Emsisoft Sicherheitswissen: Die dunkle Seite des CAPTCHAs


captcha

CAPTCHAs, sind diese verunstalteten Wortschnipsel, die Sie bei diversen Formularen und Foren im Internet ausfüllen müssen. Der Name kommt aus dem Englischen und steht für die Bezeichnung „Completely Automated Public Turing tests to tell Computers and Humans Apart“, also vollautomatisierte Tests um Mensch und Maschine zu unterscheiden.

CAPTCHAs erfreuen sich besonders bei stark frequentierten Websiten und gratis Email-Anbietern wie Google und Yahoo,  höchster Beliebtheit, um großangelegte Spam-Angriffe zu vereiteln.

CAPTCHAs funktionieren deswegen so gut, weil Computer mit den stark modifizierten Buchstaben nicht so viel anfangen können, wie wir Sehende. Genaugenommen sind CAPTCHAs somit das Gegenteil eines Turing Tests, weil sie (umgekehrt) beweisen wodurch sich ein Computer von einem Menschen unterscheidet (z.B. das Fehlen der Augen).

Bevor CAPTCHAs flächendeckend zur Spam-Bekämpfung eingesetzt wurden, konnten sich Übeltäter mit technischer Unterstützung und ein paar Zeilen Code auf einen Schlag für Tausende gratis Email-Konten registrieren und als scheinbar legitimer Kontobenutzer automatisierte Kommentare mit Spam-Inhalten in Foren oder Blogs einschleusen.

Man geht heutzutage davon aus, dass derlei Praktiken durch den Einsatz von vermeintlich sicheren CAPTCHAs nicht mehr relevant sind, doch der Schein trügt. 

Die Goldgrube namens CAPTCHA

Es existiert tatsächliche eine (nicht ganz untergründige) CAPTCHA-Entschlüsselungs-Wirtschaft im Untergrund. CAPTCHAs sind überall, und so hat die steigende Nachfrage, diese möglichst effizient zu umgehen, dazu geführt, dass entsprechende Dienstleister wie Unkraut aus dem Boden sprossen.

Eine zugehörige Studie der „University of California“, in San Diego, beschäftigte sich mit den wirtschaftlichen  Auswirkungen des Phänomäns. In der Publikation „Re: CAPTCHAs — Understanding CAPTCHA-Solving Services in an Economic Context„, zu Deutsch: „Die Antwort auf das CAPTCHA, der wirtschaftliche Hintergrund der CAPTCHA-Entschlüsselungs-Dienstleister“, bietet guten Lesestoff für alle, die sich gerne tiefer mit dem Computer-Wettrüsten der Sicherheitsindustrie auseinandersetzen möchten.

Obwohl Hacker sich hochentwickelter Worterkennungs-Software (sogenannte „OCR“-Software) bedienen, die das menschliche Auge sehr gut imitieren können, soll den Studienergebnissen nach immer noch die gute alte Handarbeit vorgezogen werden: Arbeitskräfte in der Dritten Welt scheinen nach wie vor kosteneffizienter (wenngleich ethisch noch weniger vertretbar) zu sein…

Warum Texterkennung nicht (ganz so toll) funktioniert

Die Kreation von Software, die ein CAPTCHA genauso wie das menschliche Auge erfassen kann, ist eine titanische Aufgabe. Nicht nur, dass es hochqualifizierte Programmierer erfordert, sondern auch, dass ebendiese Programmierer es vereinbaren können, sehr viel Zeit in die Schaffung eines Programms zu investieren, das einzig der Verbreitung von Spam dient. Leute wie diese existieren, aber sie sind deutlich schwieriger zu finden als verarmte Bürger der Dritten Welt bereit sind, für ein paar Dollar am Tag arbeiten.

Das Knacken eines Text-basierten CAPTCHAs ist wie das Treffen eines beweglichen Ziels und stellt ein zentrales Element in der Computersicherheit dar: Sobald ein Problem gelöst ist, taucht ein weiteres unerwartetes Problem auf. Bei Malware ist es leider oft so, dass üblicherweise die „Bösen“ am längeren Ast sitzen, denn neue Bedrohungen schreien nach neuen Schutzmechanismen. (Das ist übrigens der Gund, warum die Emsisoft Verhaltensanalyse entwickelt wurde). Bei CAPTCHAs sind die Rollen nur etwas vertauscht: Sobald eine effiziente Entschlüsselung von Text-basierten CAPTCHAs vorhanden ist, bemerken dies natürlich auch die Hersteller dieser CAPTCHAs und ändern daraufhin schlichtweg die zugrundeliegenden Algorithmen zur CAPTCHA-Erstellung. Damit wird nur leider auch die neue Texterkennung nutzlos.

Das größte Unternehmen in der Branche, reCAPTCHA, wurde interessanterweise bereits 2009 von Google übernommen. reCAPTCHA setzt auf eine Kombination aus gedrucktem Text und Verunstaltung des Bildes auf mannigfaltige Weise, sodass die üblicherweise 1-2 teiligen Phrasen (meist) nur vom menschlichen Auge entziffert werden können.

Im Verlauf der letzten Jahre gab es viele Texterkennungsprogramme, die behauptet haben, sie könnten auch CAPTCHAs von reCAPTCHA erkennen. Eines der bekanntesten der Liste kommt gebündelt mit einem Suchmaschinen-Optimierungsprogramm namens XRumer. Im October 2013 gab es außerdem Gerüchte darüber, dass eine Texterkennung der Firma Vicarious  angeblich 90% der reCAPTCHA die CAPTCHAs lösen könnte. Während erstgenanntes Programm rein auf schnelles Geld im kleinen Rahmen abziehlt, ist Letztgenanntes ein nachvollziehbares Bestreben von Forschern im Bereich der Künstlichen Intelligenz, die allerdings beide keineswegs so zuverlässig funktionieren wie die menschliche Alternative. 

