AppSec-Vorhersagen 2021: Bots werden größer und intelligenter

Druckfreundlich, PDF & E-Mail

This is the first of a three-part series of AppSec predictions for 2021.  You can read the complete series here.

(Fast) jedes Jahr veröffentliche ich unsere AppSec-Prognosen – die drei Bedrohungen, die im kommenden Jahr eine besonders große Herausforderung darstellen könnten. In den vergangenen zwei Jahren lauteten die Prognosen: Credential-Stuffing/Account-Takeover-Angriffe, API-Angriffe und Supply-Chain-Angriffe.

In diesem Jahr sieht es etwas anders aus. Die Prognosen sind ein bisschen gezielter, aber im Großen und Ganzen geht es um dieselben Probleme. Im letzten Jahr haben wir unseren Threat Intelligence Service (Teil von Barracuda Advanced Bot Protection) um einige Sensoren und Informationen erweitert. Basierend auf Kundengesprächen und weiteren Untersuchungen zu Bedrohungen geben wir die folgenden Prognosen ab:

Bots werden intelligenter und von der Allgemeinheit bewusster wahrgenommen

Man könnte sagen, dass die Langeweile während der Pandemie zu einer größeren öffentlichen Wahrnehmung von Bots geführt hat. Bots – und vor allem Sneaker-Bots – sind in den vergangenen Jahren immer beliebter geworden. Diese Bots werden verwendet, um die neuesten Sneaker oder andere beliebte limitierte Artikel direkt nach ihrer Markteinführung zu ergattern und sie dann gewinnbringend weiterzuverkaufen. Dieser Trend ist zwar schon seit längerer Zeit zu beobachten, aber die neuen „AMD RX6000“-Grafikkarten, „Ryzen 5000“-Prozessoren und die Sony Playstation 5 haben dafür gesorgt, dass quasi jeder diese Produkte haben möchte und sich über Bots informiert.

 
 

 
Das AMD-Beispiel ist insofern interessant, als dass bestimmte Abwehrmaßnahmen gegen Bots angewendet werden – darunter CAPTCHAs, Kaufbeschränkungen je Kundenkonto, Reservierungen, Bot-Management-Lösungen und mehr. Viele dieser Lösungen sind allerdings unwirksam gegenüber den Bots, die heutzutage entwickelt werden. CAPTCHAs, einschließlich reCAPTCHA v3, können relativ leicht von Bots umgangen werden. Die meisten anderen Methoden stellen heute ebenso keine Hürde mehr für sie dar. Die einzige Ausnahme bilden erweiterte Bot-Management-Lösungen.

Der reCAPTCHA-Ansatz ist ein Beispiel dafür, dass Abwehrlösungen gegen Bots eher Menschen als Bots aus der Fassung bringen. Das altbekannte bildbasierte reCAPTCHA, das wir alle so sehr mögen, versagte vor ein paar Jahren. Deshalb veröffentlichte Google v3, das auf der „Reputation“ von Benutzern aufbaut. Eine höhere Reputation kann beispielsweise durch das Benutzerverhalten auf Google-Konten erreicht werden. Es gibt jetzt sogar Dienste, die Konten mit einer „hohen Reputation“ anbieten.

Eine Möglichkeit, Bots aufzudecken, besteht in der Analyse der IP-Reputation. Im Anschluss können entsprechende IP-Bereiche von Rechenzentren blockiert werden – eine geläufige Methode zum Blockieren von Bots. Mittlerweile gibt es auch eine Reihe von Diensten, die private IP-Bereiche zur Umgehung von Beschränkungen bereitstellen. Einige davon stammen von VPN-Diensten, die genutzt werden, um mit privaten IPs Inhaltsbeschränkungen und IP-Reputationsprüfungen zu umgehen.

