reCAPTCHA – Eine sturmerprobte Zwischenlösung

Steffen
27.08.2021 14 3:57 min

So richtig angefangen hat alles Anfang Juli. Da wurde unser sehr wachsames Security-Team hellhörig. Im Fokus: unsere Loginseite login.sipgate.com. Auf die richten wir seit jeher einen besonders fürsorglichen Blick – eben weil sie ein Einfallstor für Betrugsmaschen aller Art sein kann. So auch am 6. Juli. Da prasselten plötzlich zehn- bis hundertmal so viele Logins wie üblich auf unsere damit ziemlich überforderten Login-Server ein. Schnell war klar, dass hier Angriffe von einem Netzwerk gefahren werden. 

Begehrte Ziele: die Accounts

Das Prinzip dahinter: Menschen mit nicht so furchtbar hehren Absichten probieren automatisiert Listen mit bekannten Benutzernamen- und Passwort-Kombinationen auf Anmeldeseiten durch. Da gar nicht so wenige Leute Benutzernamen und Passwort mehrfach verwenden, ist die Chance groß, mit Hilfe dieser Listen unbefugten Zutritt zu ein paar Konten und Accounts zu bekommen. Und gerade nach erbeuteten Accounts lecken sich viele Betrüger die Finger. In unserem Fall bietet sich so ein gekidnapptes Profil für eine bunte Vielzahl an dann folgenden Telefonie-Betrugsmaschen an, auf die wir hier gar nicht detaillierter eingehen möchten. 

Komplexe Angriffsstrategie

Im Falle des Angriffs auf unsere Loginseite realisierte unser Security-Trupp, dass diese ziemlich komplex gefahren wurden und es sich als schwierig herausstellte, berechtigte Login-Versuche von automatisierten Bot-Attacken zu unterscheiden. Es gab zahlreiche fehlgeschlagene Logins zu vielen verschiedenen Accounts. Es ließ sich also herzlich wenig am Account-Namen selber festmachen. Dazu wurden etliche verschiedene IP-Adressen eingesetzt – kein Einzelfall in Zeiten von günstigen Cloud-Services und professionell mietbaren Botnetzen. Klassische Methoden, etwa das Sperren von einzelnen IP-Adressen, hätte hier also gar nichts bewirkt.

reCAPTCHA: bewährt und kampferprobt

Um unsere Kund:innen vor den Angriffen zu schützen, musste eine schnelle, breit gefächerte und sichere Lösung her. Und so fiel die Wahl des für das im Moment geeignetste Mittel auf reCAPTCHA.  Bei dem von Google gehosteten Dienst müssen Kund:innen bei uns vereinzelt (in den meisten Fällen läuft das Ganze unsichtbar im Hintergrund) vor dem Login einen Text eingeben oder eine Art Bilderrätsel lösen. Für uns war klar, dass es für den Moment und angesichts der hohen Intensität der Angriffe das geeignetste Tool ist, um die Accounts unserer Kund:innen zu schützen. Eben weil die Server von Google stabil sind und nicht ohne Weiteres in die Knie gehen. Und weil die Modelle stetig und ausgiebig mit Daten gefüttert werden (Fluch und Segen einer Datenkrake) und entsprechend wasserdicht sind. Unterm Strich: reCAPTCHA hat sich schon mehrfach bewährt und ist kampferprobt. 

 

Vergebliche Login-Versuche

Einige unsere Nutzer:innen wollen gar nicht, dass Google weiß, dass sie sipgate Kund:innen sind – was wir sehr gut nachvollziehen können. Und: In manchen Ländern, wie zum Beispiel in China, werden Google-Dienste blockiert. Das alles ist uns bewusst. Und natürlich haben wir das auf dem Schirm, wenn es um die große, nachhaltige Lösung des Problems geht. 

