Unsichtbare Angreifer

Um sich zu schützen, setzen Suchmaschinenanbieter auf Erkennungsmechanismen, die auf der IP-Adresse der zugrundeliegenden Suchanfrage basieren. Imperva hat herausgefunden, dass Hacker diese Methoden mittlerweile problemlos umgehen können: Sie streuen ihre Anfragen über ein Netzwerk, besser bekannt als Botnetz, verschiedener bereits angegriffener Suchmaschinen.

Imperva-Experte Kenzle führt aus: „In einer Botnetz-Attacke können Hacker ihre Identität verbergen. Denn die eigentliche Suchanfrage stellt der bereits angegriffene Host. Eine Rückverfolgung wird so noch schwieriger.“ Angriffe dieser Art seien sehr flexibel: „Jede Komponente kann ohne weiteres verändert werden. Der eigentliche Angreifer und seine Methoden bleiben dem attackierten Server und der missbrauchten Suchmaschine verborgen – besorgniserregend sowohl für die Anbieter von Suchmaschinen als auch für Unternehmen.“

Imperva rät Search-Engine-Anbietern, vermehrt auf ungewöhnliche und verdächtige Suchanfragen zu achten. Einige finden sich in öffentlichen Dork-Datenbanken. Suspekt sind aber auch Suchanfragen nach bekannten vertraulichen Dokumenten. Schützen können sich Suchmaschinenprovider durch strenge Anti-Automatisierungsrichtlinien für schwarzgelistete IPs.

Ein Beispiel ist der von Google oftmals angewendete CAPTCHA-Test. Sie können außerdem weitere suspekte Hosts bestimmen, um so die Schwarze-Liste für IPs zu aktualisieren und deren Eigentümer vor einem möglichen Hackerangriff zu warnen. Unternehmen rät Imperva zum Einsatz einer Web-Application-Firewall, die Angriffe aufspürt und blockt. Reputationsbasierte Kontrollen können darüber hinaus Attacken bekannter bösartiger Quellen mit dem Service „ThreatRadar“ auf der Web-Application-Firewall verhindern.