Plan B: 1000 CAPTCHAs für 1 Dollar

Heute gibt es eine Reihe von Unternehmen , die nur existieren, um CAPTCHAs für angehende Spammer knacken. Sie bedienen sich dazu einer Armee von Arbeitern der Dritten Welt, großteils verarmte Menschen, die gerne am Computer sitzen und CAPTCHAs manuell bis zu 8 Stunden pro Tag lösen.

Eine Liste der größten Anbieter umfasst unter anderem:

Darüber hinaus existieren natürlich Dienstleistungsunternehmen, die es sich zum Ziel gesetzt haben, entsprechendes Personal für obige Unternehmen zu rekrutieren. Als eine der bekanntesten Firmen sei die KolotiBablo.com (Russland) zu nennen.

Während die Ethik rund um diese Entwicklung sehr schwammig scheint, ist die Wirtschaftlichkeit ganz klar. Warum sollte man für teure Technik bezahlen, wenn man bessere Ergebnisse zu einem Bruchteil der Kosten haben kann? So sind die Wege der Welt, und viele der obigen Ausbeuterbetriebe (sogenannte „Sweatshops“) sind schnell, wenn es darum geht sich gegen Kritik zu verteidigen. Eine gern genutzte Strategie ist, dass $ 2-3/Tag mehr als genug seien, um die meisten CAPTCHA-Cracker zu ernähren, und auch ihre Familien. Zwar mag dies der Wahrheit entsprechen, doch lenkt es von der weitaus negativeren, geradezu Roboter-haften und sehr undankbaren Natur des CAPTCHA-Knackens ab: der Spammer in der Ersten Welt reich zu machen.

Noch eine Alternative: CAPTCHA-Bots

CAPTCHAs können auch mit sogenannten Botnets geknackt werden, aber ähnlich wie Texterkennung machen sich auch CAPTCHA botnets nicht wirklich bezahlt. Die Idee hinter einem CAPTCHA-Botnet ist ganz einfach: eine Unmenge an Computern sollen die CAPTCHAs eines C&C-Servers lösen. Dies wurde unter anderem auch beim Wurm Koobface beobachtet, der sich 2009 durch diverse Social-Media-Websiten gearbeitet hat.  Koobface verbreitete sich, indem  bösartige Links zu Webseiten platziert wurden, wo der Wurm in Nachrichten  auf Pinnwänden versteckt heruntergeladen wurde. Dazu waren jedoch gefälschte Konten auf diesen Plattformen nötig; und um an so ein gefälschtes Konto zu gelangen, musste man zunächst ein CAPTCHA lösen können.

Anstelle dessen, auf Captchabot oder Antigate auszulagern, entschieden sich die Entwickler von Koobface, das Problem selbst zu lösen und für das CAPTCHA-Knacken ein Botnetzwerk zu integrieren. Im Zuge einer Infektion, haben Zombie-Rechner wiederholt CAPTCHAs von C&C Servern angefragt, um diese zu lösen. Der Server schickte daraufhin ein CAPTCHA, getarnt als Windows Sicherheitsanfrage, mit einem Countdown zum Herunterfahren des Rechners. Die betroffenen Benutzer waren letztlich gezwungen, schnell die korrekte Lösung bereitzustellen; was wiederum zur Erstellung neuer Benutzerkonten und weiterer Verbreitung des Schädlings führte.

 

Sind CAPTCHAs überhaupt sinnvoll?

CAPTCHAs wurden ursprünglich geschaffen, um einen umgekehrten Turing-Test zu ermöglichen. Wie effektiv dies ist, bestätigt die  Tatsache, dass Spammer lieber Menschen statt Computer zuhilfe nehmen, um sie zu lösen.

Leider sind CAPTCHAs als Anti-Spam-Lösung nicht annähernd so erfolgreich, geschweige denn narrensicher, sondern stellen eher eine finanzielle Barriere dar. Erhebungen der UCSD zufolge war die Nachfrage an CAPTCHA-Lösungen im Jahr 2010 so stark, dass jeder mit lediglich $ 1000 Budget in nur 6.75 Stunden rund 1 Million CAPTCHAs entschlüsseln lassen konnte. Das sind stolze 41 gelöste CAPTCHAs in der Sekunde! 2014 werden die Preise vermutlich weiter sinken und die Zustellzeiten kürzer, zumindest solange bis eine unüberwindbare ökonomische Grenze manueller Arbeit erreicht wurde.

In jedem Fall stellt ein CAPTCHA für einen angehenden Spammer nur eine kleine Betriebsausgabe dar, während am anderen Ende des Tunnels mit diesen finanziellen Mitteln verarmte Menschen in heutigen digitalen Ausbeuterbetrieben die Lebensgrundlage bilden. Zwischen diesen beiden Extremen verbleibt der Rest von uns: der Internet-Benutzer des täglichen Lebens, denen die verzerrten Wortfetzen oft nur eine lästige Geschwindigkeitsbegrenzung auf unserem Weg durch das Internet darstellen.

Wir wünschen einen guten (Malware-freien) Tag!

Senan Conrad

Weitere Artikel