Jetzt ist es an der Zeit, Ihre Bot-Gegenmaßnahmen neu zu bewerten
Wenn Sie als Sicherheitsexperte glauben, dass Sie Ihr Bot-Eindämmungsproblem gelöst haben, denken Sie noch einmal darüber nach.
Bots verursachen enorme finanzielle Probleme: Credential Stuffing -Bots führen zur Übernahme von Konten, nicht autorisierte Reseller-Bots machen Produkteinführungen und zeitlich begrenzte Angebote zu einem Fiasko, Scraper-Bots verlangsamen die Leistung und erhöhen die Infrastrukturkosten, Bots zum Knacken von Geschenkkarten leeren Guthaben und verärgern Kunden. Nicht nur die Auswirkungen sind enorm, auch die Wahrscheinlichkeit eines Angriffs auf Online-Unternehmen liegt bei nahezu 100 Prozent, weil solche Angriffe für Kriminelle so lukrativ sind. Angesichts der enormen Auswirkungen und der hohen Wahrscheinlichkeit benötigen Sie eindeutig eine wirksame Sicherheitsstrategie. Doch wie aktuelle Schlagzeilen zeigen, entwickeln Angreifer weiterhin Umgehungsmethoden für häufig eingesetzte Bot-Abwehrmaßnahmen. Jetzt ist also ein guter Zeitpunkt, Ihre Gegenmaßnahmen gegen Bots zu überprüfen.
Am 24. Januar 2023 sagte Joe Berchtold, der Präsident von Ticketmasters Muttergesellschaft Live Nation, vor dem US- Der Justizausschuss des US-Senats kam zu dem Schluss, dass Reseller-Bots für die Misswirtschaft beim Ticketverkauf für Taylor Swifts bevorstehende Tour verantwortlich seien. „Dies hat zu einem schrecklichen Verbrauchererlebnis geführt, das wir zutiefst bedauern“, sagte Berchtold den Senatoren.
Ebenfalls im Januar 2023 berichtete CNET , dass Tausende von Benutzern des Passwortmanagers Norton Benachrichtigungen erhielten, dass sich möglicherweise eine unbefugte Partei Zugriff auf ihre persönlichen Daten und die in ihren Tresoren gespeicherten Passwörter verschafft habe. Gen Digital, die Muttergesellschaft von Norton, führte den Sicherheitsvorfall auf einen Bot-gesteuerten Credential Stuffing -Angriff zurück. Den Vorfall erkannte das Unternehmen, als sein IDS-System (Intrusion Detection Systems) eine ungewöhnlich hohe Zahl fehlgeschlagener Anmeldungen meldete.
Ticketmaster hat in die Abwehr von Bots investiert und wir können davon ausgehen, dass auch Gen Digital über entsprechende Schutzmaßnahmen verfügt hat. Dennoch verursachten Bots Sicherheitsschäden, beeinträchtigten die Verfügbarkeit und Vertraulichkeit und sorgten für jede Menge schlechte Presse. Dies wirft eine offensichtliche Frage auf: Obwohl es bereits seit Jahren Anti-Bot-Lösungen gibt, warum gelingt es so vielen Bot-Abwehrmaßnahmen nicht, bösartige Bots abzuwehren?
Für Organisationen, die immer noch auf CAPTCHA vertrauen, liegt die Antwort auf der Hand. Abgesehen davon, dass es echte Kunden verärgert und die Konversionsraten im E-Commerce verringert, funktioniert CAPTCHA nicht. Führen Sie einfach eine Websuche nach CAPTCHA-Lösungsdiensten durch und Sie werden mindestens ein Dutzend finden, die in Bezug auf Preis und Geschwindigkeit konkurrieren. Der Entwickler einer Open-Source-Bibliothek hat es sich zur Aufgabe gemacht, das Umgehen von CAPTCHAs kinderleicht zu machen:
„CAPTCHAs sind in ihrer aktuellen Form gescheitert. Für den Menschen stellen sie ein viel größeres Hindernis und Ärgernis dar als für Roboter, was sie nutzlos macht. Mein anarchistischer Beitrag zu dieser Diskussion besteht darin, diese Absurdität anhand eines Plugins für Roboter zu demonstrieren, mit dem eine einzige Codezeile ausreicht, um reCAPTCHAs auf jeder Site zu umgehen.“
Für Organisationen, die sich zur Abwehr von Bots auf WAF-basierte IP-Sperrlisten verlassen, ist die Aufgabe ebenso aussichtslos. Es gibt Dienste, die Bot-Erstellern zig Millionen private IP-Adressen anbieten, mit denen die Bot-Erkennung umgangen werden soll. Diese Dienste werden als rotierende Residential Proxies beworben; der Bot sendet HTTP-Anfragen an den Proxy, ähnlich wie viele Unternehmensbrowser Anfragen über Forward-Proxies senden, und der Dienst wechselt kontinuierlich die öffentliche IP-Adresse, die zum Senden der Anfrage an die Website oder API verwendet wird. In der Vergangenheit verwendeten Bots normalerweise Data-Center-Proxies, oft von Cloud-Diensten, die bekannt und leicht zu identifizieren sind. Diese neuen Proxy-Dienste verwenden jedoch private IP-Adressen aus derselben geografischen Region wie Ihre Kunden. Da jede IP-Adresse aufgrund des NATings durch ISPs gleichzeitig entweder einen Bot oder einen gültigen Kunden darstellen könnte, ist es nicht möglich, alle diese IP-Adressen zu blockieren, ohne Ihre echten Kunden abzuweisen.
