Google Hacking: Datensicherheitsexperten von Imperva warnen vor Botnetz-Angriffstricks
In ihrem aktuellen Hacker-Report untersuchen die Sicherheitsexperten von Imperva das so genannte Google Hacking. Ein Studienergebnis: Mit einer einzigen Suchmaschinenattacke können Hacker mehr als 80.000 tägliche Suchanfragen vortäuschen und so nach unsicheren Webanwendungen fahnden.
Impervas Hacker Intelligence Initiative (HII) veröffentlicht regelmäßig Trend Reports, die Hackerpraktiken auf den Zahn fühlen und Abwehrtechniken vorstellen. Der aktuelle Bericht durchleuchtet eine Angriffsmethode, bei der Hacker mit automatischen Botnetzen Suchmaschinen attackieren. Dietmar Kenzle, Regional Sales Director DACH and Eastern Europe bei Imperva, kommentiert: „Das so genannte Google Hacking ist schon länger bekannt. Hacker denken sich aber immer neue Wege aus, um an sensible Daten zu gelangen.“ Google und andere Suchmaschinen versuchten zwar, den Datenklau durch Anti-Automatisierungsansätze zu unterbinden: „Cyberdiebe setzen aber zunehmend auf verteilte Bots. Diese verleiten zur Annahme, dass eine einzige Person eine Suche durchführt. Stattdessen attackieren Hacker die Search Engine im großen Stil.“
Google Hacking beschreibt Attacken auf alle Suchmaschinen. Mithilfe dieser Methode wollen Hacker anonym und risikofrei Informationen über mögliche Ziele und Sicherheitslücken spionieren. So können sie maßgeschneiderte Angriffspläne gegen Unternehmensanwendungen entwickeln und beispielsweise Webseiten kontaminieren, Daten stehlen oder ganze Server übernehmen. Um Suchmaschinen für ihre Zwecke zu nutzen, automatisieren Hacker Suchanfragen und -ergebnisse. Auf diese Weise können sie schnell und problemlos eine riesige Zahl an Anfragen stellen, Resultate durchleuchten und eine gefilterte Auflistung aller möglichen Angriffsziele erhalten. Einige Hacker fokussieren ihre Attacke auf alle Sicherheitslücken einer speziellen Website: Sie stellen verschiedene Suchanfragen, Dorks genannt, die den Seitensuch-Operator beinhalten.
Um sich zu schützen, setzen Suchmaschinenanbieter auf Erkennungsmechanismen, die auf der IP-Adresse der zugrundeliegenden Suchanfrage basieren. Imperva hat herausgefunden, dass Hacker diese Methoden mittlerweile problemlos umgehen können: Sie streuen ihre Anfragen über ein Netzwerk, besser bekannt als Botnetz, verschiedener bereits angegriffener Suchmaschinen. Imperva-Experte Kenzle führt aus: „In einer Botnetz-Attacke können Hacker ihre Identität verbergen. Denn die eigentliche Suchanfrage stellt der bereits angegriffene Host. Eine Rückverfolgung wird so noch schwieriger.“ Angriffe dieser Art seien sehr flexibel: „Jede Komponente kann ohne weiteres verändert werden. Der eigentliche Angreifer und seine Methoden bleiben dem attackierten Server und der missbrauchten Suchmaschine verborgen – besorgniserregend sowohl für die Anbieter von Suchmaschinen als auch für Unternehmen.“
Imperva rät Search Engine-Anbietern, vermehrt auf ungewöhnliche und verdächtige Suchanfragen zu achten. Einige finden sich in öffentlichen Dork-Datenbanken. Suspekt sind aber auch Suchanfragen nach bekannten vertraulichen Dokumenten. Schützen können sich Suchmaschinenprovider durch strenge Anti-Automatisierungsrichtlinien für schwarzgelistete IPs. Ein Beispiel ist der von Google oftmals angewendete CAPTCHA-Test. Sie können außerdem weitere suspekte Hosts bestimmen, um so die Schwarze Liste für IPs zu aktualisieren und deren Eigentümer vor einem möglichen Hackerangriff zu warnen. Unternehmen rät Imperva zum Einsatz einer Web Application Firewall, die Angriffe aufspürt und blockt. Reputationsbasierte Kontrollen können darüber hinaus Attacken bekannter bösartiger Quellen mit dem Service ‚ThreatRadar’ auf der Web Application Firewall verhindern.
