|
|
Rubrik: Virenwarnung/Hintergrund Google Hacking: Hacker können mehr als 80.000 tägliche Suchanfragen vortäuschen und so nach unsicheren Webanwendungen fahnden Bot-Netz-Angriffstricks:
In einer Bot-Netz-Attacke können Hacker ihre Identität verbergen, denn die eigentliche Suchanfrage stellt der bereits angegriffene Host (
Anzeige
Impervas Hacker Intelligence Initiative (HII) veröffentlicht regelmäßig
Trend Reports, die Hacker-praktiken auf den Zahn fühlen und Abwehrtechniken
vorstellen. Der aktuelle Bericht durchleuchtet eine Angriffsmethode, bei der
Hacker mit automatischen Bot-Netzen Suchmaschinen
attackieren. Dietmar Kenzle, Regional Sales Director DACH and Eastern Europe bei Imperva,
kommentiert: "Das so genannte Google Hacking ist schon länger bekannt. Hacker denken sich aber
immer neue Wege aus, um an sensible Daten zu gelangen." Google und andere Suchmaschinen versuchten zwar, den
Datenklau durch Anti-Automatisierungsansätze zu unterbinden: "Cyberdiebe
setzen aber zunehmend auf verteilte Bots. Diese
verleiten zur Annahme, dass eine einzige Person eine Suche durchführt.
Stattdessen attackieren Hacker die Search Engine im großen Stil." Google Hacking
beschreibt Attacken auf alle Suchmaschinen. Mithilfe dieser Methode wollen
Hacker anonym und risikofrei Informationen über mögliche Ziele und
Sicherheitslücken spionieren. So können sie maßgeschneiderte Angriffspläne
gegen Unternehmensanwendungen entwickeln und beispielsweise Webseiten
kontaminieren, Daten stehlen oder ganze Server übernehmen. Um Suchmaschinen
für ihre Zwecke zu nutzen, automatisieren Hacker Suchanfragen und
-ergebnisse. Auf diese Weise können sie schnell und problemlos eine riesige
Zahl an Anfragen stellen, Resultate durchleuchten und eine gefilterte Auflistung
aller möglichen Angriffsziele erhalten. Einige Hacker fokussieren ihre
Attacke auf alle Sicherheitslücken einer speziellen Website: Sie stellen
verschiedene Suchanfragen, Dorks genannt, die den Seitensuch-Operator beinhalten. Um sich zu schützen, setzen Suchmaschinenanbieter auf Erkennungsmechanismen, die auf der IP-Adresse der zugrundeliegenden Suchanfrage basieren. Imperva hat herausgefunden, dass Hacker diese Methoden mittlerweile problemlos umgehen können: Sie streuen ihre Anfragen über ein Netzwerk, besser bekannt als Bot-Netz, verschiedener bereits angegriffener Suchmaschinen. Imperva-Experte Kenzle führt aus: "Eine Rückverfolgung wird so noch schwieriger." Angriffe dieser Art seien sehr flexibel: "Jede Komponente kann ohne weiteres verändert werden. Der eigentliche Angreifer und seine Methoden bleiben dem attackierten Server und der missbrauchten Suchmaschine verborgen – besorgniserregend sowohl für die Anbieter von Suchmaschinen als auch für Unternehmen." Imperva rät Search
Engine-Anbietern, vermehrt auf ungewöhnliche und
verdächtige Suchanfragen zu achten. Einige finden sich in öffentlichen Dork-Datenbanken. Suspekt sind aber auch Suchanfragen
nach bekannten vertraulichen Dokumenten. Schützen können sich
Suchmaschinenprovider durch strenge Anti-Automatisierungsrichtlinien für schwarzgelistete IPs. Ein
Beispiel ist der von Google oftmals angewendete CAPTCHA-Test. Sie können außerdem weitere suspekte Hosts
bestimmen, um so die Schwarze Liste für IPs zu
aktualisieren und deren Eigentümer vor einem möglichen Hackerangriff zu
warnen. Unternehmen rät Imperva
zum Einsatz einer Web Application Firewall, die Angriffe aufspürt und blockt.
Reputationsbasierte Kontrollen können darüber hinaus Attacken bekannter bösartiger
Quellen mit dem Service ThreatRadar auf der Web Application Firewall
verhindern. (Imperva: ra) |
||
|
