 |
# taz.de -- Captchas und IT-Sicherheit: Kannst Du mich lesen? |
|
|
|
> "Bitte geben Sie hier das Wort ein, das im Bild angezeigt wird": Viele |
|
> Leserkommentatoren sind von Captchas genervt. Dabei dienen sie der |
|
> Sicherheit. Meistens zumindest. |
|
|
 |
Bild: Ein taz-Captcha, und was für ein Schönes! |
|
|
|
Sie sind allgegenwärtig: Egal ob man ein neues E-Mail-Konto anlegen, eine |
|
Freundschaftsanfrage auf StudiVZ stellen oder einen Leserkommentar auf |
|
taz.de hinterlassen will – immer wieder stößt man auf die Aufforderung |
|
"Bitte geben Sie hier das Wort ein, das im Bild angezeigt wird". |
|
|
|
"Captchas" heißen diese kleinen Zugangsschranken, die in den letzten Jahren |
|
ihren Siegeszug im Web angetreten haben. Mittlerweile gehört es zu den |
|
Grundqualifikationen der Websurfer bis fast zur Unkenntlichkeit verzerrte |
|
Buchstabenfolgen abzutippen, Worte mehr zu erahnen als zu lesen oder sogar |
|
kleine Rechenaufgaben zu lösen. Mit den Mini-Denkaufgaben soll der Surfer |
|
beweisen, dass er aus Fleisch und Blut ist. |
|
|
|
Dieser Nachweis ist wichtig: denn schon heute bevölkern Millionen von |
|
Zombie-Rechnern das Netz, die – unbemerkt von ihren Besitzern – ein |
|
Eigenleben entwickeln. Mit Hilfe von Schadprogrammen öffnen [1][kriminelle |
|
Banden] eine Hintertür zum heimischen PC, um ihn für sich arbeiten zu |
|
lassen. Sie versenden Spam-Nachrichten, klauen Passwörter oder versenden |
|
Freundschaftsanfragen in sozialen Netzwerken, um neue Nutzer mit |
|
Schadprogrammen zu infizieren. |
|
|
|
Selbst die Politik hat die Gefahr bereits erkannt: "Botnetze stellen |
|
aktuell die virulenteste Gefährdung für das Internet sowie die |
|
angeschlossenen Infrastrukturen dar“, erklärte Bundesinnenminister Thomas |
|
de Maizière anlässlich der Eröffnung einer Anti-Botnet-Initiative, in die |
|
die Bundesregierung zwei Millionen Euro investierte. |
|
|
|
Mensch oder Maschine? |
|
|
|
Ein Mittel Botnetze zu bekämpfen ist es, die Rechner von den |
|
Schadprogrammen zu befreien. Der andere Ansatz besteht darin, die |
|
besonderen schadensträchtigen Bereiche gegen die Botnetze abzusichern. Wenn |
|
ein Zombie-Rechner zum Beispiel einen neuen Mail-Account anlegen kann, |
|
versendet er Hunderte oder gar Tausende von Spam-Nachrichten, bevor er |
|
abgeschaltet werden kann. Also sichert heute fast jeder kostenlose |
|
E-Mail-Service oder Foren-Betreiber seine Dienste über Captchas ab. Bots |
|
sind nicht willkommen. |
|
|
|
Der Trick dabei: Bisher ist das menschliche Gehirn bei der Mustererkennung |
|
unerreicht. Verzerrte und durchgestrichene Buchstaben erkennt der |
|
menschliche Surfer in der Regel schnell – für Computerprogramme ist es |
|
jedoch kaum möglich, hinter den Pixelhaufen einen lesbaren Text zu |
|
erkennen. Selbst modernste Texterkennungs-Programme scheitern an trivial |
|
erscheinenden Hindernissen wie umgedrehten Buchstaben oder |
|
unterschiedlichen Schriftarten. |
|
|
|
Einer der bekanntesten Captcha-Dienste wurde von der Carnegie Mellon |
|
University in Pittsburgh entwickelt und 2009 von Google übernommen. |
|
[2][http://recaptcha.net/][3][ReCaptcha] kombiniert gleich zwei |
|
Anwendungen: auf der einen Seite dient der Dienst als Abwehr gegen Spammer |
|
und Schadprogramme – auf der anderen Seite nutzt er die Erkennungsleistung |
|
des menschlichen Gehirns zu einem guten Zweck. Die Textschnipsel, die |
|
ReCaptcha den Websurfern vorsetzt, stammen aus verschiedenen |
|
Digitalisierungsprojekten. Wenn zum Beispiel die Google-Algorithmen |
|
Schwierigkeiten haben, einen Artikel der New York Times von 1890 korrekt zu |
|
erkennen, landen die entsprechenden Textstellen bei ReCaptcha, um von |
|
Nutzern identifiziert zu werden. Dabei kombiniert ReCaptcha ein bereits |
|
erkanntes Wort mit einem noch nicht entzifferten Text. Stimmt der bekannte |
|
Teil überein, gewährt das System dem Nutzer Zugang. |
|
|
|
"Die Annahme basiert natürlich darauf, dass die Angreifer kein besseres |
|
Texterkennungs-System als Google haben", erklärt der IT-Sicherheitsforscher |
|
Manuel Egele vom [4][//www.iseclab.org/%E2%80%9C:International Secure |
|
Systems Lab] gegenüber taz.de. Doch mittlerweile haben sich die Spammer auf |
|
dieses Hindernis eingeschossen. Obwohl ReCaptcha die Textfragmente |
|
künstlich verzerrt und zuweilen auch menschlichen Lesern Probleme bereitet, |
|
scheint das Mittel nicht mehr vollständig gegen Botnetze zu helfen. |
|
|
|
So schafften es Forscher [5][in einer Sicherheitsanalyse] von sozialen |
|
Netzwerken vier bis sieben Prozent der Captchas automatisiert zu erkennen. |
|
Die geringe Quote reicht Spammern aus. Selbst mit einem relativ kleinen |
|
Botnetz von 10.000 Rechnern hätten die Forscher so 70.000 |
|
Freundschaftsanfragen pro Tag generieren können. |
|
|
|
Auch in der freien Wildbahn werden die Captchas immer wieder von |
|
kombinierten Attacken überrannt. "Als es Berichte gab, dass Googles Captcha |
|
System, das sie für Gmail verwendeten, geknackt wurde, gab es einen |
|
spürbaren Anstieg an Spam-E-Mails von Gmail-Addressen", erklärt Egele. Auch |
|
Forenbetreiber beklagten Ende Dezember regelrechte Spam-Wellen trotz |
|
aktiviertem ReCaptcha-Schutz. Für Google jedoch war das kein Grund am |
|
System insgesamt zu zweifeln: stattdessen legte ReCaptcha die Latte etwas |
|
höher: So sind die Captchas heute noch schwerer zu lesen. Wann auch die |
|
Mustererkennung des menschlichen Hirns versagt, scheint nur noch eine Frage |
|
der Zeit. |
|
|
|
18 Feb 2011 |
|
|
|
## LINKS |
|
|
 |
[1] /1/netz/netzgeraete/artikel/1/kannibalistische-botnetze/ |
|
[2] http://recaptcha.net/ |
|
[3] http://recaptcha.net/ |
|
[4] http://typo3/%E2%80%9Chttp |
|
[5] http://iseclab.org/papers/www-socialnets.pdf |
|
|
|
## AUTOREN |
|
|
|
Torsten Kleinz |
|
|
|
## ARTIKEL ZUM THEMA |
