Thema: Captchas diverses

[SiLæncer]

Trend Micro und Panda Software berichten von einem Trojaner, der Anwender dazu bringt, Captchas (Completely Automated Public Turing Test to Tell Computers and Humans Apart) für ihn zu erkennen. Damit missbraucht der RompeCaptchas.A, Captchar oder Captcha Breaker genannte Trojaner seine Opfer quasi als lebende Texterkennung und kann auf eigene ausgefeilte rechenintensive OCR-Routinen verzichten. Die vom Anwender eingegebenen Zeichenketten sendet der Trojaner an einen Server, der im konkreten Fall automatisiert Yahoo-Mail-Konten für Spamming-Zwecke anlegt. Die auf Yahoo zum Schutz dargestellten Captchas leitet der Server wiederrum an den Trojaner weiter, der dem Anwender die Captchas präsentiert.

Das Captchas stammt eigentlich von Yahoo und wurde nur an den Anwender weitergereicht.

Damit der Missbrauch nicht auffällt, gaukeln die Programmierer von Captcha Breaker dem Benutzer ein Striptease-Programm vor, bei dem zum Ablegen jedes weiteren Kleidungstücks die Eingabe des gerade angezeigten Captchas notwenig ist – was eigentlich von Yahoo stammt.

Je mehr Captchas man eingibt, desto mehr Haut ist zu sehen.

Grundsätzlich ließe sich der Trojaner für alle Webseiten einsetzen, bei den eine Autorisierung mittels Captchas erforderlich ist. Wie der Schädling auf die PCs von Anwender gelangt, schreiben weder Trend Micro nicht Panda, sehr wahrscheinlich findet er seinen Weg auf den Rechner aber als Anhang von E-Mails. Hinweise und Werkzeuge zum sicheren Umgang mit E-Mails und zum Schutz vor Trojanern und Viren bieten die Antiviren-Seiten von heise Security.

Siehe dazu auch:

    * CAPTCHA Wish Your Girlfriend Was Hot Like Me?, Blogeintrag von Trend Micro
    * A new way of social engineering, Blogeintrag von Panda

Quelle und Links : http://www.heise.de/security/news/meldung/98097/Trojaner-laesst-Anwender-Captchas-lesen

[Jürgen]

Das bedeutet, Webseiten, die captchas einsetzen, müssen diese zusätzlich absichern, mittels vorher festgestellter Daten wie IP trace / timing, MAC, cookie, session ID usw.
Sonst ist die 'Sicherheit' nur vorgegaukelt.

Mit einer Einsicht der Geil-auf-alles-Klicker ist prinzipbedingt nicht zu rechnen...

[Theos]

Das bedeutet, Webseiten, die captchas einsetzen, müssen diese zusätzlich absichern, mittels vorher festgestellter Daten wie IP trace / timing, MAC, cookie, session ID usw.
Sonst ist die 'Sicherheit' nur vorgegaukelt.

die einzige halbwegs mögliche abhilfe die ich bei den websites sehe, wäre AJAX, um unregelmäßigkeiten bei der Eingabe feststellen zu können. alles andere hilft nichts, da der trojaner am client pc ja den browser & benutzer vortäuscht.

oder man lässt dieses ärgerliche ungetüm von captchas gleich ganz raus...

[Jürgen]

Sicher, dieser recht gewitzte Angriff unter Zuhilfenahme von Idioten ist nicht ganz einfach automatisch zu verhindern.
Und wahrscheinlich macht es auch wenig Sinn, allzu öffentlich über Details möglicher Gegenmassnahmen zu diskutieren.

Jedenfalls lässt allein die Logik diesen bislang relativ verbreiteten zusätzlichen Schutzmechanismus jetzt tatsächlich als überholt erscheinen. Er diente ja stets lediglich der Verifizierung irgendeiner menschlichen Eingabe, war aber nie dazu bestimmt, diese auf ein bestimmtes Individuum oder ein bestimmtes Eingabegerät zu beschränken.   

