Web-Scanning durch Bots?

Seit mehreren Tagen beobachte ich eine Welle von unmotivierten einzelnen Zugriffen auf verschiedene Webservern, die in zeitlichem Zusammenhang, aber aus völlig unterschiedlichen Ländern (die kaum auf deutsche Webseiten zugreifen) zugreifen und teils auch Schreibzugriffe versuchen. Dabei lassen sich zwei typische Zugriffstypen erkennen: Im einen wird als Browser eine Python-Library angegeben, bei dem anderen werden als Referer gleich eine größere Liste zufälliger URLs von (existierenden) weltweiten Webseiten angegeben.

Alles sieht aus als würden da durch ein größeres, weltweit verteiltes aber synchronisiertes Botnetz Webseiten nach Informationen (E-Mail-Adressen?) und Lücken durchsucht. Ein durchaus ernstzunehmendes Problem. Während einerseits die Server immer komplexer und damit fehleranfälliger (sicherheitslöchriger) werden, haben die Angreifer immer mehr Rechen- und Netzwerkleistung zur verfügung und können schon flächendeckend scannen und nach Löchern suchen. Man muß davon ausgehen, daß systematisch Datenbanken darüber erstellt werden, wer welche Software auf welcher Webseite verwendet. Beim Bekanntwerden einer Schwäche können Angreifer dann sofort zuschlagen. Da Schwächen inzwischen immer öfter nicht mehr öffentlich gemeldet, sondern auf Hacker-Auktionen für ziemlich viel Geld versteigert werden, führt das im Ergebnis zu einer schwerwiegenden Bedrohung der ganzen Infrastruktur. Insbesondere vor dem Hintergrund, daß sehr viele Anwendungen voller Löcher sind oder typische Applikationen oft in PHP geschrieben sind (so wie die hier genutzte Blog-Software), PHP selbst aber sicherheitstechnisch höchst bedenklich ist.

Im Ergebnis heißt das (wieder einmal), daß die Angreifer eine viel bessere Infrastruktur zum Aufspüren und Ausnutzen von Sicherheitslöchern haben als die Anwender zum Stopfen derselben. Die Verteidiger laufen den Angreifern nicht mehr voraus, sondern hinterher. Der Aufwand zum Erkennen, Reinigen und Stopfen eines kompromittierten Servers ist aber sehr viel höher als der, rechtzeitig einen Patch einspielen zu können, das ist nicht mehr aufzuholen. Milliarden von Websites sind nicht mehr von heute auf morgen umzustellen und neu zu implementieren. Vermutlich ist die Schlacht um die Websicherheit auf längere Zeit oder Dauer verloren, wir haben es nur noch nicht gemerkt.

Dabei soll (Quellen, Ideen und so) nicht unerwähnt bleiben, daß mir in den letzten Tagen irgendjemand erzählte, daß Bruce Schneier in seinem Blog oder Newsletter etwas ähnliches über Spam geschrieben haben soll: Während Spammen immer billiger wird und immer mehr Sendeleistung zur Verfügung steht, wird das Abwehren immer teurer. Ein Krieg, den die Verteiidiger (so) nicht gewinnen können.