Die einen nutzen Suchmaschinen, um Informationen zu recherchieren. Die anderen, um vertrauliche Informationen zu stehlen. In ihrem aktuellen Hacker-Report untersuchen die Sicherheitsexperten von Imperva das so genannte Google Hacking. Ein Studienergebnis: Mit einer einzigen Suchmaschinenattacke können Hacker mehr als 80.000 tägliche Suchanfragen vortäuschen und so nach unsicheren Webanwendungen fahnden.
Dietmar Kenzle, Regional Sales Director DACH and Eastern Europe bei Imperva, kommentiert: „Das so genannte Google Hacking ist schon länger bekannt. Hacker denken sich aber immer neue Wege aus, um an sensible Daten zu gelangen.“ Google und andere Suchmaschinen versuchten zwar, den Datenklau durch Anti-Automatisierungsansätze zu unterbinden: „Cyberdiebe setzen aber zunehmend auf verteilte Bots. Diese verleiten zur Annahme, dass eine einzige Person eine Suche durchführt. Stattdessen attackieren Hacker die Search Engine im großen Stil.“
Um sich zu schützen, setzen Suchmaschinenanbieter auf Erkennungsmechanismen, die auf der IP-Adresse der zugrundeliegenden Suchanfrage basieren. Imperva hat herausgefunden, dass Hacker diese Methoden mittlerweile problemlos umgehen können: Sie streuen ihre Anfragen über ein Netzwerk, besser bekannt als Botnetz, verschiedener bereits angegriffener Suchmaschinen. Imperva-Experte Kenzle führt aus: „In einer Botnetz-Attacke können Hacker ihre Identität verbergen. Denn die eigentliche Suchanfrage stellt der bereits angegriffene Host. Eine Rückverfolgung wird so noch schwieriger.“
Imperva rät Search Engine-Anbietern, vermehrt auf ungewöhnliche und verdächtige Suchanfragen zu achten. Einige finden sich in öffentlichen Dork-Datenbanken. Suspekt sind aber auch Suchanfragen nach bekannten vertraulichen Dokumenten. Schützen können sich Suchmaschinenprovider durch strenge Anti-Automatisierungsrichtlinien für schwarzgelistete IPs.
Ein Beispiel ist der von Google oftmals angewendete CAPTCHA-Test. Sie können außerdem weitere suspekte Hosts bestimmen, um so die Schwarze Liste für IPs zu aktualisieren und deren Eigentümer vor einem möglichen Hackerangriff zu warnen.
Unternehmen rät Imperva zum Einsatz einer Web Application Firewall, die Angriffe aufspürt und blockt. Reputationsbasierte Kontrollen können darüber hinaus Attacken bekannter bösartiger Quellen mit dem Service ‚ThreatRadar’ auf der Web Application Firewall verhindern.