Die wirksamste Gegenwehr ist und bleibt ohnehin eine funktionierende Moderation und Administration, wie hier bei uns.

Wieder einmal geht's in die bekannte Richtung, es ist keine gute Idee, immer mehr Aufgaben blindlings stupiden Maschinen zu überantworten, bloss weil's irgendwelchen Pfennigfuchsern billiger erscheint.

[SiLæncer]

Spammern ist es nach Angaben des Sicherheitsdienstleisters Websense gelungen, Microsofts Schutz vor automatischen Skripten zum Anlegen von Live Hotmail-Konten auszuhebeln. So liege die Erkennungsrate der Captchas (Completely Automated Public Turing Test to Tell Computers and Humans Apart) in aktuellen Angriffen zwischen 12 und 20 Prozent.

Die Dauer der Erkennung eines Captchas soll maximal 25 Sekunden betragen. Damit sind die Spammer in der Lage, ausreichend viele Konten für den massenhaften Versand von Spam-Mails anzulegen. Live Hotmail ist für die Spammer besonders interessant, weil der Dienst über eine hohe Reputation verfügt und Spam-Filter die Mails von solchen Adressen nicht schon allein aufgrund der Herkunft blockieren können.

Wie genau die Erkennung der Captchas funktioniert, schreibt Websense in seiner Analyse eines Netzwerkes für Spam-Bots nicht. Möglicherweise steckt auch gar kein Tool dahinter, sondern Personen, die die Captchas visuell erkennen. So soll es etwa in China Unternehmen geben, die derartige Dienstleistungen anbieten. Dagegen spricht wiederum die geringe Trefferquote von nur 20 Prozent. Allerdings sind die Captchas so stark verschwurbelt, dass auch ein normaler Mensch damit Probleme haben könnte.

Immerhin hat Websense die Kommunikation zwischen den Spam-Bots und dem Control-Server ein wenig näher beleuchten können. Demzufolge versuchen die Bots ein Konto bei Windows Live Hotmail anzulegen und schicken das Captcha an einen zentralen Captcha-Breaking-Host. Der sendet das Ergebnis an die Bots für die weitere Anmeldung zurück. Laut Bericht erfolgt die Kommunikation dabei verschlüsselt.

In der Vergangenheit haben Spammer es immer wieder geschafft, die Captchas verschiedener Dienstleister mit Tools zu knacken, darunter auch Google. Zwar reagieren die Dienstleister mit immer neuen Captcha-Methoden, in der Regel dauert es aber nur wenige Wochen, bis die Spammer nachgezogen haben und die Erkennung in den für sie profitablen Bereich gelangt. Auch Microsoft hatte erst im Dezember seine Captchas verbessert.

Quelle : www.heise.de

[SiLæncer]

Google will die Anmeldeformulare für seine Dienste mit einem neuen Bildertest absichern. Um Menschen und automatische Scripte voneinander zu unterscheiden, sollen Benutzer angeben, wo bei einem gedrehten Bild oben und unten ist.

Kostenlose Web-Dienste, vor allem Web-Mail, erfreuen sich in Spammer-Kreisen weiterhin großer Beliebtheit. Spammer generieren mit automatischen Scripten viele neue Benutzerkonten, die sie zum Versand von Spam-Mails nutzen. Um diesen Missbrauch einzudämmen, setzen verschiedene Anbieter, etwa Microsoft Live Hotmail oder Google Mail, auf so genannte CAPTCHAs. Doch auch diese Hürden werden immer wieder von Scripten genommen und so will Google nun mit zufällig gedrehten Bildern Menschen von Maschinen unterscheiden.