Wenn wir schon beim Thema Ausnutzung von Knappheit und Verwendung von Bots zum Weiterverkauf sind: Auch der sozioökonomische Faktor, der zur Verbreitung von Bots beiträgt, ist bedeutsam. Zunächst einmal sind Bots teuer. Richtig gute Bots kosten ein Vermögen (im Tausenderbereich) und werden am Ende vermietet, um Geld zu verdienen. Neben dem Kauf eines Bots müssen auch Abonnements für gute private Proxys abgeschlossen werden, da alle guten Seiten die üblichen verdächtigen IP-Bereiche blockieren, z. B. bestimmte Länder und IP-Bereiche von Rechenzentren. Es ist also ziemlich teuer, einen Bot zu kaufen und zu betreiben. Dennoch geht aus unseren Untersuchungen hervor, dass immer mehr Menschen in Bots investieren – vor allem, wenn es um größere Markteinführungen geht. Es hat sich ein ganzer Geschäftszweig rund um Bots entwickelt, darunter Marktplätze wie Tidal, Botmart, Botbroker etc. Einige dieser Marktplätze arbeiten mit Mittelsmännern, die dafür sorgen, dass Kunden beim Kauf und Mieten von Bots nicht betrogen werden. Die meisten Bot-Entwickler haben ihre eigenen Discord-Support-Kanäle und bieten einen umfassenden Kundensupport an. Das Bot-Geschäft ist bereits recht groß und wird noch um einiges wachsen. Abgesehen davon macht sich dieses Geschäft den Knappheitsfaktor zunutze. Cook Groups oder andere Gruppen, die allesamt Hilfe und Informationen für Bot-Benutzer anbieten, haben nur begrenzte Kapazitäten, und Abonnements sind ziemlich kostspielig.

Kommen wir zu denjenigen zurück, die die Bots wirklich verwenden und Ware weiterverkaufen. Wir haben in zahlreichen Foren zum Thema feststellen können, dass in den vergangenen Monaten immer mehr Menschen ins Bot-Geschäft eingestiegen sind. Sie haben oft finanzielle Probleme und sehen darin eine Möglichkeit, etwas Geld dazuzuverdienen. In den Beiträgen suchen Personen nach günstigen Wegen, Bots zu verwenden. Dabei überlegen sie, ihre Ersparnisse aufzugeben, um Bots zu mieten und so während des Urlaubs zusätzliche Einkünfte zu erzielen. Immer mehr Menschen aus der EU und Kanada steigen in die Szene ein, die zuvor von Benutzern aus den USA dominiert wurde. Bei einer ganzen Reihe dieser Benutzer handelt es sich um Studenten.

In unserem Threat Spotlight von Anfang Dezember 2020 haben wir uns zwei bestimmte Muster im Umgang mit Bots näher angesehen. Wir haben einen Blick auf Daten aus unseren „Advanced Bot Protection“-Systemen geworfen und sind dabei auf zwei konkrete Erkenntnisse gestoßen: Zum einen scheinen Bot-Entwickler regelmäßige Arbeitszeiten zu haben. Zum anderen können sich böswillige Bots allem Anschein nach ziemlich gut im standardmäßigen Browser-Traffic verstecken. Dass Gartner bereits im WAF Magic Quadrant 2020 prognostizierte, dass der Schutz vor Bots jetzt im Rahmen des Webanwendungsschutzes immer bedeutender werden würde, grenzt dabei fast schon an ein Wunder.

Bis 2023 werden mehr als 30% aller öffentlichen Webanwendungen und APIs durch cloudbasierte WAAP-Dienste (Web Application and API Protection) geschützt sein, die DDoS-Schutz (Distributed Denial of Service), Bot-Abwehr, API-Schutz und Web Application Firewalls (WAFs) miteinander verbinden. Das entspricht heute einem Anstieg von weniger als 15%.​

Quelle: Gartner Magic Quadrant für Web Application Firewalls 2020

Während wir hier über Bots sprechen, ist das traditionelle „Schlangestehen“ für limitierte Produkte heute immer noch gang und gäbe. Die Markteinführung eines Sneakers hat in Singapur zu massiven Menschenansammlungen geführt, bei denen Pandemie-bedingte Beschränkungen ignoriert wurden. Aus diesem Grund musste die Regierung den Store sogar für kurze Zeit schließen.

Nächste Woche geht es mit Teil 2 der Reihe weiter. Schließen Sie sich in der Zwischenzeit unseren Experten für Anwendungssicherheit zu einer informativen Podiumsdiskussion über aktuelle Trends in den Bereichen Cybersicherheit, Web Application Security, Technologieprognosen 2021 und mehr an. Dieses Webinar ist kostenlos und on demand verfügbar:

Prognosen zur Anwendungssicherheit 2021: Bot-, API- und Supply-Chain-Angriffe
Webinar hier ansehen

Nach oben scrollen
Twittern
Teilen
Teilen