Der CAPTCHA-Krieg

Die neue Waffe der White Hats

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Der 3-D-CAPTCHA ist, so hofft man bei der Entwicklerfirma Spamfizzle, "möglicherweise unverwundbar durch automatische Dechiffrierung". Denn es herrscht Krieg zwischen den Maschinen im Internet; Maschinen, die sich als Menschen ausgeben, gegen Maschinen, die Menschen von Maschinen unterscheiden sollen. Hinter den Maschinen die Hacker - die mit dem schwarzen Hut gegen die mit dem weißen. Und dahinter deren Arbeitgeber - Vertreiber von V1@GR@, Passwörtern, Virenprogrammen und anderen Schattenwirtschafsgütern gegen "offizielle" Webservice-Anbietern jeglicher Größe, von Google über Craigslist und Twitter bis zum Solo-Entwickler und zur Mashup-Kreativen. Alle buhlen sie um Benutzer und bieten kostenlose Mitgliedschaften an; doch Mitglied soll nur werden, wer als Mensch sich - unter Benutzung der angebotenen Services - sozial gegenüber anderen Menschen verhält. Der mehr oder weniger steuerzahlende Teil der kommerziellen iWelt braucht zum Aufbau seiner hoffnungsgetragenen sozialen Netzwerken vor allem das Vertrauen seiner Kunden. Schließlich sollen die im Bedarfsfall möglichst ungehemmt Viagra kaufen.

Die Schattenwirtschaftler hingegen waren Vertrauensbeziehungen immer egal; sie waren vor allem daran interessiert, den Prozess des Mitglied-Werdens zu automatisieren, damit ihre Maschinen von möglichst vielen Benutzerkonten aus für V1@GR@ werben und nach Passwörtern phishen konnten. Für jede Adresse, die von Spamfiltern geblockt wurde, sollten genug neue geschaffen werden, um die Spamflut immer weiter zu erhöhen. Sie bezahlten einige Black-Hat-Hacker und bekamen Programme, die bei einzelnen Webservices eine beliebige Zahl von Benutzerkonten automatisch abmelken und den Spammern zur Verfügung stellen konnten. In den späten 90er Jahren funktionierte das ganz gut.

Die White Hats, repräsentiert durch eine Forschergruppe von der Carnegie Melon University, schlugen zurück: Luis von Ahn, Manuel Blum, Nicholas Hopper und John Langford präsentierten im Jahr 2000 ein System, das auf dem Computerbildschirm Gruppen verzerrter Buchstaben darstellte, die in den meisten Fällen von Menschen erkannt und per Tastatur wiedergegeben werden konnten, von Maschinen hingegen nicht. Sie nannten das CAPTCHA, für "Completely Automated Turing Test To Tell Computers and Humans Apart". Als erste Webfirma setzte Yahoo die Neuerung ein - und weil das sehr erfolgreich war, machten es alle anderen nach. Es gab eine Anzahl von Weiterentwicklungen der Grundidee, die über einige Zeit hinweg den Attacken der Spam-Maschinen weitgehend standhielten.

CAPTCHA-Sklaven und Decoder

Das heißt: Gehackt werden konnten sie schon, bloß nicht für umsonst. Wessen Gewinnspanne hoch genug ist, der wird sich wohl in einer Fabrik voller CAPTCHA-Sklaven irgendwo in Nordwestchina einbuchen können, ähnlich denen der berüchtigten Gold-Farmer aus MMORPGs wie World of Warcraft. Aber auch der gemeine Webbenutzer wird eingespannt, wie etwa im Fall der Melissa-Bilder: Dabei wurden CAPTCHAS der Registrierungsseite von Yahoo Mail weitergereicht an eine Seite mit einem Foto einer Dame, die wohl "Melissa" war. Wenn der Benutzer ein CAPTCHA korrekt eingab, bekam er ein neues Foto zu sehen, auf dem Melissa weniger an hatte als zuvor, und so weiter. Jedesmal, wenn man ein CAPTCHA dechiffrierte, um eine weitere Schicht Kleidung zu entfernen, registrierte ein auf der Lauer liegender Bot der Spammer ein Emailkonto bei Yahoo.