Als CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) dienen üblicherweise verzerrte Abbildungen von Schriftzeichen. Die Google-Forscher Rich Gossweiler, Maryam Kamvar und Shumeet Baluja haben nun einen anderen Ansatz untersucht. Sie setzen auf gedrehte Bilder, die wieder in eine aufrechte Position gedreht werden müssen. Dabei kommen kreisrunde Bildausschnitte zum Einsatz.
Ihre Forschungsarbeit "What’s Up CAPTCHA? A CAPTCHA Based On Image Orientation" wollen sie auf der diesjährigen Konferenz WWW 2009 des W3C-Konsortiums vorstellen, die in dieser Woche in Madrid stattfindet. Darin weisen die Forscher darauf hin, dass die verwendeten Bilder sorgfältig ausgewählt werden müssen. Sie unterscheiden Bilder, deren Orientierung sowohl von Menschen wie von Programmen erkannt werden kann, Bilder, die für Computer schwer analysierbar sind und solche, die auch für Menschen nicht eindeutig sind.

So eignen sich etwa Bilder, die deutlich erkennbare Gesichter enthalten, nicht für diesen Zweck. Es gibt bereits etliche Computer-Programme zur Gesichtserkennung, die Augen, Nase und Mund im Bild lokalisieren und so die Orientierung eines Bildes feststellen könnten.

Ebenso wenig geeignet sind Bilder, die Text enthalten. Sie können mit OCR-Software (Optical Character Recognition) analysiert werden. Auch Landschaftsbilder mit klar erkennbarer Horizontlinie kommen als CAPTCHA nicht in Betracht. Für Menschen problematisch sind eher abstrakte Bilder oder allgemein solche, bei denen mehrere natürliche Orientierungen in Frage kommen.

Gut geeignet sind hingegen detailreiche Bilder, deren Motive für ein Computer-Programm schwer von Hintergrund zu trennen sind. Auch der Hintergrund sollte keine Hinweise liefern, wo oben und unten ist. Die Forscher haben in einer Feldstudie untersucht, wie Menschen mit einem solchen Bildertest klar kommen. Dabei haben sie festgestellt, dass Menschen damit oft weniger Schwierigkeiten haben als mit traditionellen CAPTCHAs, sofern die verwendeten Bilder sorgfältig ausgewählt wurden. Zudem ist ein derartiger Test weniger von Kenntnissen der lateinischen Schrift abhängig.
Ab wann solche Verfahren bei Google oder anderswo eingeführt werden, ist noch offen. Wenn es jedoch zutrifft, dass Spammer für die Lösung von CAPTCHAs ohnehin auf Menschen setzen, dürften auch die neuen Tests wenig fruchten.

Quelle : www.pcwelt.de

[SiLæncer]

Googles Suche nach Alternativen, eine Captcha-Abfrage in Webformularen unterzubringen, hat eine neue Methoden hervorgebracht: Video-Captchas könnten zukünftig die schwer entzifferbaren Wörter ersetzen.

In ersten Tests von Kurt Alfred Kluever aus dem Google-Forschungsteam und Richard Zanibbi vom Rochester Institute of Technology wurden dabei recht vielversprechende Ergebnisse erzielt. In Rund 90 Prozent der Fälle konnten menschliche Nutzer die korrekten Eingaben machen.

Simulierte Angriffe waren zu 13 Prozent erfolgreich, berichten die beiden in ihrem Forschungspapier. Für eine Methode in einem so frühen Entwicklungsstadium sind das recht gute Werte. Bei der Befragung der Probanden gaben diese dem Video-Captcha auch den Vorzug vor der Entzifferung verfremdeter Buchstaben.

Das Captcha-System von Kluever und Zanibbi ist an YouTube gekoppelt. Von der Plattform werden jeweils kurze Video-Clips bezogen. Der Nutzer soll dann in einem Eingabefeld einige Begriffe eintragen, die er mit dem Video assoziiert. Diese werden anschließend mit dem Tagging-System bei YouTube abgeglichen. Stimmen die Begriffe überein oder sind zumindest inhaltlich ähnlich, ist der Test bestanden.

