Datendiebstahl per Dauerfeuer

Der Imperva "Web Application Attack Report (WAAR)", der im Rahmen von Impervas fortlaufender Hacker Intelligence initiative (HII) erstellt wird, beinhaltet Informationen über einen Zeitraum von sechs Monaten (Dezember 2010 bis Mai 2011).
Auch wenn der größte Teil aller Angriffe aus den USA stammt, liegt mit Deutschland auch ein europäisches Land zumindest bei den tückischen Remote File Inclusion (RFI)-Angriffen weitweit auf Platz zwei.

Mehr als 10 Millionen Angriffe protokolliert

Imperva überwachte und protokollierte mehr als 10 Millionen einzelne Angriffe im Internet, einschließlich Angriffen über das TOR-Netzwerk und auf mehr als 30 Webapplikationen von Großunternehmen und Regierungseinrichtungen. Der Bericht beschreibt Häufigkeit, Typ und Herkunftsland jedes Angriffs, um Sicherheitsverantwortlichen eine bessere Priorisierung ihrer Abwehrmechanismen zu erlauben.

“Sicherheitsforscher konzentrieren sich meistens auf die Identifizierung von Schwachstellen”, kommentiert Amichai Shulman, CTO von Imperva und Leiter der Forschungsgruppe, den Bericht. “Diese Informationen sind sehr wichtig, helfen Unternehmen aber nicht unbedingt dabei, ihre Sicherheitsmaßnahmen zu fokussieren. In den OWASP Top 10 kommen Remote File Inclusion und Directory Traversal-Attacken beispielsweise gar nicht vor – unsere Untersuchungen zeigen jedoch, dass sie sehr häufig für den Diebstahl von Informationen verwendet werden. Ohne Informationen über die praktische Ausnutzung von Schwachstellen ist es schwer, ein effektives Risikomanagement zu betreiben.”

Wichtige Ergebnisse

• Die meisten Angriffe erfolgen automatisiert. Dem WAAR zufolge waren in den beobachteten sechs Monaten Phasen mit extrem vielen Angriffen in sehr kurzer Zeit zu beobachten, gefolgt von Perioden mit geringeren Angriffsaktivitäten. Dieses Angriffsmuster ist laut den Sicherheitsexperten von Imperva ein sicherer Indikator für automatisierte Angriffe. Durchschnittlich 27 Attacken pro Stunde setzen sich zusammen aus automatisierten Angriffen, in denen bis zu 25.000 Vorgänge pro Stunde zu beobachten waren, und deutlich ruhigeren Phasen. Zu Spitzenzeiten waren also einzelne Unternehmensaplikationen bis zu sieben Mal pro Sekunde unter Beschuss.
• The Unfab Four. Die vier häufigsten Angriffe in den letzten sechs Monaten waren Directory Traversal-Angriffe (37 Prozent), Cross-Site-Scripting (36 Prozent), SQL-Injection (23 Prozent) und Remote File Inclusion (vier Prozent). Diese Angriffe wurden oft kombiniert eingesetzt, um Schwachstellen erst zu finden und sie dann auszunutzen.
• Deutschland bei Remote File Inclusion auf Platz 2. Die meisten Angriffe werden in den USA gestartet. Bei Angriffen per Remote File Inclusion liegt Deutschland weltweit auf dem zweiten Platz – bei den anderen, häufigeren Angriffen liegen China, Schweden oder Frankreich meist deutlich weiter vorn. Die Lokalisierung eines Angriffs per IP-Adresse trifft allerdings keine Aussage darüber, von wo aus der Angriff kontrolliert wurde. Die Untersuchung zeigt, dass die 10 aktivsten Angreifer über ein extrem leistungsfähiges Netzwerk verfügen und für 29 Prozent aller Angriffe verantwortlich sind.

Deutsche Hacker "auf den Geschmack gekommen"?

“Deutschland liegt damit bei einer gefährlichen Angriffsart ungewöhnlich weit vorn”, so Dietmar Kenzle, Regional Sales Director DACH und Zentraleuropa bei Imperva. “Möglicherweise sind einige Hacker, die von hier aus operieren, durch jüngste Attacken mit dieser Methode auf den Geschmack gekommen. RFI unterläuft viele Sicherheitsvorkehrungen, die von Unternehmen und öffentlichen Einrichtungen heute eingesetzt werden, sehr wirkungsvoll.”

Fortschreitender Automatisierungsgrad erschreckend

“Der fortschreitende Automatisierungsgrad bei den Attacken ist erschreckend”, ergänzt Amichai Shulman. “Dabei handelt es sich um eine der wichtigsten Veränderungen in der Kriminalhistorie: Man kann Auto- oder Taschendiebstahl nicht automatisieren – den Diebstahl von Daten schon. Durch diese Entwicklung werden digitale Verbrechen gewöhnliche Delikte beim finanziellen Schaden sehr bald überholen.”

Short Facts

Ein paar weitere Fakten, die die Studie ermittelt hat:

• Anzahl der Webseiten weltweit: 357.292.065
• Preis für Administratorrechte auf einer Regierungs-
  oder Militärseite auf dem Schwarzmarkt: 499,- USD
• Preis für den Zugriff auf die Datenbank einer Dating-Plattform: 2.000,- USD

Den vollständigen Imperva Web Application Attac Report (Englisch) können Sie hier downloaden.