{"id":7464,"date":"2016-04-19T10:22:59","date_gmt":"2016-04-19T10:22:59","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=7464"},"modified":"2017-05-17T16:53:42","modified_gmt":"2017-05-17T16:53:42","slug":"googles-recaptcha-defeated-by-security-researchers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/googles-recaptcha-defeated-by-security-researchers\/7464\/","title":{"rendered":"Googles reCAPTCHA von Sicherheitsexperten bezwungen"},"content":{"rendered":"<p>Lassen Sie uns damit beginnen, woher das Wort \u201eCaptcha\u201c stammt. Captcha ist ein Akronym und steht f\u00fcr <u>C<\/u>ompletely <u>A<\/u>utomated <u>P<\/u>ublic <a href=\"https:\/\/de.wikipedia.org\/wiki\/Turing-Test\" target=\"_blank\" rel=\"noopener nofollow\">Turing test<\/a> to tell <u>C<\/u>omputers and <u>H<\/u>umans <u>A<\/u>part. Die Idee hinter der Captcha-Technologie (so wie hinter dem urspr\u00fcnglichen Turing-Test) ist einfach: es ist ein Test, den Menschen bestehen k\u00f6nnen, Online-Bots allerdings nicht. Captcha benutzt \u00fcblicherweise ein Bild eines verzerrten Textes, den man eingeben muss, um zu verifizieren, dass man kein Computer ist.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-8015\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/04\/06134536\/recaptcha-featured-1.png\" alt=\"recaptcha-featured\" width=\"1279\" height=\"840\"><\/p>\n<p>Die Captcha-Technologie ist deshalb so wichtig, weil sie einfachen und praktischen Schutz f\u00fcr eine Vielfalt verschiedener Dinge gew\u00e4hrleistet: Sie bietet Schutz beim Anmelden auf Webseiten, verhindert Spamkommentare auf Blogs, stellt sicher, dass nur reale Personen an Onlineumfragen teilnehmen und vieles mehr. Ohne die Captcha-Technologie k\u00f6nnten Spammer diese Situation auszunutzen, indem sie zahlreiche Accounts erstellen, eine irrwitzige Anzahl an Kommentaren hinterlassen oder unbegrenzt oft in derselben Umfrage abstimmen.<\/p>\n<p>Die erste Captcha-Version war f\u00fcr Computer relativ einfach zu umgehen. Es kam zu einem regelrechten Wettkampf zwischen Hackern und Captcha-Entwicklern. Sobald die Hacker eine neue Version bezwangen, brachten die Captcha-Entwickler wiederum eine neuere und noch bessere Version heraus.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">\"Google's ReCaptcha is simplest way of getting rid of bots. No math problems required!\" <a href=\"https:\/\/twitter.com\/jgamboa?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@jgamboa<\/a>  <a href=\"https:\/\/twitter.com\/hashtag\/WPEProTip?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#WPEProTip<\/a> <a href=\"https:\/\/t.co\/bPOegSbmbz\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/bPOegSbmbz<\/a><\/p>\n<p>\u2014 WP Engine (@wpengine) <a href=\"https:\/\/twitter.com\/wpengine\/status\/720719567564222467?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 14, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>An einem gewissen Punkt kam Google ins Spiel und ver\u00f6ffentlichte <a href=\"https:\/\/www.google.com\/recaptcha\/intro\/index.html\" target=\"_blank\" rel=\"noopener nofollow\">reCAPTCHA<\/a>, dass heutzutage inoffiziell als Captcha-Standard angesehen wird. Es benutzt nicht nur verzerrte Texte, sondern auch Bilder, und es wird angenommen, dass es einer der st\u00e4rksten Captcha-Services ist. Die reCAPTCHA-Technologie wird sowohl von Google selbst, als auch von Facebook und vielen anderen Webseiten als Schutzma\u00dfnahme gegen Spam und Missbrauch verwendet. Tats\u00e4chlich ist reCAPTCHA der meistgenutzte Captcha-Anbieter weltweit.<\/p>\n<p><em>Leider scheint es so, <\/em><em>als sei<\/em><em> diese Technologie vielleicht doch nicht so sicher, wie man einst dachte.<\/em><\/p>\n<p>Sicherheitsexperten der Columbia University haben <a href=\"http:\/\/www.cs.columbia.edu\/~polakis\/papers\/sivakorn_eurosp16.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Sicherheitsschwachstellen in der reCAPTCHA-Technologie von Google entdeckt<\/a>, die Hackern die M\u00f6glichkeit bieten, die Risikoanalyse zu beeinflussen, Einschr\u00e4nkungen zu umgehen und Angriffe im gro\u00dfen Stil zu starten.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Googles\u00a0reCAPTCHA-Technologie von Sicherheitsexperten bezwungen<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fx54u&amp;text=Googles%C2%A0reCAPTCHA-Technologie+von+Sicherheitsexperten+bezwungen+\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Die Forscher gaben an, dass es ihnen gelungen war, eine Low-Cost-Angriffsmethode zu entwickeln, die erfolgreich mehr als 70 Prozent der reCAPTCHA-Bilder erkannte, wobei jeder einzelne Versuch im Durchschnitt nur 19 Sekunden dauerte. Sie wendeten dieses System ebenfalls auf das Facebook-Bilder-Captcha an und erzielten eine Trefferquote von 83,5 Prozent. Die h\u00f6here Trefferquote bei Facebook ist vermutlich auf die bessere Bildaufl\u00f6sung zur\u00fcckzuf\u00fchren.