Quelle : http://winfuture.de

[SiLæncer]

Google hat dementiert, dass die aktuelle Fassung seines Captcha-Dienstes reCAPTCHA Schwachstellen aufweise, die es Spammern erleichtere, die dargestellten Wörter mit automatischen Skripten zu erraten. Completely Automated Public Turing test to tell Computers and Humans Apart (CAPTCHA) soll von Spammern und anderen Kriminellen benutzte Tools unwirksam machen, die automatische Tätigkeiten wie das Anlegen von Konten in Foren und bei Maildiensten erledigen. Dazu wird beispielsweise zur Bestätigung der Anmeldung ein grafisch verzerrter Text angezeigt, den der Anwender eingeben muss.

Am Wochenende hatte der Software-Entwicker Jonathan Wilkins ein Dokument (PDF) veröffentlicht, das ein Verfahren beschrieb, mit dem sich die Trefferquote automatisch erkannter Google-Captchas auf fast 18 Prozent steigern ließe. Damit würde das reCAPTCHA-Verfahren als geknackt gelten, da beispielsweise Botnetze in größerem Umfang automatisch Mailkonten bei Diensten mit hoher Reputation anlegen und die Spammer von dort ihre Junk-Mails versenden könnten. Allerdings bezog sich das von Wilkins beschriebene Verfahren auf Anfang 2008 benutzte "reCAPTCHAS".

Gegenüber heise Security gab Wilkins zu, dass Google bereits Ende des vergangenen Jahres auf seine Anregung hin reCAPTCHA überarbeitet hat. Unter anderem enthalten neuere Captchas keine zusätzlich eingeblendeten horizontalen Linien mehr, die für ein zusätzliches "Rauschen" sorgen sollen. Zudem streckt und verformt Google die Captchas nun offenbar stärker als früher, was die Segmentierung zur besseren automatischen Erkennung erschwert. Laut Wilkins ließen sich diese Verzerrungen aber vermutlich zurückdrehen.

Anders als bei anderen Captcha-Verfahren bekommt der Anwender bei reCAPTCHA zwei sinnvolle Wörter präsentiert. Die Wörter stammen aus Googles Projekten zur Digitalisierung von Büchern und alten Zeitschriften, bei denen die automatische Erkennung mittels OCR versagt hat. Google schlägt damit zwei Fliegen mit einer Klappe: Ein kostenloser Captcha-Dienst und die Zuarbeit von Millionen Anwendern zur Vervollständigung der eingescannten Texte. Die spannende Frage dabei: Woher weiß reCAPTCHA, dass die eingegebenen Wörter richtig sind, wenn das Google-System sie selbst nicht erkannt hat? Die Antwort: Eigentlich gar nicht. Nur eines der Wörter ist wirklich unbekannt, bei dem anderen gibt es bereits Antworten anderer Anwender. Stimmt das eine eingebene Wort mit den Erkenntnissen der anderen Anwender überein, nimmt reCAPTCHA an, dass der Anwender das bislang nicht erkannte, zweite Wort ebenfalls richtig erkannt und eingegeben hat.

Trotz der Verbesserung weist reCAPTCHA weiterhin Schwachpunkte auf, meint Wilkins: Es beruht auf existierenden, englischen Wörtern, was die Entropie stark verringere. Zudem kenne Google selber nur eines der zwei eingeblendeten Wörter und erlaube dort auch noch einige Fehleingaben. Für eine neuere Analyse benötige Wilkins nach eigenen Angaben jedoch Zeit – die ihm derzeit fehle. Er sei ohnehin überrascht, dass seine Veröffentlichung auf solch eine Resonanz stoße. Die Studie sei eigentlich nur für ein paar Freunde gedacht gewesen, als er auf Twitter darauf hinwies.

Alternativ zu textbasierten Captchas gibt es auch motivbasierte Captcha-Verfahren, etwa Microsofts Asirra, bei dem der Anwender alle Katzen in einem Block markieren muss.