Impervas Hacker Intelligence Initiative (HII) veröffentlicht regelmäßig Trend Reports, die Hackerpraktiken auf den Zahn fühlen und Abwehrtechniken vorstellen. Der aktuelle Bericht durchleuchtet eine Angriffsmethode, bei der Hacker mit automatischen Botnetzen Suchmaschinen attackieren. Dietmar Kenzle, Regional Sales Director DACH and Eastern Europe bei Imperva, kommentiert: „Das so genannte Google Hacking ist schon länger bekannt. Hacker denken sich aber immer neue Wege aus, um an sensible Daten zu gelangen.“ Google und andere Suchmaschinen versuchten zwar, den Datenklau durch Anti-Automatisierungsansätze zu unterbinden: „Cyberdiebe setzen aber zunehmend auf verteilte Bots. Diese verleiten zur Annahme, dass eine einzige Person eine Suche durchführt. Stattdessen attackieren Hacker die Search Engine im großen Stil.“
Google Hacking beschreibt Attacken auf alle Suchmaschinen. Mithilfe dieser Methode wollen Hacker anonym und risikofrei Informationen über mögliche Ziele und Sicherheitslücken spionieren. So können sie maßgeschneiderte Angriffspläne gegen Unternehmensanwendungen entwickeln und beispielsweise Webseiten kontaminieren, Daten stehlen oder ganze Server übernehmen. Um Suchmaschinen für ihre Zwecke zu nutzen, automatisieren Hacker Suchanfragen und -ergebnisse. Auf diese Weise können sie schnell und problemlos eine riesige Zahl an Anfragen stellen, Resultate durchleuchten und eine gefilterte Auflistung aller möglichen Angriffsziele erhalten. Einige Hacker fokussieren ihre Attacke auf alle Sicherheitslücken einer speziellen Website: Sie stellen verschiedene Suchanfragen, Dorks genannt, die den Seitensuch-Operator beinhalten.
Um sich zu schützen, setzen Suchmaschinenanbieter auf Erkennungsmechanismen, die auf der IP-Adresse der zugrundeliegenden Suchanfrage basieren. Imperva hat herausgefunden, dass Hacker diese Methoden mittlerweile problemlos umgehen können: Sie streuen ihre Anfragen über ein Netzwerk, besser bekannt als Botnetz, verschiedener bereits angegriffener Suchmaschinen. Imperva-Experte Kenzle führt aus: „In einer Botnetz-Attacke können Hacker ihre Identität verbergen. Denn die eigentliche Suchanfrage stellt der bereits angegriffene Host. Eine Rückverfolgung wird so noch schwieriger.“ Angriffe dieser Art seien sehr flexibel: „Jede Komponente kann ohne weiteres verändert werden. Der eigentliche Angreifer und seine Methoden bleiben dem attackierten Server und der missbrauchten Suchmaschine verborgen – besorgniserregend sowohl für die Anbieter von Suchmaschinen als auch für Unternehmen.“
Imperva rät Search Engine-Anbietern, vermehrt auf ungewöhnliche und verdächtige Suchanfragen zu achten. Einige finden sich in öffentlichen Dork-Datenbanken. Suspekt sind aber auch Suchanfragen nach bekannten vertraulichen Dokumenten. Schützen können sich Suchmaschinenprovider durch strenge Anti-Automatisierungsrichtlinien für schwarzgelistete IPs. Ein Beispiel ist der von Google oftmals angewendete CAPTCHA-Test. Sie können außerdem weitere suspekte Hosts bestimmen, um so die Schwarze Liste für IPs zu aktualisieren und deren Eigentümer vor einem möglichen Hackerangriff zu warnen. Unternehmen rät Imperva zum Einsatz einer Web Application Firewall, die Angriffe aufspürt und blockt. Reputationsbasierte Kontrollen können darüber hinaus Attacken bekannter bösartiger Quellen mit dem Service ‚ThreatRadar’ auf der Web Application Firewall verhindern.