Kund:innen zeigen sich zudem durch die unsichtbar im Hintergrund laufende Prüfung manchmal vollkommen zurecht leicht verwundert, wenn ein Login-Versuch nicht von Erfolg gekrönt ist. Aber die Alternative – eben dass jede Kundin und jeder Kunde vor dem Login erstmal Dinge ausfüllen oder lösen muss – war und ist für uns auch keine. Im Zuge der Nachbesserungen ist es nun zum Beispiel möglich, ein manuelles Captcha zu lösen, falls man geblockt wurde.

Für den Moment Luft verschafft

Wir wissen, dass wir es mit einer Truppe Angreifer, die sich offensichtlich professionell dem so genannten „credential stuffing“ widmen, zu tun haben. Nachdem wir übergangsweise eine eigene Lösung, ganz unabhängig von Google, eingesetzt haben, wurden die Attacke-Skripts zackig umgeschrieben. Also mussten wir schnell wieder zu reCaptcha switchen, um nicht nackt dazustehen. Der Punkt ist: Wir haben uns für den Moment Luft verschafft, wollen mittelfristig aber eine andere Lösung. Zumal die Gegenseite nicht schläft und weiter ihre virtuellen Messer wetzt. Gerade jetzt stecken kluge und Technik affine sipgate Mitarbeiter:innen ihre Köpfe zusammen, probieren Alternativen und entwickeln eine Google unabhängige langfristige Lösung. 

Wie geht es euch denn mit der aktuellen Situation? Habt ihr schlechte/gute Erfahrung mit unserem Login-Prozess gemacht? Oder: Ihr habt gute Vorschläge, ReCAPTCHA-Alternativen, Erfahrungswerte? Dann immer gerne her damit – zum Beispiel als Kommentar unter diesen Blogbeitrag …   

Weitere interessante Beiträge

14 Kommentare


Sascha Nos:

Ziemlich cool, wie offen ihr darüber redet. Aus meiner Sicht eine absolut nachvollziehbare Entscheidung. Vielleicht könnt ihr hieraus ja sogar ein Produkt entwickeln, das in Zukunft anderen (ähnlich geplagten) Betreibern von Web-Software eine Lösung mit mehr Datenschutz bietet :). Grüße aus Köln! Sascha

antworten

    steffen:

    Schön, dass du das auch so siehst, Sascha. Grüße aus Düsseldorf nach Kölle!
    Steffen

    antworten

A. H.:

Ich nutze mal die Gelegenheit: Nachdem ich am 8. und 9. Juli telefonischen Kontakt mit dem Support hatte, wollte ich sowieso noch ein paar Dinge dazu loswerden. Ich versuche mal, der meinerseits sehr geschätzen Transparenz mit unaufgeregter Kritik zu begegnen.

Ich gehöre zu den Kund:innen, die Probleme mit dem Login hatten, weil ich grundsätzlich erstmal alles Googelige im Browser gesperrt habe.

Schade war, dass mir der Support da einfach überhaupt nicht weiterhelfen konnte – Ich habe dann in Eigeninitiative herausgefunden, dass sich da (aus meiner Sicht plötzlich) ein „Klick-Affen-Test“ eingeschlichen hatte.

Kleiner Exkurs: Ich finde den Trend, Webseiten/Webshops/etc. von extern geladenen Ressourcen abhängig zu machen, extrem unerfreulich, aber die kann man ja im Browser sperren. Bei Fonts entstehen dabei meist keine direkten Nachteile, dann siehts halt nicht so toll aus, egal. Dass das pushen von Updates der Anrufliste so nicht funktioniert, belastet mich jetzt auch nicht wirklich. Wenn ich mich allerdings ohne Google-Kram überhaupt nicht einloggen kann und dabei auch nichtmal eine hilfreiche Fehlermeldung erscheint, hört der Spaß dann echt auf (Die Fehlermeldung klingt vielmehr so, als hätte mich ein Sipgate-System als Bot erkannt).