Quelle : www.heise.de

[SiLæncer]

Auch aktuelle Zerrbilder des Google-Service reCAPTCHA lassen sich mit ausreichend hoher Wahrscheinlichkeit knacken, um damit geschützte Dienste automatisiert zu missbrauchen. Noch letzte Woche hatte Google moniert, dass eine diesbezügliche Analyse sich nur auf ein altes CAPTCHA-Verfahren von 2008 beziehe, das heute nicht mehr eingesetzt wird.

Daraufhin hat sich Jonathan Wilkins, der Autor des Analyse-Papers die angeblich verbesserten, neuen CAPTCHAs genauer angesehen. Der wichtigste Unterschied ist der Verzicht auf die horizontale Trennlinie, die die alten CAPTCHAs auszeichnete. Durch ihr Fehlen werden die Wörter für Menschen leichter zu lesen – aber leider auch für Maschinen. "Die neue Version des Puzzles ist schwächer", bestätigte Wilkins gegenüber heise Security. In seinen Tests gelang es ihm, die Erfolgsquote mit herkömmlicher Texterkennung im Vergleich zur alten Version fast zu verzehnfachen (von 5 aus 200 auf 23 von 100).

Der Completely Automated Public Turing test to tell Computers and Humans Apart (CAPTCHA) soll Menschen von Maschinen unterscheiden und somit beispielsweise das automatisierte Erstellen von Mail-Konten für den Spamversand verhindern. Das Problem bei diesem Einsatzszenario ist, dass die Spammer gar keine hundertprozentige Trefferquote brauchen. Es genügt durchaus, wenn das Skript, das die Konten anlegt, etwa jedes zehnte Mal Erfolg hat. Allerdings besteht die Möglichkeit, Dienste im Hintergrund zusätzlich abzusichern und beispielsweise die Anzahl der Anfragen von einer IP-Adresse zu beschränken.

Quelle : www.heise.de

[SiLæncer]

Der Online-Dienst Microsoft Live verwendet offenbar unsichere Audio-CAPTCHAs. Den Verantwortlichen des Botnets Pushdo gelang es, eine Möglichkeit zum Ausnutzen der Schwachstelle zu implementieren. Folglich werden die Mailkonten des Dienstes zum Spamversand missbraucht.

Audio-CAPTCHAs sind für Personen, die - beispielsweise aufgrund einer Sehbehinderung - normale CAPTCHAs nicht lösen können, eine Möglichkeit, entsprechende Dienste trotzdem zu nutzen. Bei der von Microsoft genutzten Variante läßt aber offenbar die Sicherheit zu wünschen übrig. Zombies des Botnets Pushdo gelingt es mittlerweile, innerhalb von zehn Sekunden das Audio-CAPTCHA herunterzuladen und die korrekte Antwort zu geben. In der Folge können Spam und Malware über Live.com-Mailkonten versendet werden. Ein Bonus für die Cyberkriminellen: Live.com ist bei vielen Spamfiltern auf der Whitelist.

Meist brauchen die Bots des auch als Cutwail, Diehard oder Rabbit bekannten Botnets zwei Versuche, um die korrekte Antwort zu geben. In Ausnahmefällen können auch mehr Versuche notwendig sein.

Bei Audio-CAPTCHAs geht es darum, vorgelesene Buchstaben gegenüber einem Hintergrundgeräusch zu erkennen. Sicherheitsexperte Andrew Brandt erklärt, dies sei der erste ihm bekannte Fall, in dem ein Audio-CAPTCHA statt der visuellen Alternative angegriffen worden sei. Die Methodik des Angriffs ist noch völlig unklar. Womöglich wird mit einer Spracherkennungssoftware gearbeitet. Es ist aber sogar möglich, dass die CAPTCHAs an Menschen in Billiglohnländern verschickt und von diesen im Akkord gelöst werden.

