Authentifizierung

Hat CAPTCHA ausgedient?

16.07.2008
Von Katharina Friedmann

Auch Social Networks sind betroffen

Nutzer von sozialen Online-Netzen sind ebenfalls anfällig für Attacken, die von CAPTCHA-kompromittierten Sites ausgehen, klärt Stephen Chenette, Manager Security Research bei Websense Security Labs, auf. "Die jüngere Generation nutzt nicht mehr E-Mail als Kommunikationsmittel, sondern Social Networks." Deren Nutzer seien nicht allzu besorgt, was die Preisgabe ihrer persönlichen Informationen in sozialen Netzen oder Blogs betrifft, wo sie posten statt Mails zu verschicken. Chenette zufolge reagieren Angreifer auf dieses Verhalten, indem sie eigene öffentliche Blogs oder Accounts einrichten, um darüber bösartige Links zu veröffentlichen. "Sie nutzen das Vertrauen der Community-Mitglieder aus, um sie für Bot-Netze und ähnliches zu missbrauchen." Social Networks böten demnach eine enorme Angriffsfläche. Da sich ihre User für nicht annähernd so verwundbar hielten wie etwa Mail- oder IM-Nutzer, seien sie besonders leicht auszunutzen, warnt der Sicherheitsforscher.

Einen weiteren neuen Angriffsvektor - die Möglichkeit, schnell Websites zu fälschen - brachte der Kollaps der CAPTCHA-Authentifizierung selbst mit sich. Laut Chenette holen sich diese Fake-Sites ihre Inhalte via Copy & Paste von legitimen Web-Seiten, um ihre Suchmaschinenergebnisse und -Reputation zu optimieren und sich so rasch ein Publikum zu verschaffen. "Reputation ist für Angreifer der letzte Schrei: Aus Sicht der Suchmaschine kommt es auf den Content an. Hacker ziehen Site-Inhalte ab und betten sie in ihre Seiten ein, was ihnen zu einem hohen Suchmaschinen-Ranking - und damit zu besserer Reputation verhilft", beschreibt der Experte ein inzwischen häufig zu beobachtendes Phänomen. Das "Search Engine Poisoning" sei zwar nichts Neues, aktuell würden jedoch gezielt Reputation-Sites (wie etwa Digg) mit CAPTCHA-Authentifizierung angepeilt, berichtet Chenette.

Hat CAPTCHA noch Zukunft?

Aus Sicht von MessageLabs-Manager Wood sind die Tage gegenwärtiger CAPTCHA-Systeme gezählt: Schon heute sei es schwierig, sie erfolgreich zu nutzen - zudem gerieten sie immer mehr unter Druck von Seiten der Spammer. Der Experte hält es für möglich, dass schon zu Beginn kommenden Jahres neue Techniken eingeführt werden, um die bestehenden CAPTCHA-Modelle abzulösen.

Sein Kollege Chenette geht hier noch weiter: "Mit CAPTCHA ist es bereits seit eineinhalb Jahren vorbei." Die Technik sei nicht wirklich vorangeschritten, und sowohl Print- als auch Audio-CAPTCHAs ließen sich mit Hilfe von Hacker-Programmen leicht knacken. Ein grundsätzliches Problem, für das es dem Forscher zufolge keine einfache und für alle passende Lösung geben wird. "Jede Site wird ihre eigene Antwort finden müssen", meint Chenette. Dies werde im Finanzsektor mit Sicherheit schwieriger sein als etwa bei einer kostenlosen Social-Networking-Site. (kf)