Am Wochenende tagte in Los Angeles die Sicherheitskonferenz Layer One. Dort trafen sich die Sicherheitsexperten und sensibilisierten für sicherheitsrelevante Themen. Die Layer One fand 2004 zum ersten Mal statt und wird seitdem jährlich ausgerichtet.
Mit Stiltwalker hat das DC949 Research Team ein Skript geschaffen, welches mit einer Zuverlässigkeit von mehr als 99 Prozent das ReCaptcha-System von Google aushebeln kann. ReCaptcha ist eines der sichersten Methoden um im Internet sicherzustellen, dass Eingaben von einem Menschen erfolgen und kein Skript automatisiert Daten eingeben kann. Dies reduziert beispielsweise Spam-Kommentare in Blogs – wenn auch auf Kosten der Benutzerfreundlichkeit. Captcha steht hierbei für Completely Automated Public Turing test to tell Computers and Humans Apart.
Zur Präsentation der Forschungsergebnisse tauchten die Hacker etwas frustriert und merklich unter Alkoholeinfluss stehend auf. Grund hierfür war, dass Google gerade einmal eine Stunde vor der Präsentation auf der Layer One den Algorithmus für ReCaptcha verbesserte und die ausgenutzte Sicherheitslücke so ausgemerzt hatte.
Die Hacker schlagen mit Stiltwalker neue Wege bei der Vorgehensweise um Captchas zu brechen ein. Anstatt darauf zu setzen mittels bildverarbeitender Algorithmen die abzuschreibenden Zeichen der visuellen Darstellung zu entnehmen, prozessieren sie unter Zuhilfenahme des maschinellen Lernens die für sehbehinderte Menschen gedachte auditive Version des Captchas. Die von Google eingebauten Hintergrundgeräusche konnten nicht die notwendige Unschärfe erzeugen um eine Identifizierung zu verhindern. Das DC949 Research Team schlug diesen Weg ein, da im Gegensatz zu den vielen komplexen Möglichkeiten bei den visuellen Captchas es für die auditive Variante nur 58 verschiedene englischsprachige Wörter herangezogen wurden. Die Hacker identifizierten die Hintergrundgeräusche darüber hinaus als Mitschnitte aus Radiosendungen, welche wiederkehrend zum Einsatz kommen und konnten diese im Anschluss sehr schnell ausfiltern.
Wenn Google nicht eine Stunde zuvor den Algorithmus geändert hätte, wären die Mitglieder des DC949 Research Teams wohl schnell über die Szene-Grenzen hinaus bekannt geworden. Aber auch wenn Stiltwalker nun erst einmal nicht mehr funktioniert ist die Präsentation sehenswert.
Auch dieses Jahr präsentierten die Referenten ein breites Spektrum an interessanten Sicherheitsthemen:
| Dan Tentler | Carpe Datum: Drinking from the espresso firehose we know as Shodan |
| Jimmy Shah | Real Advances in Android Malware |
| Joseph McCray | Big Bang Theory: The Evolution of Pentesting High Security Environments |
| Robert R. | Juice Jacking 101: Learning from Shenanigans |
| Vyrus & Frank^2 | My Other Shellcode is the da Vinci Virus |
| Aditya K Sood & Richard J Enbody | Insidious Infections: Mangling with Botnets |
| David M N Bryan | I pwned your router. Oops. |
| John Norman | Physical Security: Bridging the Gap with Open Source Hardware |
| Karthik Raman | Selecting Features to Classify Malware |
| Jon McCoy | Hacking .NET(C#) Applications: The Black Arts (v2) |
| DC949 Research Team | Codename Stiltwalker |
| Datagram & Schuyler Towne | Disc-Detainer Lockpicking |
Ja, dass war schon ein dummes Zusammentreffen. Seit einigen Wochen hat Google leider auch das Bildsystem weiter verschärft. Es werden nun nicht mehr nur vom OCR nicht erkannte Buchstaben angezeigt, sondern auch Fotostücke 🙁