem auf E-Mail-Security spezialisierten Dienstleister, missbrauchen E-Schrott-Versender etwa Google Docs, um Spam-Inhalte zu kreieren, und versehen die Spam-Mail mit einem Link, um herkömmliche Antispam-Techniken zu umgehen, die sich darauf stützen, bekannte Spam-Domains in URLs zu identifizieren.
Auch Social Networks sind betroffen
Nutzer von sozialen Online-Netzen sind ebenfalls anfällig für Attacken, die von Captcha-kompromittierten Sites ausgehen, klärt Stephen Chenette, Manager Security Research bei Websense Security Labs, auf. "Die jüngere Generation verwendet nicht mehr E-Mail als Kommunikationsmittel, sondern Social Networks." Deren Nutzer seien nicht allzu besorgt, was die Preisgabe ihrer persönlichen Informationen in sozialen Netzen oder Blogs betrifft, wo sie posten statt Mails zu verschicken. Chenette zufolge reagieren Angreifer auf dieses Verhalten, indem sie eigene öffentliche Blogs oder Accounts einrichten, um darüber bösartige Links zu veröffentlichen. "Sie nutzen das Vertrauen der Community-Mitglieder aus, um sie für Bot-Netze und Ähnliches zu missbrauchen." Social Networks böten demnach eine enorme Angriffsfläche. Da sich ihre User nicht annähernd für so verwundbar hielten wie etwa Mail- oder IM-Anwender, seien sie besonders leicht auszunutzen, warnt der Sicherheitsforscher.
Einen weiteren neuen Angriffsvektor - die Möglichkeit, schnell Websites zu fälschen - brachte der Kollaps der Captcha-Authentifizierung selbst mit sich. Laut Chenette holen sich diese Fake-Sites ihre Inhalte via Copy and Paste von legitimen Web-Seiten, um ihre Suchmaschinenergebnisse und -reputation zu optimieren und sich so rasch ein Publikum zu verschaffen. "Reputation ist für Angreifer der letzte Schrei: Aus Sicht der Suchmaschine kommt es auf den Content an. Hacker ziehen Site-Inhalte ab und betten sie in ihre Seiten ein, was ihnen zu einem hohen Suchmaschinen-Ranking - und damit zu besserer Reputation verhilft", beschreibt der Experte ein inzwischen häufig zu beobachtendes Phänomen. Das "Search Engine Poisoning" sei zwar nichts Neues, aktuell würden jedoch gezielt Reputation-Sites (wie etwa Digg) mit Captcha-Authentifizierung angepeilt, berichtet Chenette.
Hat Captcha noch Zukunft?
Aus Sicht von MessageLabs-Manager Wood sind die Tage gegenwärtiger Captcha-Systeme gezählt: Schon heute sei es schwierig, sie erfolgreich zu nutzen - zudem gerieten sie immer mehr unter Druck von Seiten der Spammer. Der Experte hält es für möglich, dass schon zu Beginn kommenden Jahres neue Techniken eingeführt werden, um die bestehenden Captcha-Modelle abzulösen.
Was ist ein Captcha?
Captchas (Completely Automated Public Turing-Test to Tell Computers and Humans Apart) sollen sicherstellen, dass nur Menschen und keine ferngesteuerten Bots bestimmte Services im Internet nutzen können. Sie werden verwendet, um etwa automatisierten Spam in Social Networks, Foren und Kontaktformularen abzuwehren. Dabei weist das meist bildbasierende Captcha eine Zeichenkombination auf, die der Nutzer in ein dafür vorgesehenes Feld eingegeben muss. Nach Absenden des Formulars wird diese Kombination durch das Script überprüft. Entspricht es der tatsächlichen Zahl, so lässt sich der Eintrag speichern.
Sein Kollege Chenette geht hier noch weiter: "Mit Captcha ist es bereits seit eineinhalb Jahren vorbei." Die Technik sei nicht wirklich vorangeschritten, und sowohl bildbasierende als auch akustische Captchas ließen sich mit Hilfe von Hacker-Programmen leicht knacken. Ein grundsätzliches Problem, für das es dem Forscher zufolge keine einfache und für alle passende Lösung geben wird. "Jede Site wird ihre eigene Antwort finden müssen", meint Chenette. Dies werde im Finanzsektor mit Sicherheit schwieriger sein als etwa bei einer Social-Networking-Site. (kf)