Sicherheitstool Captcha nahezu wirkungslos

publiziert: Dienstag, 14. Okt 2008 / 08:59 Uhr

Unterschleissheim - Der Autor des Spammer-Tools «XRumer» hat eine neue Version seiner Software auf den Markt gebracht. Sie soll neben Captcha-Bildrätseln gängiger Foren-Software auch jene von Googles Webmail-Dienst knacken.

Nicht mehr sicher: Captcha gegen Spam-Kommentare und Spam-Mails.
Nicht mehr sicher: Captcha gegen Spam-Kommentare und Spam-Mails.
Rund 500 Dollar sind ein Kampfpreis für die Cyber-Unterwelt, denn andere Anbieter verlangen teils tausende Dollar für einen Algorithmus, der nur Captchas eines Internet-Angebots lösen kann, berichtet Francois Paget von den McAfee Avert Labs in deren Forschungs-Blog.

Die Erfolgraten von automatisierten Angriffen haben inzwischen beachtliche Höhen erreicht. Konkurrieren müssen die Tools aber auch mit Kräften aus Billiglohn-Ländern. Sie sollten auch dann noch Erfolg haben, wenn Programme an ihre Grenzen stossen.

«Programme, um Captchas automatisiert zu analysieren gibt es seit etwa eineinhalb Jahren», meint McAfee-Sicherheitsexperte Toralv Dirro. Sie werden vor allem von Spammern genutzt, um Foren mit ihren Botschaften zu überschwemmen oder Webmail-Accounts für den Spamversand zu sichern. Die Erfolgsraten können sich inzwischen sehen lassen.

Zeitaufwand von nur drei Sekunden

Paget verweist auf eine Aufstellung des französischen Security-Consulting-Unternehmens XMCO partners, nach der beispielsweise Google-Captchas von Programmen in einer Minute mit 80 Prozent Erfolgswahrscheinlichkeit geknackt werden können.

Und sie sind vergleichsweise sicher, denn bei der gängigen Forensoftware phpBB liegt die Erfolgsrate demnach bei 97 Prozent mit einem Zeitaufwand von nur drei Sekunden.

Begehrte Algorithmen

Algorithmen, die Captchas lösen, lassen sich die Autoren regelrecht vergolden. Ein chinesischer Anbieter beispielsweise verlangt laut Paget 500 bis 6.000 Dollar für Algorithmen, die einfache bis mittelschwere Captchas bewältigen.

Für Tools, die Google oder Hotmail knacken können, dürfte noch mehr fällig sein. Da ist das russische XRumer 5 mit 520 Dollar vergleichsweise günstig. Und es kann laut Autor nicht nur mit klassischen Captchas, wo eine Zeichenkette erkannt werden muss, umgehen.

Auch Auswahl-Tests, wo der Nutzer aus einer Reihe von Bildern das einem Begriff entsprechende wählen soll, seien knackbar. Denn es würden immer wieder die gleichen Bilder genutzt, welche die Software aufgrund der Dateigrösse erkennen kann. «Wenn solche Schutz-Ansätze verfeinert werden, wird das automatisierter Software aber Probleme bereiten», ist jedoch Dirro überzeugt.

Wettrüsten erwartet

Der McAfee-Experte hält für denkbar, dass es zu einem technologischen Wettrüsten zwischen Captcha-Tools und Knack-Programmen kommt. Davon profitieren würden wohl Arbeiter in Billiglohnländern, die sich auf «Captcha-Dateneingabe» spezialisiert haben. «Sie erreichen Erfolgsraten von 99 Prozent und mehr», sagt Dirro.

Während Foren und Webmail-Angebote durch technologische Verbesserungen effektiver vor automatisierten Angriffen geschützt werden könnten, würden die Billig-Kräfte ihren Auftraggebern weiterhin zuverlässig den Zugang zu den Webangeboten sichern können.

Preislich sind die Angebote aus Ländern wie Vietnam oder Bangladesh für die Spammer attraktiv, nur wenige Dollar pro 1.000 Captchas werden verlangt. «Ich halte das für ein zukunftssicheres Modell», meint daher Dirro. Noch billiger für die Cyberkriminellen ist allenfalls der Ansatz, Internetsurfer durch Pornobilder zu Gratis-Erfüllungsgehilfen zu machen.

(fest/pte)

Seit mind. 8 Jahren
Programme, um Captchas automatisiert zu analysieren gibt es schon viel länger. Free SMS Dienste hatten z.B. schon einiges früher damit zu kämpfen.
.
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 22
Das Ziel des Starshield-Projekts ist die kontinuierliche Überwachung der Erdoberfläche, insbesondere für militärische Zwecke.
Das Ziel des Starshield-Projekts ist die kontinuierliche ...
Nach Berichten aus den USA plant SpaceX den Bau eines neuen Satellitennetzwerks für einen US-Geheimdienst. Dieses Netzwerk namens «Starshield» soll die gesamte Erdoberfläche überwachen. mehr lesen 
Die Schweizer Berghilfe erweitert ihr bestehendes WLAN-Programm für Gastronomiebetriebe in Bergregionen. Bisher unterstützte dieses in ... mehr lesen  
Die Schweizer Berghilfe übernimmt pauschal 50 Prozent der Kosten, maximal jedoch 10'000 Franken.
Während die USA und andere Länder sich auf die bevorstehenden Wahlen vorbereiten, prognostiziert eine neue Studie eine Eskalation der täglichen ... mehr lesen  
Internationales Super-Wahljahr 2024.
Die Ozlo Sleepbuds im Case.
eGadgets Die Kopfhörer für erholsamen Schlaf Schlafstörungen sind ein weit verbreitetes Problem. ...
Domain Namen registrieren
Domain Name Registration
Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...
Domainsuche starten:


 
Stellenmarkt.ch
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Fr Sa
Zürich 0°C 12°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt wolkig, aber kaum Regen
Basel 5°C 14°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig wolkig, aber kaum Regen wolkig, aber kaum Regen
St. Gallen 1°C 9°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig freundlich wechselnd bewölkt
Bern 0°C 11°C starker Schneeregenleicht bewölkt, ueberwiegend sonnig freundlich wolkig, aber kaum Regen
Luzern 1°C 12°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt wolkig, aber kaum Regen
Genf 5°C 13°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt wolkig, aber kaum Regen
Lugano 6°C 10°C wechselnd bewölkt, Regenleicht bewölkt, ueberwiegend sonnig anhaltender Regen anhaltender Regen
mehr Wetter von über 8 Millionen Orten