Lassen Sie uns damit beginnen, woher das Wort „Captcha“ stammt. Captcha ist ein Akronym und steht für Completely Automated Public Turing test to tell Computers and Humans Apart. Die Idee hinter der Captcha-Technologie (so wie hinter dem ursprünglichen Turing-Test) ist einfach: es ist ein Test, den Menschen bestehen können, Online-Bots allerdings nicht. Captcha benutzt üblicherweise ein Bild eines verzerrten Textes, den man eingeben muss, um zu verifizieren, dass man kein Computer ist.
Die Captcha-Technologie ist deshalb so wichtig, weil sie einfachen und praktischen Schutz für eine Vielfalt verschiedener Dinge gewährleistet: Sie bietet Schutz beim Anmelden auf Webseiten, verhindert Spamkommentare auf Blogs, stellt sicher, dass nur reale Personen an Onlineumfragen teilnehmen und vieles mehr. Ohne die Captcha-Technologie könnten Spammer diese Situation auszunutzen, indem sie zahlreiche Accounts erstellen, eine irrwitzige Anzahl an Kommentaren hinterlassen oder unbegrenzt oft in derselben Umfrage abstimmen.
Die erste Captcha-Version war für Computer relativ einfach zu umgehen. Es kam zu einem regelrechten Wettkampf zwischen Hackern und Captcha-Entwicklern. Sobald die Hacker eine neue Version bezwangen, brachten die Captcha-Entwickler wiederum eine neuere und noch bessere Version heraus.
"Google's ReCaptcha is simplest way of getting rid of bots. No math problems required!" @jgamboa #WPEProTip pic.twitter.com/bPOegSbmbz
— WP Engine (@wpengine) April 14, 2016
An einem gewissen Punkt kam Google ins Spiel und veröffentlichte reCAPTCHA, dass heutzutage inoffiziell als Captcha-Standard angesehen wird. Es benutzt nicht nur verzerrte Texte, sondern auch Bilder, und es wird angenommen, dass es einer der stärksten Captcha-Services ist. Die reCAPTCHA-Technologie wird sowohl von Google selbst, als auch von Facebook und vielen anderen Webseiten als Schutzmaßnahme gegen Spam und Missbrauch verwendet. Tatsächlich ist reCAPTCHA der meistgenutzte Captcha-Anbieter weltweit.
Leider scheint es so, als sei diese Technologie vielleicht doch nicht so sicher, wie man einst dachte.
Sicherheitsexperten der Columbia University haben Sicherheitsschwachstellen in der reCAPTCHA-Technologie von Google entdeckt, die Hackern die Möglichkeit bieten, die Risikoanalyse zu beeinflussen, Einschränkungen zu umgehen und Angriffe im großen Stil zu starten.
Googles reCAPTCHA-Technologie von Sicherheitsexperten bezwungen
Tweet
Die Forscher gaben an, dass es ihnen gelungen war, eine Low-Cost-Angriffsmethode zu entwickeln, die erfolgreich mehr als 70 Prozent der reCAPTCHA-Bilder erkannte, wobei jeder einzelne Versuch im Durchschnitt nur 19 Sekunden dauerte. Sie wendeten dieses System ebenfalls auf das Facebook-Bilder-Captcha an und erzielten eine Trefferquote von 83,5 Prozent. Die höhere Trefferquote bei Facebook ist vermutlich auf die bessere Bildauflösung zurückzuführen.
Das System verwendete Techniken, die es ermöglichten Cookies und Token zu umgehen und nutzte maschinelles Lernen, um die Bilder richtig zu bestimmen. Paradoxerweise basiert diese Methode um reCAPTCHA zu täuschen auf der Google-Funktion Umgekehrte Bildersuche. Allerdings funktioniert sie auch offline.
„Nichtsdestotrotz ist unser Offlinesystem zur Captcha-Umgehung sowohl was die Treffergenauigkeit als auch was die Angriffsdauer betrifft mit einem professionellen Service vergleichbar. Zudem bietet es den zusätzlichen Vorteil, dass keine Kosten für den Angreifer entstehen“. Dies erklärten die Forscher und betonten die Einfachheit und Rentabilität dieses speziellen Angriffes.
Bevor die Ergebnisse veröffentlicht wurden, wiesen die Forscher Google und Facebook auf die Sicherheitsschwachstelle hin. Google reagierte nach Angaben der Forscher mit Bemühungen, die Sicherheit von reCAPTCHA zu verbessern; Facebook scheint dagegen keine Schritte zur Verbesserung unternommen zu haben.
Best captcha I've seen for a while. pic.twitter.com/tVvbwjmTLC
— Siddharth Vadgama (@siddvee) April 12, 2016
Die Forscher glauben, dass Hacker leicht 1,50 EUR für 1000 erkannte Captchas verlangen könnten und somit täglich über 80 EUR verdienen könnten. Dies könnten sie sogar steigern, wenn sie gleichzeitig Mehrfachangriffe starten oder zusätzliche Techniken benutzen würden.
Die Untersuchung zeigt, dass es in der Welt der Cybersicherheit noch viel zu tun gibt, bietet aber auch vielen Unternehmen, wie Google, die Gelegenheit sich zu verbessern und aktiver auf seine aktuellen Sicherheitsvorkehrungen zu achten. Google hat bereits Interesse daran gezeigt, seine Sicherheitsvorkehrungen zu verstärken. Hoffentlich sind die anderen Websites nicht allzu weit davon entfernt.