Nachdem der Telefonsupport mir am Tag darauf auf Nachfrage versicherte, dass sich beim Login nix geändert hätte, als ich meine Unzufriedenheit zum Google-Datensammel-Problem zum Ausruck brachte, hatte das im nachhinein den (ich unterstelle mal, unbeabsichtigen) Effekt von Gaslighting (Das Opfer wird dazu gebracht, an der wahrgenommenen Realität zu zweifeln): Ich war einerseits sicher, dass ich vorher zum Login noch nie reCaptcha laden musste, hatte aber auch erstmal keinen Ansatzpunkt, an den Aussagen des Supports zu zweifeln. Hätte ja auch ein Browser- oder Extension-Update oder sowas sein können.

Schade war auch, dass ich mich mit dem Google-Datensammel-Problem nicht ernstgenommen fühlte, was ja nach diesem Blogeintrag offensichtlich ein Thema ist, für das es doch zumindest ein Problembewusstsein gibt. Da die Frustration aus so einer Situation immer ein schlechter Ausgangspunkt für eine konstruktive Auseinandersetzung ist, habe ich danach entschieden, mir erstmal in Ruhe zu überlegen, was ich dazu zu sagen habe bzw. wie ich damit umgehen will (Was ich hiermit zumindest in Teilen getan habe).

Nur um das mal einzuordnen: Mein Frustrationslevel war schon in einem Bereich, dass ich wahrscheinlich gekündigt hätte, wenn es denn einen Anbieter mit vergleichbaren Funktionalitäten gäbe (Dass ich mit Sipgate Team jetzt mit meinen Nummern im Geschäftskundenvertrag gefangen bin und das Paket für mich als Einzelperson eigentlich viel zu groß ist, ist zwar nochmal ein anderes Thema, trägt aber dazu bei, dass ich für eine Alternative offen wäre).

antworten

    steffen:

    Da scheint leider etwas in unserer Kommunikation schief gelaufen zu sein. Das tut uns leid. Wäre schön, wenn wir das in einem persönlichen Gespräch nochmal ausführlich besprechen könnten.

    antworten

      A. H.:

      Klar, ich bin gerne bereit, mich mit euch konstruktiv zu unterhalten – Telefonnummer(n) sollte(n) ja bekannt sein, E-Mail funktioniert auch (Die angegebene E-Mail-Adresse passt zu meinem Account). Feel free to call any time, oder so.

      antworten

Thomas:

2-Faktor wäre vielleicht auch eine Lösung.

PS: Wann kommt denn endlich Eure iOS App raus? ich hätte so gerne alle meine Telefonnummern in einer ähnlichen App zu Satellite.

antworten

    steffen:

    Hallo Thomas,

    vielen Dank für deine Idee. Wir wissen, dass der Wunsch nach der iOS-App groß ist. Wir prüfen gerade, wann wir mit der Umsetzung starten. Übrigens: Unter https://feedback.sipgate.de/forums/916930-sipgate-team können alle unsere Kund:innen immer Wünsche und Verbesserungsvorschläge platzieren.

    antworten

    Martin Z.-H.:

    Erst mal, danke, dass sipgate dies so offen kommuniziert, allerdings möchte ich hier auch etwas Kritik üben.

    Ist ja nicht so, dass es nicht schon seit einem Jahr ein Feedback-Ticket (https://feedback.sipgate.de/forums/916930-feedback-feature-requests/suggestions/38289313-zwei-faktor-authentisierung) bei sipgate gibt (welches angeblich in Arbeit ist), in welchem es um Zwei-Faktor Authentisierung geht. TOTP sollte jetzt nicht so schwierig sein zu implementieren.

    Auf Fragen zum aktuellen Stand der Dinge in den Kommentaren gibt es leider kein Feedback.

    antworten

Werner:

Ich habe auch gerade an eine 2 Faktor Lösung gedacht. Mit Authentifikations Apps. Authy, von Buhl Data, Google, Microsoft usw. Keine Authentifizierung mit SMS, das fände ich nicht sicher genug. Ir könnt auch gerne eine eigene Authentifikations App entwickeln, die dazu verwendet werden kann.

Wenn etwas gegen die Lösung von Authentifizierungs Apps sprechen sollte, würde ich mich freuen, wenn ihr dies hier erläutert, danke im Voraus.