Neue kommerzielle Dienste wie ZenRows , ScrapFly und ScrapingBee gehen noch einen Schritt weiter und machen Web Scraping so einfach wie das Aufrufen einer API. Die Dienste übernehmen die volle Verantwortung für das Umgehen von Bot-Abwehrmechanismen in Ihrem Namen. Während sich diese API-basierten Dienste ausschließlich auf das Scraping konzentrieren, das in den USA und der Europäischen Union legal ist, haben Kriminelle im Dark Web Zugriff auf ähnliche Dienste, die schändlichere Bot-Angriffe wie Credential Stuffing durchführen.
Zusätzlich zu den kommerziellen Diensten befassen sich mehrere Open-Source-Projekte mit der Umgehung von Bots. Ein Stealth-Plugin für Puppeteer, ein beliebtes Automatisierungs- und Testtool von Node.js, ermöglicht es Puppeteer, die Erkennung zu umgehen. Eine aktive Gruppe von Entwicklern pflegt das Projekt auf GitHub und veröffentlicht Updates, wenn bekannt ist, dass es von einer Bot-Abwehr erkannt wird. In der Dokumentation heißt es: „Da sich dieses Katz-und-Maus-Spiel noch in der Anfangsphase befindet und ein hohes Tempo aufweist, wurde das Plug-In so flexibel wie möglich gehalten, um schnelle Tests und Iterationen zu unterstützen.“ Eine ähnliche Bibliothek, undetected-chromedriver , richtet sich an Python-Entwickler. Im Sinne von Open Source besteht der Zweck dieser Projekte darin, das Web für Entwickler offen zu halten, damit diese Automatisierungsvorgänge für Apps ausführen können. Leider können Kriminelle diese Funktion leicht ausnutzen.
Da immer mehr Organisationen an der Erstellung von Open-Source-Projekten und kommerziellen Diensten beteiligt sind, lernen die Entwickler, die an der Umgehung von Bot-Abwehrmechanismen beteiligt sind, dazu und tauschen Informationen aus. Diese Anweisungen führen den Leser durch die Schritte zum Deobfuskieren des JavaScript von Erkennungstools und entschlüsseln, wie diese Tools ihre Daten für den Transport zu ihrem Erkennungsdienst verpacken. Durch Reverse Engineering des clientseitigen Codes finden diese Entwickler heraus, wie die Erkennungstools funktionieren. Beispielsweise teilt ein Entwickler für ZenRows seine Erkenntnisse über die Fenstergröße und die Art und Weise, wie Bot-Erkennungsdienste Inkonsistenzen erkennen, mit:
„Im Beispielbild mit den Sensordaten können wir sehen, dass die Fenstergröße gesendet wird. Die meisten Datenpunkte hängen zusammen: tatsächlicher Bildschirm, verfügbare, innere und äußere Größen. Beispielsweise sollte das Innere nie größer als das Äußere sein. Zufällige Werte funktionieren hier nicht. Sie benötigen einen Satz tatsächlicher Größen.“
Angesichts der Schwere der Bedrohung ist es eindeutig an der Zeit, Ihre Gegenmaßnahmen zur Bot-Eindämmung zu überdenken. Als führender Anbieter in Sachen Bot-Erkennung kann F5 helfen. Wenn Sie den tatsächlichen Stand Ihrer Bot-Abwehrwirksamkeit verstehen möchten, wissen möchten, welche Bots Sie übersehen und welche Kosten dies Ihrem Unternehmen verursacht, bietet F5 eine kostenlose Bedrohungsanalyse und Beratung zu den geschäftlichen Auswirkungen von Bots an.