# taz.de -- Captchas und IT-Sicherheit: Kannst Du mich lesen? | |
> "Bitte geben Sie hier das Wort ein, das im Bild angezeigt wird": Viele | |
> Leserkommentatoren sind von Captchas genervt. Dabei dienen sie der | |
> Sicherheit. Meistens zumindest. | |
Bild: Ein taz-Captcha, und was für ein Schönes! | |
Sie sind allgegenwärtig: Egal ob man ein neues E-Mail-Konto anlegen, eine | |
Freundschaftsanfrage auf StudiVZ stellen oder einen Leserkommentar auf | |
taz.de hinterlassen will – immer wieder stößt man auf die Aufforderung | |
"Bitte geben Sie hier das Wort ein, das im Bild angezeigt wird". | |
"Captchas" heißen diese kleinen Zugangsschranken, die in den letzten Jahren | |
ihren Siegeszug im Web angetreten haben. Mittlerweile gehört es zu den | |
Grundqualifikationen der Websurfer bis fast zur Unkenntlichkeit verzerrte | |
Buchstabenfolgen abzutippen, Worte mehr zu erahnen als zu lesen oder sogar | |
kleine Rechenaufgaben zu lösen. Mit den Mini-Denkaufgaben soll der Surfer | |
beweisen, dass er aus Fleisch und Blut ist. | |
Dieser Nachweis ist wichtig: denn schon heute bevölkern Millionen von | |
Zombie-Rechnern das Netz, die – unbemerkt von ihren Besitzern – ein | |
Eigenleben entwickeln. Mit Hilfe von Schadprogrammen öffnen [1][kriminelle | |
Banden] eine Hintertür zum heimischen PC, um ihn für sich arbeiten zu | |
lassen. Sie versenden Spam-Nachrichten, klauen Passwörter oder versenden | |
Freundschaftsanfragen in sozialen Netzwerken, um neue Nutzer mit | |
Schadprogrammen zu infizieren. | |
Selbst die Politik hat die Gefahr bereits erkannt: "Botnetze stellen | |
aktuell die virulenteste Gefährdung für das Internet sowie die | |
angeschlossenen Infrastrukturen dar“, erklärte Bundesinnenminister Thomas | |
de Maizière anlässlich der Eröffnung einer Anti-Botnet-Initiative, in die | |
die Bundesregierung zwei Millionen Euro investierte. | |
Mensch oder Maschine? | |
Ein Mittel Botnetze zu bekämpfen ist es, die Rechner von den | |
Schadprogrammen zu befreien. Der andere Ansatz besteht darin, die | |
besonderen schadensträchtigen Bereiche gegen die Botnetze abzusichern. Wenn | |
ein Zombie-Rechner zum Beispiel einen neuen Mail-Account anlegen kann, | |
versendet er Hunderte oder gar Tausende von Spam-Nachrichten, bevor er | |
abgeschaltet werden kann. Also sichert heute fast jeder kostenlose | |
E-Mail-Service oder Foren-Betreiber seine Dienste über Captchas ab. Bots | |
sind nicht willkommen. | |
Der Trick dabei: Bisher ist das menschliche Gehirn bei der Mustererkennung | |
unerreicht. Verzerrte und durchgestrichene Buchstaben erkennt der | |
menschliche Surfer in der Regel schnell – für Computerprogramme ist es | |
jedoch kaum möglich, hinter den Pixelhaufen einen lesbaren Text zu | |
erkennen. Selbst modernste Texterkennungs-Programme scheitern an trivial | |
erscheinenden Hindernissen wie umgedrehten Buchstaben oder | |
unterschiedlichen Schriftarten. | |
Einer der bekanntesten Captcha-Dienste wurde von der Carnegie Mellon | |
University in Pittsburgh entwickelt und 2009 von Google übernommen. | |
[2][http://recaptcha.net/][3][ReCaptcha] kombiniert gleich zwei | |
Anwendungen: auf der einen Seite dient der Dienst als Abwehr gegen Spammer | |
und Schadprogramme – auf der anderen Seite nutzt er die Erkennungsleistung | |
des menschlichen Gehirns zu einem guten Zweck. Die Textschnipsel, die | |
ReCaptcha den Websurfern vorsetzt, stammen aus verschiedenen | |
Digitalisierungsprojekten. Wenn zum Beispiel die Google-Algorithmen | |
Schwierigkeiten haben, einen Artikel der New York Times von 1890 korrekt zu | |
erkennen, landen die entsprechenden Textstellen bei ReCaptcha, um von | |
Nutzern identifiziert zu werden. Dabei kombiniert ReCaptcha ein bereits | |
erkanntes Wort mit einem noch nicht entzifferten Text. Stimmt der bekannte | |
Teil überein, gewährt das System dem Nutzer Zugang. | |
"Die Annahme basiert natürlich darauf, dass die Angreifer kein besseres | |
Texterkennungs-System als Google haben", erklärt der IT-Sicherheitsforscher | |
Manuel Egele vom [4][//www.iseclab.org/%E2%80%9C:International Secure | |
Systems Lab] gegenüber taz.de. Doch mittlerweile haben sich die Spammer auf | |
dieses Hindernis eingeschossen. Obwohl ReCaptcha die Textfragmente | |
künstlich verzerrt und zuweilen auch menschlichen Lesern Probleme bereitet, | |
scheint das Mittel nicht mehr vollständig gegen Botnetze zu helfen. | |
So schafften es Forscher [5][in einer Sicherheitsanalyse] von sozialen | |
Netzwerken vier bis sieben Prozent der Captchas automatisiert zu erkennen. | |
Die geringe Quote reicht Spammern aus. Selbst mit einem relativ kleinen | |
Botnetz von 10.000 Rechnern hätten die Forscher so 70.000 | |
Freundschaftsanfragen pro Tag generieren können. | |
Auch in der freien Wildbahn werden die Captchas immer wieder von | |
kombinierten Attacken überrannt. "Als es Berichte gab, dass Googles Captcha | |
System, das sie für Gmail verwendeten, geknackt wurde, gab es einen | |
spürbaren Anstieg an Spam-E-Mails von Gmail-Addressen", erklärt Egele. Auch | |
Forenbetreiber beklagten Ende Dezember regelrechte Spam-Wellen trotz | |
aktiviertem ReCaptcha-Schutz. Für Google jedoch war das kein Grund am | |
System insgesamt zu zweifeln: stattdessen legte ReCaptcha die Latte etwas | |
höher: So sind die Captchas heute noch schwerer zu lesen. Wann auch die | |
Mustererkennung des menschlichen Hirns versagt, scheint nur noch eine Frage | |
der Zeit. | |
18 Feb 2011 | |
## LINKS | |
[1] /1/netz/netzgeraete/artikel/1/kannibalistische-botnetze/ | |
[2] http://recaptcha.net/ | |
[3] http://recaptcha.net/ | |
[4] http://typo3/%E2%80%9Chttp | |
[5] http://iseclab.org/papers/www-socialnets.pdf | |
## AUTOREN | |
Torsten Kleinz | |
## ARTIKEL ZUM THEMA |