Authentifizierung

Hat CAPTCHA ausgedient?

16.07.2008
Von Katharina Friedmann
Einst diente CAPTCHA Web-Administratoren als einfaches und nützliches Mittel zur Nutzerauthentifizierung. Heute erleichtert das nicht mehr ganz zeitgemäße Verfahren offenbar insbesondere Malware-Schreibern und Spammern ihre Arbeit.

Seinerzeit war "Completely Automated Public Turing Test to Tell Computers and Humans Apart" - kurz: CAPTCHA - eine gute Idee: Dem Nutzer wird eine verschleierte Zeichenkette präsentiert, die er zu "entschlüsseln" und einzugeben hat, um einen E-Mail- oder Social-Network-Account beziehungsweise einen Kommentarzugang bei einem Online-Forum zu erhalten. Nicht viel Aufwand für den User - und wenig Durcheinander für den Web-Administrator.

Aus diesem Grund schaffte CAPTCHA den Sprung von einer relativ obskuren, im Jahr 2000 von Forschern an der US-amerikanischen Carnegie Mellon University perfektionierten Schutzvorkehrung zum heute von den meisten großen Web-E-Mail-Sites und vielen anderen Seiten eingesetzten Authentifizierungsverfahren. Sites wie Yahoo Mail, Googles G-Mail und Microsofts Hotmail nutzen CAPTCHA, um sicherzustellen, dass nur Personen und nicht etwa Bots Accounts erhalten oder Beiträge posten können.

Das war einmal…

Im Januar 2008 wurde Yahoo Mails CAPTCHA geknackt, im April erwischte es GMail und Hotmail. Und von da an ging es mit dem offenbar nicht mehr ganz zeitgemäßen Authentifizierungsverfahren bergab.

Mittlerweile sind Programme im Internet verfügbar, mit denen sich Angriffe via CAPTCHA auch ohne spezielles Know-how automatisieren lassen - erforderlich ist allein der Wunsch, Spam oder Malware zu verbreiten beziehungsweise anonyme Online-Attacken zu lancieren.

Und nicht nur kostenlose E-Mail-Sites lassen sich damit beeinträchtigen. Wie John Nagle, Gründer von SiteTruth (eine Web-Seite, die Schwindelfirmen und ihre Websites entlarvt), Ende Mai auf TechDirt schrieb, haben Spammer bei dem Online-Werbeservice Craiglist, für den E-Werbemüll bislang ein eher geringfügiges Ärgernis war, seit diesem Jahr Oberhand gewonnen.

Demnach versucht Craiglist zwar, die Spamming-Aktivitäten zu stoppen, indem es zum einen nach exzessiven, von einer einzelnen IP-Adresse ausgehenden Posts forscht, zum anderen nur Nutzern mit gültiger E-Mail-Adresse erlaubt, sich zu registrieren. Ferner soll ein CAPTCHA automatisierte Posting-Tools außer Gefecht setzen. Auch haben User die Möglichkeit, Postings, die sie für Spam halten, entsprechend zu kennzeichnen.

Tools hebeln Schutz aus

Laut Nagle lassen sich diese kleinen Hindernisse für den Massenversand mit einer Reihe kommerzieller, im Internet erhältlichen Produkte jedoch leicht aus dem Weg räumen. Zu erwähnen sei in diesem Kontext etwa das "CL Auto Posting Tool", das nicht nur automatisch an Craiglist poste, sondern auch über integrierte Mechanismen verfüge, um jegliche Antispam-Mechanismen der Site auszuhebeln. Darüber hinaus gebe es Desktop-Produkte wie "AdBomber" und "AdMaster" oder - speziell für E-Müll-Versender, die den serviceorientierten Ansatz bevorzugten, - "ItsYourPost".

Mit Power-Tools wie diesen sei es Spammern gelungen, den Craiglist-Schutzwall zu durchbrechen. "Einige Kategorien auf der Craiglist-Site bestehen mittlerweile zu 90 Prozent aus Spam: allen voran der Personal-Bereich, gefolgt von Services und vor kurzem Job-Postings", schreibt Nagle. Und man muss dafür nicht einmal Geld ausgeben - es werden auch kostenlose CAPTCHA-Cracker angeboten.

Craiglist schlägt zurück - und setzt bei bestimmter Werbung neuerdings auf Verifizierung via Telefon. Im Gegenzug arbeiten Cracker bereits an einer Methode, den telefonischen Schutzwall des Service zu überwinden. Wer aus dem Kampf als Sieger hervorgehen wird, bleibt abzuwarten. Allerdings stellt sich angesichts der steigenden Kosten für diese Art von Gegenwehr die Frage, wie der kostenlose Dienst mit seinem Geschäftsmodell auf Dauer überleben will.

Bösartige elektronische Post ist aber offenbar nicht das einzige Problem, das geknackte CAPTCHAs mit sich bringen. So will MessageLabs bereits Spammer beobachtet haben, die, nachdem sie die CAPTCHAs von GMail und Hotmail ausgehebelt haben, weitere Techniken ausnutzen. Laut Paul Wood, Analyst bei dem auf E-Mail-Security spezialisierten Dienstleister, missbrauchen E-Schrott-Versender etwa Google Docs, um Spam-Inhalte zu kreieren, und versehen die Spam-Mail mit einem Link, um herkömmliche Antispam-Techniken zu umgehen, die sich darauf stützen, bekannte Spam-Domains in URLs zu identifizieren.