Google schickt Botnetze auf Schwachstellensuche
Mit dem Cloud Security Scanner sollen App-Engine-Entwickler ihre eigenen Web-Anwendungen testen lassen. Die Scans führt ein ferngesteuertes Netz aus virtuellen Maschinen aus.
Mit einem dynamisch erzeugten Botnetz aus virtuellen Maschinen macht sich Googles Cloud Security Scanner auf die Suche nach Schwachstellen in Web-Anwendungen. Die Untersuchung berücksichtige dabei etwa Anfälligkeiten für Cross-Site-Scripting (XSS) und Szenarien, in denen eine sichere HTTPS-Webseite Java-Script oder CSS unsicher via HTTP nachlädt. Im Vordergrund stehe vor allem die einfache Bedienbarkeit und Geschwindigkeit, erklärt Security Engineering Manager Rob Mann.
Die VMs beruhen auf Googles Compute Engine einem Cloud-Dienst, der skalierbare Rechnerkapazität anbietet – Googles Konkurrent zu Amazons EC2. Die Scanner als Botnetz zu bezeichnen haben übrigens nicht wir uns ausgedacht; die Bezeichnung stammt wörtlich aus Manns Blogeintrag. In den VMs läuft eine ferngesteuerte Instanz des Google Browsers Chrome, die Web-Seiten auf Sicherheitslücken abklappert. Damit das Netzwerk nicht in die Knie geht, sollen im Zuge eines Scans 20 Zugriffe pro Sekunde das Maximum bilden. Die Nutzung ist für registrierte App-Engine-Entwickler kostenlos, die benötigte Bandbreite soll aber in die beschränkten Kontingente der App Engine einfließen.
Um Entwickler zu schützen versichert Google, dass die Ergebnisse zu keinem Zeitpunkt für Dritte einsehbar sind. Zudem beteuern sie, dass der Scanner nur wenige Fehlermeldungen produzieren soll. Im gleichen Atemzug weist Google auch darauf hin, dass Entwickler ihre Web-Anwendungen vor der Veröffentlichung im Idealfall nochmal von einem Sicherheitsexperten testen lassen sollten. Letztlich laufe der Scanner aktuell noch im Beta-Stadium. (des)