Noch reibungsloser und billiger aber ist eine vollkommene Automatisierung, und hier haben die Schwarzen seit Anfang diesen Jahres technisch stark weiterentwickelt. Im Januar meldete sich ein angeblicher russischer IT-Sicherheits-Forscher unter dem Namen "John Wane" mit einem Codepost bei Rapidshare für einen Decoder, der gegen Yahoo's CAPTCHA eine Erkennungsgenauigkeit von 35 Prozent erreichte. Mit anderen Worten: Im Durchschnitt konnte eine Maschine nach drei Versuchen ein Yahoo-Benutzerkonto eröffnen. Maschinen haben kein Problem mit der Wiederholung von Vorgängen, und damit war Yahoo's Schutz zunächst mal wirkungslos. Yahoo änderte daraufhin sein CAPTCHA, und ein paar Wochen später funktionierte der Code nicht mehr.

Doch das war erst der Anfang. Die Security-Firma MessageLabs meldete im Februar, dass 88,7 Prozent der Spam-Mails, die von kostenlosen Web-Providern kommen, von Yahoo's Domänen ausgehen. Doch ein Anstieg des Gmail-Anteils am Gesamt-Spam-Aufkommen von 1,3 auf 2,6 Prozent zeigte auch an, dass Googles CAPTCHA ebenfalls besiegt war. Und im April meldete Microsofts Live Hotmail Service, die Bots der Spammer würden jetzt automatisch Hotmail-Konten eröffnen und von dort aus V1@GR@-Werbung versenden.

Gegenmittel

Die Weißen experimentieren derzeit mit verschiedenen Gegenmitteln. Die Signup-Seite des Quantum Random Bit Generator Service beispielsweise generiert ein Mathematik-Problem, das der Benutzer lösen muss. Auch die Foren für Ubuntu GNU/Linux sind durch einen Willkürliche-Fragen-Generator geschützt, der beispielsweise Matheaufgaben wie "What does 4 + 1 equal?" im Programm hat. Aber die Schwarzen können nicht weit zurück sein: Für ganz ähnliche Fragen gibt es bereits den MathBot, der zwar kein "+"-Zeichen versteht, die Variante "What does 4 plus 5 equal?" jedoch richtig beantwortet.

Besonders hart unter den Folgen solch technologischen Fortschritts zu leiden hatte Craigslist, ein Anbieter für elektronische Kleinanzeigen mit Sitz in San Francisco und Außenstellen in 500 Städten in 50 Ländern, zum Beispiel in Berlin, Köln und München. Im englischsprachigen Markt steht die Firma auf Rang 7 beim Verhältnis von Page Views zu Angestellten, vor der BBC, Disney und Amazon.

Die Schwarzen entwickelten das CL Auto-Posting Tool, mit dem man die kostenlosen unter den Rubriken - etwa die für Persönliches - von Craigslist mit V1@GR@-Anzeigen zukleistern kann. Der für die Anmeldung notwendige Email-Account ist vorher ebenso automatisch mit den Jiffy Gmail Creator erzeugt worden. Andere automatische Spam-Tools sind AdBomber und Ad Master.

Craigslist wurde überrannt; im Frühsommer waren 90 Prozent der persönlichen Kleinanzeigen Spam. Die Firma wehrte sich.

Die neuste Masche ist die Telefon-Verifikation. Dabei wird dem Auftraggeber der Anzeige per Stimme oder SMS ein Passwort übermittelt, mit dem er sich dann einloggen muss. Nur ein Konto pro Telefonnummer ist erlaubt. Einige Forum-Threads auf Black Hat World dokumentieren die Kampfhandlungen sehr detailliert: Die Spammer versuchten es erst mit VoIP-Nummern. Die wurden von Craigslist geblockt. Es folgten die Einmal-Nummern von Diensten wie Tossable Digits. Die wurden ebenfalls geblockt. Die Forumsteilnehmer schienen teilweise verzweifelt ("I'm seriously freaking out now"); einer berichtete, wie er angeblich innerhalb von drei Tagen 140 Craigslist-Konten mit Hilfe von ebensovielen Münztelefonen sowie einem iPhone zum tatsächlichen Posten angemeldet habe.

Am Ende verfielen die Spammer auf eine Methode, die Kunden ihrer Kostenlose-Klingeltöne-Websites anzuwerben, damit die den Kontrollanruf annehmen und das telefonisch weitergesagte Passwort eingeben. Das scheint zu funktionieren. Bisher hat Craigslist noch keine Abwehr gegen dies Form der Attacke gefunden. Die flexibelste Waffe im Krieg der Maschinen ist wieder mal das Social Engineering der Menschen: Wer zufriedene Klingelton-Communities aufbaut, der hat's beim Spammen leichter.