07.11.2011
Sicherheit
Captchas im Test: 13 von 15 geknackt
Autor: Thorsten Eggeling
Wie Forscher von der Uni in Stanford herausfanden, sind die meisten Captchas nicht in der Lage, ein System vor Bot-Angriffen zu schützen. Nur das System von Google (ReCaptcha) konnte nicht geknackt werden.
Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart) sind textbasierte Anti-Spam-Tests, die Webseiten ermöglichen, bei den Eingaben zwischen Mensch oder Maschine zu unterscheiden. Dadurch sollen automatisierte Angriffe verhindert werden. Bei den Captchas handelt es sich um Bilder mit meist kurzen Texten, die man bei vielen Web-Formularen findet. Der richtige Inhalt muss vom Benutzer eingetippt werden - erst dann kann er beispielsweise einen Kommentar abschicken oder ein neues Konto in einem Forum registrieren. Für Captchas können auch Bilder oder Rechenaufgaben verwendet werden.
Wie jetzt Forscher an der Universität Stanford herausfanden (PDF-Datei), sind die Captcha-Abfragen bei weitem nicht so sicher, wie bisher gedacht. Wie sich herausstellte, sind die meisten Captchas ziemlich einfach auszutricksen.
Mit einer eigens dafür programmierten Texterkennungssoftware namens Decaptcha haben die Forscher Elie Bursztien, Matthieu Martin und John Mitchell 15 unterschiedliche Systeme getestet. Das Ergebnis war nicht befriedigend. In 13 Fällen konnten die Captcha-Texte mit einer durchschnittlichen Erfolgsrate von bis zu 50 Prozent identifiziert werden. Nach Meinung des Stanford-Teams ist bereits eine Erfolgsrate von einem Prozent untragbar, da automatisierte Angriffe unzählige Versuche innerhalb kürzester Zeit starten können. Die hohe Erkennungsrate erzielten die Forscher durch die Ausblendung gezielt eingebrachter Bild-Hintergrundstörungen. Außerdem teilt das Programm die Zeichenfolgen in Einzelteile auf.
Bei MegaUpload authentifizierte sich das Programm sogar bei 93 Prozent der Versuche als vermeintlicher Mensch. Bei Blizzard schaffte es immerhin noch 70 Prozent, bei Visas Authorize.net 66 Prozent aller Abfragen. Bei eBays Captcha konnte in 43 Prozent der Abfragen umgangen werden. Etwas weniger, aber doch relevante Ergebnisse erzielten die Forscher bei Wikipedia, Digg und CNN. Sicher ist nur das System ReCaptcha, das Google 2009 aufgekauft hat, und davon abgeleitet Captcha-Verfahren. Decaptcha scheiterte an Googles ReCaptcha weil das Programm mit zufällige Wortlängen, unterschiedlichen Buchstaben-/ Zahlengrößen oder auch wellenförmige Verzerrung überfordert ist.
Zur effektiveren Erzeugung von Captchas empfiehlt das Stanford-Team, die Textlänge variabel zu gestalten und ebenso die Schriftart und Größe nach einem Zufallsprinzip anzubieten. Eine weitere Möglichkeit wäre der umgekehrte Weg. Wenn nur der Nutzer mehrere Versuche zur Authentifizierung benötigen würde, aber nicht das Programm, wäre ein Bot sofort identifiziert.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Künstliche Intelligenz
Memary - Langzeitgedächtnis für autonome Agenten
Das Hauptziel ist es, autonomen Agenten die Möglichkeit zu geben, ihr Wissen über einen längeren Zeitraum hinweg zu speichern und abzurufen.
>>
Cloud Infrastructure
Oracle mit neuen KI-Funktionen für Sales, Marketing und Kundenservice
Neue KI-Funktionen in Oracle Cloud CX sollen Marketingspezialisten, Verkäufern und Servicemitarbeitern helfen, die Kundenzufriedenheit zu verbessern, die Produktivität zu steigern und die Geschäftszyklen zu beschleunigen.
>>