Nicht jeder Hackangriff ist zerstörerisch, die „leisen“ Methoden des Webscraping

In Diskussionen mit Security Experten steht meistens im Vordergrund, welchen Schaden eine bestimmte Attacke auf Netze, Server oder Anwendungen anrichten kann. Zunächst denkt man da an rein destruktive Maßnahmen, etwa die Kompromittierung von Servern mit dem Ziel, dass diese aufgrund der Angriffe ihre Funktion einstellen und somit ein bestimmter Dienst oder eine Anwendung nicht mehr zur Verfügung steht.

Eine ganze Armee von Sicherheitstechnologien wie Firewalls, IPS/IDS, AV, AAA, SSL, etc. steht allzeit bereit, dem zerstörerischen Machwerk von „bösen Mächten“ tapfer entgegenzutreten. Doch es gibt auch Angriffsszenarien, die keinen bleibenden bzw. sichtbaren Schaden beim Angegriffenen hinterlassen, ihn aber dennoch nachhaltig in seinem Geschäftsmodell schaden können. Gemeint ist das „Stehlen“ von Informationen, die man üblicherweise recht einfach von Webservern abziehen kann. Diese Technik nennt sich Webscraping und ist sehr weit verbreitet, insbesondere auch deshalb, weil z.B. Suchmaschinen genau diese Technik einsetzen. Es gibt somit ein „gutes Webscraping“, denn jeder möchte in Suchmaschinen auffindbar sein und kaum jemand wird sich darüber beschweren.

Das „böse Webscraping“ stiehlt indes geistiges Eigentum zum Zwecke der Optimierung des eigenen Geschäftsmodells oder versucht, Schwachstellen auf Webservern zu identifizieren und diese dann tatsächlich in einer weiteren Attacke auch gezielt und destruktiv anzugreifen.

Kommen wir auf den ersten Fall zurück – jemand stiehlt automatisiert Informationen von Webdiensten, um diese für das eigene Geschäftsmodell zu verwenden. Stellen Sie sich beispielsweise einen Online-Reiseveranstalter vor, der im wiederkehrenden Rhythmus von allen Fluggesellschaften die aktuellen Flugpreise zu den wichtigsten Urlaubszielen abgreift und diese Übersicht dann auf dem eigenen Portal den eigenen Kunden präsentiert, etwa: „Am Dienstag fliegen Sie nach Teneriffa am günstigsten mit Anbieter XYZ!“

Als Geschädigter kann man sich im Übrigen dagegen rechtlich wehren, doch auch hier gilt der alte Spruch: „Wo kein Kläger, da kein Richter!“ Tatsächlich gibt es aber Beispiele, in dem sich Unternehmen erfolgreich vor Gericht zur Wehr gesetzt haben. Doch viele scheuen natürlich den Aufwand, den ein solcher Rechtsprozess nach sich ziehen kann und auch die dadurch erzeugte Öffentlichkeit ist nicht immer im Sinne des Geschädigten.

Eine bessere Möglichkeit besteht darin, die beschriebenen Angriffsszenarien technisch abzuwehren. Angreifer verwenden Scanner oder Bots, um an die gewünschten Informationen zu kommen. Dabei handelt es sich um automatisiert ablaufende Programme und genau hier existiert der technische Ansatz, um diese Spione auszuschalten. Jede Automatisierung führt Aktionen aus, die hinsichtlich der Zyklen und Verfahren sehr deterministisch sind. Genau darin besteht auch der Unterschied zu einem Nutzungsverhalten, wie es etwa ein Mensch an den Tag legen würde.

Die F5 Webapplication Firewall ASM (Application Security Manager) bietet in der aktuellen Version die Möglichkeit, Webscraping Angriffe zu erkennen und gezielt zu blocken. Dabei kann man durchaus selektiv vorgehen und beispielsweise eine Positivlist von IP-Adressen erstellen, um etwa Suchmaschinen weiterhin ihren Job machen zu lassen. Schließlich soll doch gerade Ihr Business unter den Top-10 Suchergebnissen gelistet sein.

Published May 10, 2011
Version 1.0

Was this article helpful?

No CommentsBe the first to comment