111540

Wiegt Captcha Internet-Nutzer in falsche Sicherheit?

17.09.2008 | 10:01 Uhr |

Lange Zeit war Captcha mit seinen verformten und verfremdeten Buchstaben eine effektive Methode, um Internet-Nutzern das sichere Einloggen in Webseites zu ermöglichen. Inzwischen wurde es von Hackern entdeckt.

Das Captcha-Verfahren (Completely Automated Public Turing Test to Tell Computers and Humans Apart) wurde aus einer ebenso einfachen wie häufigen Notwendigkeit geboren: Man hat einen Weg gesucht, echte – sprich menschliche – Internet-Nutzer von Crawlern und Web-Robotern auseinander zu halten. Das ist notwendig, um beispielsweise sicher zu stellen, dass nur echte Nutzer E-Mail-Accounts generieren können oder Zugang in Social-Networking-Sites bekommen.

Forscher der renommierten amerikanischen Carnegie Mellon University entwickelten hierfür eine Methode, die mittlerweile fast jedem Internet-Nutzer vertraut sein dürfte. Eine Folge von Zahlen und Buchstaben wird so verdreht, durchgestrichen und farblich verfremdet, dass nur das menschliche Auge die Buchstaben und Zahlen erkennen kann, aber keine Maschine. Große Sites wie Yahoo oder Google haben das Verfahren mit Erfolg eingesetzt – bis Anfang dieses Jahres.

Im Januar gab es bei Yahoo Mail den ersten Vorfall geknackter Captcha-Codes, im April folgten Google Mail und Hotmail . Inzwischen ist es nichts besonderes mehr, Captcha zu knacken. Programme hierfür sind im Internet zu finden. Und damit ist es möglich, mit Captcha vermeintlich geschützte Websites für den Versand von Malware und Spam zu missbrauchen oder sie zu attackieren.

Überwindbares Hindernis für Spammer

Prominentes Opfer war zuletzt auch die in de USA äußerst populäre Craigslist, eine der ersten und erfolgreichsten Websites für Kleinanzeigen. Wie John Nagle, Betreiber von SiteTruth , aufgedeckt hat, wird Craigslist seit einiger Zeit im großen Stil von Spammern missbraucht . Die Betreiber von Craigslist reagierten auf die Plage dadurch, dass sie jetzt die von einer einzelnen IP-Adresse ausgehenden Posts überwachen und nur Nutzern mit gültiger E-Mail-Adresse eine Registrierung erlauben. Zudem werden automatische Posting-Tools bekämpft und User werden aufgefordert, verdächtige Postings zu melden und zu kennzeichnen.

Laut John Nagle sind all diese Maßnahmen für gewiefte Spammer keine wirklichen Hindernisse. Auch sie lassen sich mit im Internet erhältlichen Programmen überwinden. Da wäre zum Beispiel das "CL Auto Posting Tool", das automatisch an Craigslist poste und zudem jegliche Antispam-Mechanismen der Site aushebeln kann. Darüber hinaus gebe es Desktop-Produkte wie "AdBomber" und "AdMaster" oder - speziell für E-Müll-Versender, die den serviceorientierten Ansatz bevorzugten, - "ItsYourPost". Die Situation bei Craigslist war zwischenzeitlich so schlimm, dass laut Nagle einige Produktkategorien bis zu 90 Prozent aus Spam bestünden. Vor allem der Bereich private Anzeigen waren betroffen, gefolgt von Services und vor kurzem Job-Postings.

Craigslist weiß sich inzwischen nicht anders zu helfen, als bei bestimmter Werbung auf Verifizierung via Telefon zu setzen. Derweil arbeiten Cracker an Methoden, auch diesen Schutzwall des Service zu überwinden. Wer aus dem Kampf als Sieger hervorgehen wird, bleibt abzuwarten. Allerdings stellt sich angesichts der steigenden Kosten für diese Art von Gegenwehr die Frage, wie der kostenlose Dienst mit seinem Geschäftsmodell auf Dauer überleben will.

0 Kommentare zu diesem Artikel
111540