Ein Sipgate eigene App für Simquadrat oder Sipgate Basic, Sipgate Teams zur Administration fände ich klasse. Es gibt zwar zwei mir bekannte Externe Apps dafür, aber ich frage mich, warum Sipgate diese nicht selbst entwickelt, vielleicht könnt ihr dazu Stellung nehmen. Danke im Voraus.

Ich bin kein Experte von Sipgate Teams, kenne mich damit nicht aus. Muss ich auch nicht als Privatperson.

A. H.: es würde mich interessieren, aus welchen Gründen du als Einzelperson, Sipgate Teams , meines Wissens ein Geschäftskunden Produkt, nutzt? Sicher ist es auch für Privatpersonen buchbar, aber für was benötigst Du dies als Privatperson, wenn ich Fragen darf?

Ich bin nur interessierter Sipgate Basic (Faxversand) Simquadrat und Sipgate Satellite App mit Plus Version 4,99 Euro im Monat. auf drei Android Smartphones Nutzer.

antworten

    steffen:

    Hallo Werner, wie im Blogpost beschrieben: Wir prüfen gerade Alternativen und überlegen uns, wie wir uns da für die Zukunft aufstellen können. Können da aktuell noch keine Wasserstandsmeldung abgeben. Sobald es da etwas zu vermelden gibt, hörst du natürlich sofort von uns! Beste Grüße. Steffen

    antworten

    A. H.:

    @Werner: Ich benutze Sipgate Teams durchaus beruflich, für einen „Einzelkämpfer-Einzelunternehmer“ sind aber 2 der 3 Benutzer eigentlich überflüssig. Viele Funktionen von Teams sind toll, am Ende würde mir aber auch fast sowas wie Simquadrat reichen (Dazwischen gibts halt nix). Ein Wechsel von einem gewerblichen zu einem privaten Tarif ist aber wohl nicht vorgesehen, insofern ist das sowieso nur Theorie.

    antworten

autor:

Als Alternative: hCaptcha
Bestes drop in replacement für reCaptcha

antworten

Galaktor:

Hallo Steffen,

wie immer grosse Anerkennung was eure Transparenz angeht!

Leider zeigt es auch, dass Reaktivitaet vor Proaktivitaet steht:

– jetzt ist es so, dass wer per VPN rein kommt, oftmals als vermeintlich Unauthorisiert gelabelt wird, und das bevor ueberhaupt etwas eingetragen wurde oder gar gesendet, alleine aufgrund der IP, das ist ein NoGo
– die zu loesenden Aufgaben sind nervig, teilweise mehre hintereinander, nebenbei sei bemerkt, das dieses Captchas in asiatischer Heimarbeit erstellt werden, beides ist ein NoGo
– Sich von Google und den damit weiter gesammelten Daten abhaengig zu machen, vollkommen unakzeptabel, Stichwort Google Voice, noch nicht in De, aber vielleicht bald, auch dadurch das Google nun unsere Benutzerprofile erlernt und ggf. fuers eigene Produkt verwendet, Google Voice, aktuell nur in US.
– das das Geschaeftsmodell von Google mit VPN kolidiert sei hier nur der Vollstaendigkeit halber angemerkt.

Es mag aus der Situation heraus nachvollziehbar sein, Google zu etablieren, ist aus meiner Sicht in Summe so nicht akzeptabel.

– von mir betreute nicht IT affine Kunden werden verunsichert, ja sogar ueberfordert und wollen nur noch weg.

Wie weiter oben bereits komentiert, die angezeigte Meldung ist fuer Admin User vielleicht noch einzuordnen, jedoch nicht klar in ihrer Aussage.

Auch aus meiner Sicht waere Authy hier eine Loesung.

Beste Gruesse und Dank fuer eure Arbeit!!

antworten

Frank Petter:

Hallo Steffen,

eine kleine Anmerkung für die Suche nach einer reCaptcha-Alternative, beachtet dabei bitte die Barrierefreiheit. Für Menschen mit Sehbeeinträchtigungen ist reCaptcha eine Katastrophe.
Viel Erfolg weiterhin, Frank

antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.