TagCloud

Der Mathcomment-Schwindler

Januar 6th, 2008 von buergermeister

Sicherheit ist ein Prozess, ein Dozent den ich kenne hat den Prozess der IT-Sicherheit mal mit einer Mauer verglichen, Ziegelchen für Ziegelchen wird die Sicherheit erhöht. Aber jede Mauer ist überkletterbar, nur die Anforderung sie zu überwinden werden höher.

So auch beim Schutz des Blogs vor Kommentarspam. Heute macht ja die “Unsicherheit” des Math Comment Plugin die Runde. Da hat einer ein kleines Pythonskriptchen veröffentlicht, mit dem man den Schutz aushebeln kann.

import urllib2, re
url=raw_input("URL eingeben: ")
blogs=urllib2.urlopen(url)
zahl=re.findall('What is the sum of (\d+) .+ (\d+)\?',blogs.read())
print int(zahl[0][0])+int(zahl[0][1])

So versucht unser “Held” das. Dann veröffentlicht er eine Liste mit 150 getesteten Blogs, darunter meines. Ganz lustig dabei ist hier verwendet er wieder einen anderen Suchstring nämlich “summe aus”.

Wer ein klein wenig nachdenkt, findet die Schwachstelle dieser Methode. Ich zähl hier mal nur ein paar Möglichkeiten auf: = , SUM, Summe, Ergebnis, addiere. Es gibt verdammt viele Möglichkeiten was an der Stelle stehen könnte. Auch ein Bildchen an der Stelle wäre eine Möglichkeit, was wenn man die Felder umdrehen würde? Verdammt viele Sachen die der Programmierheld da abfangen muss.

Die nächste Schwachstelle seiner Möglichkeit ist die Umwandlung des gefundenen String in ein Integer. Was wenn da jetzt wirkliche Strings stehen, z.B. vier oder IV statt 4? Dürfte auch nicht mehr funktionieren… Hier würde ich mich eher für die Variante mit den römischen Ziffern entscheiden. Mit den Zahlwörtern ist nur noch eine kleine Menge Zahlen möglich “neunzehn” + “achtzehn” scheint mir dann langsam zu lang zu werden…. Auch hier gebe es die Möglichkeit des Einsatzes von Bildchen, ähnlich wie Captchas (ich hasse die Dinger weil ich die so schlecht sehe)

Nein, würde es nicht, ich würde deinen Blog dann einfach mit einem Standard Open Source OCR Algorithmus knacken ;-)

>> denn, sein wir ehrlich, kaum einer würde sich die Mühe machen ein OCR einzusetzten …
hehe, da täuschst du dich gewaltig ;-)

Meint da jetzt unser Pluginknacker dazu, sicher ist er ein ganz erfolgreicher Spammer :D Alien8 hat da auf dem Linuxinfotag in Dresden einen kleinen Vortrag gehalten und mal aufgezeigt, was Spam so kostet. Schade, dass die Folien nicht downloadbar sind. Die Erfolgsquote von Spam liegt bei unter 1 ‰, das heißt jede 1.000te angekommene Mail führt etwa zu einem “Geschäft”. Wenn ich jetzt nur einen Standard-SpamAssassin nehme (den Spammer mit Grips vorher testen) filtert der allein 60% weg. Ich muss also 2.500 Mails versenden nur um einen Erfolgsfall zu haben. Wie die Quote mit dem Einsatz von Rules du Jour, RBL/DNSBL, Pyzor, Razor oder DCC ausschaut, keine Angst es werden noch mehr Mails, die Erfolgsquote liegt nur noch bei ungefähr 10% (eher weniger gute Filter erreichen 98 – 95 %), also 10.000 Mails für ein “Geschäft”. Von Greylisting, das die Spammer zwingt zu queuen und die Menge der versandten Mails zu verdoppeln wollen wir mal gar nicht reden. Das alles schmälert den Kosten-Nutzeneffekt.

Und da will unser Plugincracker, Captchas downloaden mit einer sensationellen Erfolgsquote in Integer umwandeln, nur um zu spammen? Ich an der Stelle frage mich aus welchem Grund, Spammer dazu übergegangen sind mir Pillen per netten Bildchen anzubieten?