Quelle : www.gulli.com

[SiLæncer]

Animierte Captchas sollen die gute Lesbarkeit für den Menschen erhalten, Spambots und automatische Skripte dennoch draußenhalten. "Completely Automated Public Turing tests to tell Computers and Humans Apart" (CAPTCHAs) soll von Spammern und anderen Kriminellen benutzte Tools unwirksam machen, die automatische Tätigkeiten wie das Anlegen von Konten in Foren und bei Maildiensten erledigen.

Der Anbieter NuCaptcha versucht dies durch animierte Captchas zu erreichen. Grundsätzlich sind animierte Captchas zwar nicht neu, bislang bestand die Animation jedoch meist darin, eine Zeichenfolge etwa durch einen springenden Ball oder andere Maßnahmen teilweise zu verdecken oder sich bewegende Gitterlinien einzublenden.

NuCaptcha geht einen anderen Weg und animiert die Zeichenfolge, vor einem sich ebenfalls bewegenden Hintergrund nebst anderer Elemente in einem Flash-Video. Damit muss die zu erkennende Zeichenfolge nach Meinung der Entwickler nicht mehr so stark verzerrt werden, sodass die Erkennung für den Menschen leichter fällt, Bots aufgrund zu vieler Kanten im Bild trotzdem Probleme mit der Erkennung haben. Gerade zu stark verschwurbelte Captchas halten oft mehr Anwender als Bots von einer erfolgreichen Anmeldung ab.

Ob NuCaptcha mit seinem Ansatz Erfolg haben wird, muss sich zeigen. In den aktuellen Demos ist die zu erkennende Zeichenfolge immer rot eingefärbt. Mit Filtern ließen sich alle anderen Elemente ausblenden, um die anschließende OCR-Erkennung zu vereinfachen. Mit mehreren aufeinanderfolgenden Screenshots ließe sich schließlich der richtige Bereich ausmachen.

NuCaptcha verspricht auch, die mittlerweile gesichteten Captcha-Breaking-Dienstleister, bei denen Menschen für Spammer Zerrbilder am Fließband identifizieren, ausbremsen zu können. Mit speziellen Algorithmen will man in der Lage sein, zu erkennen, ob es sich um Antworten von einem menschlichem Dienstleister handelt und gegebenenfalls die Animation verlangsamen. Professionelle Captcha-Breaker sollen im Schnitt 4 Sekunden für die Erkennung benötigen. NuCaptcha soll das auf 15 Sekunden hinauszögern können, sodass es unrentabel werden soll.

NuCaptcha ist bislang als kostenloser Dienst verfügbar, der sich über ein API in eigene PHP- und .Net-Anwendungen einbinden lässt. Für WordPress steht sogar schon ein eigenes Plug-in bereit. NuCaptcha setzt zwar auf Flash, soll aber auch auf Plattformen laufen – dort dann über animierte GIFs und JavaScript.

Quelle : www.heise.de

[SiLæncer]

Die überwiegende Mehrheit der textbasierten Anti-Spam-Tests sind leicht zu umgehen, fanden Sicherheits-Forscher der Stanford University heraus. Sie knackten die so genannten Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart) von bekannten Webseiten.

Solche Sicherheitsabfragen werden seit einigen Jahren verwendet, um zwischen Mensch und Bot zu unterscheiden. Neben Textbasierten Techniken gibt es noch einige andere Ansätze wie Katzenbilder, Audio-Clips oder Rechenpuzzles, die von Spam-Bots automatisierte Anmeldungen auf Webseiten verhindern und so vor Missbrauch schützen sollen.

Das Stanford-Team untersuchte in seiner Forschungsarbeit "Text-based CAPTCHA Strengths and Weaknesses", ob das Knacken der Captcha-Abfragen vollständig automatisierbar ist. Mit dem selbstentwickelten Tool "Decaptcha" tricksten sie 13 von 15 bekannten Captcha-Webseiten aus. Getestet haben sie unter anderem die Abfragen von Google, eBay und Wikipedia. Lediglich Googles Captcha und Recaptcha konnten den Angriffsversuchen standhalten.

