Wie Captchas umgangen und Massenpostings erstellt werden

[mopzz]

Ich habe mal ein bisschen in Google recherchiert und verschiedene Schlüsselwörter in Zusammenhang mit "MGB OpenSource Guestbook" ausprobiert und bin auf diverse Seiten gestoßen, die Programme anbieten, die automatisch Captchas umgehen und Massenpostings erstellen können.

Ich möchte Euch das nicht vorenthalten. Nur, damit Ihr mal seht, gegen was wir da gemeinsam eigentlich ankämpfen.

Geht auf diese Seite <!-- m --><a class="postlink" href="http://www.captchasniper.com/">http://www.captchasniper.com/</a><!-- m --> und seht Euch mal das Video an. Ungefähr im letzten Drittel des Videos kann man sehen, wie Massenpostings erstellt werden. Davor wie die Captchas automatisiert umgangen werden.

Solche Programme gibt es hunderte im Netz. Manche werben sogar dafür, welche Gästebücher sie genau umgehen können u.s.w.

[mopzz]

Hier ein weiteres Video von CaptchaSniper

[flash=640,360]http://www.youtube.com/v/NNO-mPFm0fg[/flash]

[Lwngwen]

Ein leidiges Thema. Mann natürlich grafische Captchas verwenden.
Damit sperrt man allerdings blinde und andere behinderte Menschen aus.
Was also machen?
Derzeit macht eigentlich nur ein moderiertes GB Sinn.
Andererseits werden per Gesetz die Betreiber für die Inhalte verantwortlich gemacht.
Ich spare mir warscheinlich Captchas und lasse nur registrierte User schreiben.

Ich habe das zufällig gefunden. Ist das eine Idee?

Unsichtbares Eingabefeld

Eine einfache Methode, um Spambots zu überlisten, ist das Einfügen eines unsichtbares Eingabefelds in ein Formular. Das Textfeld wird durch eine einfache CSS-Regel ausgeblendet:
.hidden_field (display: none

Durch "display:none;" wird das Feld komplett von der Seite ausgeblendet, es ist nicht sichtbar und es wird auch nicht von Screenreadern für Blinde vorgelesen. Spambots versuchen allerdings auch dieses Feld mit einem Inhalt zu füllen, um eine Fehlermeldung wegen nicht ausgefüllter Felder zu vermeiden. Das verarbeitende Skript kann alle Anfragen, bei denen das unsichtbare Eingabefeld ausgefüllt ist, blockieren.

[mopzz]

Von dieser Methode habe ich auch schon des öfteren gehört, und hab' auch schon überlegt diese Anti-Spam-Methode einzubauen. Allerdings bin ich davon nicht sonderlich überzeugt. Spambots werden immer "intelligenter". Man muss ihn nur so programmieren, dass er die Attribute der Felder ausliest, und schon erkennt er, ob ein Feld sichtbar ist, oder nicht. Er wird angewiesen es einfach nicht mehr auszufüllen, und schon hat diese Methode ihre Wirkung verloren.

Das Problem liegt mittlerweile an der Bekanntheit des Gästebuches. Wie in den Videos zu sehen ist, befindet sich in den Listen des Spammers auch das MGB. Je bekannter eine Software ist, und je mehr Personen es im Einsatz haben, desto mehr lohnt es sich, darin Werbung zu posten. Wenn das irgendwann nicht mehr funktioniert (die Programme übermitteln dem Spammer, ob der Eintrag erfolgreich war) dann wird die Software herunter geladen und geprüft, warum es nicht mehr geht. Der Spambot wird angepasst, und schon geht es von vorne los.

Ich setze daher mittlerweile auf eine andere Strategie. Ich habe in der derzeitigen Entwicklerversion eine Methode im Einsatz, die erkannte Spam-Einträge dem Spammer nicht als solche anzeigt. Soll heißen, es wird keine Fehlemeldung ausgegeben, sondern der Eintrag ganz normal akzeptiert. Er wird jedoch in der Administration dann nicht als normaler Eintrag sondern gleich als Spam-Eintrag angezeigt. So bekommt der Admin auch keine E-Mail über einen neuen Eintrag. Es reicht, wenn er ab und zu alle Spam-Einträge löscht. Dabei kann er sie vorher noch kontrollieren, ob nicht der ein oder andere Eintrag fälschlicherweise als Spam erkannt wurde.

[Lwngwen]

Hmmm da ist was dran. Der Ansatz der Bots ist ja, das die Feldnamen gleich bleiben.

Andere Möglichkeit:

Die Namen der Eingabefelder werden per Zufall mehrmals am Tag oder bei einem Eintrag z.B aus der Britannica eingelesen.
Selbst wenn der Spamer die Software zerlegt, bringt ihm das nicht wirklich was. Denn er hat keinen Platz um die Britannica auf seinen Rechner zu übertragen und weiss auch nicht welche Wörter als nächstes gebraucht werden. Die Menge ist einfach zu groß.
Außerdem kann man auch einfach die Quelle wechseln.
Verstehst du, was ich meine?
Man definiert ein Array, das die Variablen für die Felder enthält. Per Zufall werden xbeliebige Wörter aus der Britannica als Variablen eingelesen. Man kann auch einfach aus den 26 Buchstaben des Alphabets und den Zahlen 0 bis 9 was auswürfeln, das in der Länge auch unterschiedlich ist.
Mit den Variablen kann das Programm ja arbeiten.
Man kann das auch ausbauen, so das eine Vielzahl von Quellen benutzt wird, die ebenfalls per Zufall ausgewählt werden.
Wie die Felder heissen, ist dem Programm ja Rille, wenn es nur die Variablen benutzen kann.
Die bereits eingetragenen Daten dürfen dann aber nicht mehr geändert werden bzw. müssen dann auch die Variablen zugewiesen bekommen, damit die Einträge lesbar werden.

Der Gedanke ist, das man die Feldnamen aus einer möglichst großen Dokumentation, die ständig online ist, oder ausgewürfelt per Zufall auswählt.
Ist schwierig aber sicher nicht unmöglich.
Wenn es funktioniert, lass es dir patentieren, bevor es ein anderer tut.
Ich 10% und du 90%

[mopzz]

Die vor kurzem veröffentlichte Version 0.7 enthält die Funktion "Dynamische Feldvariablen" die genau das macht, was Du da gerade beschrieben hast. Und seitdem hab' ich keine automatisierten Einträge mehr. Ich 100%. Aber ... ich hasse Softwarepatente. Von daher wird das nix.

[Lwngwen]

Aber ... ich hasse Softwarepatente. Von daher wird das nix.

Mag sein. Weisst du wieviele Ideen privater Programmierer vom Kommerz geklaut und patentiert worden sind?
Letztendlich darf man so seine eigene Idee nicht mehr benutzen. Dann lieber das ganze gleich unter die Gnu GPL stellen.
Da kommen die wenigstens nicht mehr dran.

Cool das du schon die dynamischen Variablen benutzt. Wie sind da so die Erfahrungen?
Ich werde das GB auf verschiedenen Seiten einsetzen. Da würde ich die Übersicht verlieren, wenn da dauernd Spam drin ist...