Halten wir einfach einmal fest, Spam ist nur in der Masse für den Spammer wirtschaftlich. Und um massenhaft Kommentar/Trackbackspam zu verbreiten, wählt man eine erfolgsversprechendere Methode als die Umgehung des Math Comment Plugin. Zum Beispiel Trackbackspam, lest mal bisschen bei Oli & Chris nach.

Weil wir gerade dabei sind, MCSP setzt Feldnamen, und die hat unser “Botdesigner” mal glatt übersehen. “mcspvalue” und “mcspinfo”. Die Wahrscheinlichkeit, dass irgendeiner die geändert ist wesentlich geringer. Mehr noch, die Administrationsoberfläche meines MCSP bietet zwar die Möglichkeit “ ” und “ ” zu ändern, im Quelltext bleiben aber die alten Bezeichnungen erhalten, da wird man wohl mal im Quelltext editieren müssen.

Halten wir fest, das MCSP bleibt, bei richtiger Anwendung eine Hürde für Spammer (wer sich allein darauf verläßt ist selbst schuld), das es allerdings nur individualisiert einen Sinn macht haben f!xmbr und auch ich schon mehrfach gesagt.

P.S. mein lieber Herr Mitbewohner war mal so frei vor eingigen Monaten ein ähnliches Skript in Perl zu implementieren und seit dem sind auch einige neue Pfeile im Antispamköcherchen hinzugekommen. Die Methode die Felder abzufragen ist also sehr alt :D Bots sind nur so schlau, wie der der sie geschrieben hat, ob unser Held sich nur über die Ergebnisse gefreut hat oder ob er mal getestet hat, ob das was er gezeigt bekam auch wirklich das Ergebnis ist? Was wenn es versteckte Formularfelder gibt, die dem dummen Bot, Zahlen zum fressen hinwerfen :D

Geschrieben in Enemy at the Gates | 9 Kommentare »

ähnliche Artikel: Blender Workshop at Smallworld |

9 Kommentare

  1. buergermeister Sagt:

    Da behauptet einer “temporär” wurde bei mir nicht kommentierbar sein…

  2. miwi Sagt:

    Weia

  3. buergermeister Sagt:

    wasn miwi?

  4. miwi Sagt:

    Nichts :-)

  5. Wordpress Spam Math Comment Spam Protection schwach - Security Forum Sagt:

    [...] basiert viel mehr auf Nutzern die das Plugin out of the box verwenden und kein bisschen anpassen:http://karl-tux-stadt.de/ktuxs/?p=730Zitat:Wer ein klein wenig nachdenkt, findet die Schwachstelle dieser Methode. Ich zähl hier mal nur [...]

  6. Ines Sagt:

    Also bei einem Bekannten funktioniert die Sicherheitsabfrage “Bitte geben Sie den ersten Buchstaben des Alphabets ein” ganz gut… ;) Dagegen ist es bei dir da unten richtig kompliziert. Soviel Nachdenken. Urks. Mach das weg… ;)

  7. buergermeister Sagt:

    früher wurde hier richtig heftig gerechnet und bei allen gings. Frau Dipl-Ing werden doch wohl noch ein wenig rechnen können :D

  8. Ines Sagt:

    Ich hab meinen Titel schon. Ich muss nimmer rechnen. *fg*

    1 Sekunde fürs Lesen der Aufgabe
    1 Sekunde fürs Nachkucken des ersten Summanden
    1 Sekunde fürs Nachkucken des zweiten Summanden
    3 Sekunden fürs Ausrechnen (bei mir)
    1 Sekunden fürs Mauszeiger-ins-Kästchen-klicken
    1 Sekunde fürs Tippen des Ergebnisses

    Sind schon 8 Sekunden, die einen Kommentator von einem heimlichen Leser unterscheiden :)

  9. buergermeister Sagt:

    tja, so manches findet man nur im Experiment heraus. Dann entschuldigt das ich euch 8Sekunden eures Lebens gemopst hab.

    Viele hier kommunizieren lieber mit mir und nehmen das in Kauf.

    P.S. ich schreib ja auch Kommentare und muss rechnen ;)

Einen Kommentar abgeben

Bitte beachte: Die Kommentare werden moderiert. Dies kann zu Verzögerungen bei Deinem Kommentar führen. Es besteht kein Grund den Kommentar erneut abzuschicken.