Eine höhere Erkennungsrate erzielten die Forscher, indem sie gezielt eingebrachte Bild-Hintergrundstörungen entfernten und Zeichenfolgen in einzelne Zeichen trennten. So erreichten sie eine Erkennungsrate von 66 Prozent bei Visas Authorize.net. eBays Captcha konnte in 43 Prozent der Fälle umgangen werden. Weniger erfolgreiche, aber noch brauchbare Ergebnisse erzielten sie bei Wikipedia, Digg und CNN.

Die Forscher machen auch Vorschläge zur besseren Erzeugung von Captchas. Demnach sollte die Länge der Texte variabel sein und die Schriftart und Größe zufällig. Zusätzlich erwähnen die Forscher die Verfahren, welche nur dem Nutzer das Erkennen der Zeichen erschweren, aber keine Hürde für automatisierte Attacken darstellen. Gegenüber heise Security verglichen die Forscher die Captchas mit Kryptographie: Seien sie einmal gebrochen, müssen sie durch ein neues ersetzt werden.

Quelle : www.heise.de

[Jürgen]

Hier schließt sich der Kreis im Thread.

Die technisch leichteste Art zur Umgehung von Captcha-Schutz ist immer noch der Einsatz von Menschen.
Zwei Wege sind wohlbekannt und verbreitet, entweder benutzt man Billigarbeiter dafür, direkt am Objekt der Begierde, oder man kopiert Captcha und Eingabemaske in eine eigene Webseite und lässt sie von den eigenen Besuchern als Rätsel lösen.
Siehe ganz oben.

Gegen beides hilft keine bekannte technische Maßnahme, sondern allenfalls die Einbindung eines direkt personenbezogenen Dienstes wie z.B. PostIdent.

[SiLæncer]

Hacker haben ein Skript entwickelt, das Googles Recaptcha-System mit einer Trefferquote von über 99 Prozent knacken konnte. Ihre Forschungsergebnisse präsentierten sie kürzlich auf der Sicherheitskonferenz Layer One in Los Angeles – allerdings leicht frustriert, denn Google hat Recaptcha rund eine Stunde vor der Vorführung nachgebessert.

ecaptcha gilt als eines der sichersten Verfahren, um Menschen von Maschinen zu unterscheiden. Durch die Eingabe der für Programme schwer lesbaren Zeichenketten können Anbieter von Webdiensten sicherstellen, dass etwa Registrierungsformulare nicht massenhaft von Spam-Bots ausgefüllt werden. Das Stiltwalker getaufte Skript der Hacker versucht sich jedoch nicht an der Eingabe der Zeichen, sondern analysiert die Audiofassung der Captchas, die Google für sehbehinderte Menschen bereitstellt.

Dabei nutzt Stiltwalker unter anderem Methoden des Maschinellen Lernens. Aber auch der geringe Wortschatz der Computerstimme spielte den Hackern zu: Während die Text-Captchas sehr komplex sind und einen großen Pool an Wörtern in verschiedenen Schriftvariationen mitbringen, nutzte Google bei den Audio-Captchas lediglich 58 verschiedene englischsprachige Wörter.

Um die automatischen Analysen zu erschweren, blendet Google ein Hintergrundmurmeln ein, das für "elektronische Ohren" schwer herauszufiltern ist. Die Hacker fanden heraus, dass es sich dabei um Mitschnitte von Radiosendungen handelt, die immer wieder zum Einsatz kommen.

Durch die Änderungen, die Google kurz vor der Präsentation an Recaptcha vorgenommen hat, läuft Stiltwalker nun ins Leere. Das macht den Vortrag der drei Hacker jedoch nicht weniger unterhaltsam.

Quelle : www.heise.de