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/euRAfUGX8wY?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Das System verwendete Techniken, die es erm\u00f6glichten Cookies und Token zu umgehen und nutzte maschinelles Lernen, um die Bilder richtig zu bestimmen. Paradoxerweise basiert diese Methode um reCAPTCHA zu t\u00e4uschen auf der Google-Funktion Umgekehrte Bildersuche. Allerdings funktioniert sie auch offline.<\/p>\n<p>\u201eNichtsdestotrotz ist unser Offlinesystem zur Captcha-Umgehung sowohl was die Treffergenauigkeit als auch was die Angriffsdauer betrifft mit einem professionellen Service vergleichbar. Zudem bietet es den zus\u00e4tzlichen Vorteil, dass keine Kosten f\u00fcr den Angreifer entstehen\u201c. Dies <a href=\"http:\/\/www.scmagazineuk.com\/security-researchers-defeat-recaptcha\/article\/488228\/\" target=\"_blank\" rel=\"noopener nofollow\">erkl\u00e4rten die Forscher<\/a> und betonten die Einfachheit und Rentabilit\u00e4t dieses speziellen Angriffes.<\/p>\n<p>Bevor die Ergebnisse ver\u00f6ffentlicht wurden, wiesen die Forscher Google und Facebook auf die Sicherheitsschwachstelle hin. Google reagierte nach Angaben der Forscher mit Bem\u00fchungen, die Sicherheit von reCAPTCHA zu verbessern; Facebook scheint dagegen keine Schritte zur Verbesserung unternommen zu haben.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Best captcha I've seen for a while. <a href=\"https:\/\/t.co\/tVvbwjmTLC\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/tVvbwjmTLC<\/a><\/p>\n<p>\u2014 Siddharth Vadgama (@siddvee) <a href=\"https:\/\/twitter.com\/siddvee\/status\/719940464628142080?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 12, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die Forscher glauben, dass Hacker leicht 1,50 EUR f\u00fcr 1000 erkannte Captchas verlangen k\u00f6nnten und somit t\u00e4glich \u00fcber 80 EUR verdienen k\u00f6nnten. Dies k\u00f6nnten sie sogar steigern, wenn sie gleichzeitig Mehrfachangriffe starten oder zus\u00e4tzliche Techniken benutzen w\u00fcrden.<\/p>\n<p>Die Untersuchung zeigt, dass es in der Welt der Cybersicherheit noch viel zu tun gibt, bietet aber auch vielen Unternehmen, wie Google, die Gelegenheit sich zu verbessern und aktiver auf seine aktuellen Sicherheitsvorkehrungen zu achten. Google hat bereits Interesse daran gezeigt, seine Sicherheitsvorkehrungen zu verst\u00e4rken. Hoffentlich sind die anderen Websites nicht allzu weit davon entfernt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsexperten entdeckten schwerwiegende Schwachstellen in der reCAPTCHA-Technologie von Google.<\/p>\n","protected":false},"author":699,"featured_media":7465,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[1387,1047,39],"class_list":{"0":"post-7464","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-captcha","9":"tag-cybersicherheit","10":"tag-google"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/googles-recaptcha-defeated-by-security-researchers\/7464\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/googles-recaptcha-defeated-by-security-researchers\/5923\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/googles-recaptcha-defeated-by-security-researchers\/7046\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/googles-recaptcha-defeated-by-security-researchers\/7039\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/googles-recaptcha-defeated-by-security-researchers\/8207\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/googles-recaptcha-defeated-by-security-researchers\/8013\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/googles-recaptcha-defeated-by-security-researchers\/11880\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/googles-recaptcha-defeated-by-security-researchers\/4144\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/googles-recaptcha-defeated-by-security-researchers\/11089\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/googles-recaptcha-defeated-by-security-researchers\/11880\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/googles-recaptcha-defeated-by-security-researchers\/11880\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/captcha\/","name":"Captcha"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7464","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/699"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=7464"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7464\/revisions"}],"predecessor-version":[{"id":10393,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7464\/revisions\/10393"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/7465"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=7464"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=7464"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=7464"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}