Suchen

Google Hacking

| Redakteur: Gerald Viola

Unter Google Hacking versteht man die Nutzung einer Suchmaschine wie Google, um Sicherheitslücken im Internet aufzuspüren. Im Web findet man in der Regel zwei unterschiedliche Schwachstellenarten:

Firma zum Thema

Unter Google Hacking versteht man die Nutzung einer Suchmaschine wie Google, um Sicherheitslücken im Internet aufzuspüren. Im Web findet man in der Regel zwei unterschiedliche Schwachstellenarten: Software-Schwachstellen sowie fehlerhafte Konfigurationen. Obwohl es unter den Hackern einige Experten gibt, die ein System gezielt ansprechen, um Schwachstellen zu erkennen, die den Zugriff ermöglichen, fängt ein Großteil der Hacker mit einer bekannten Software-Sicherheitslücke oder einer gängigen Fehlkonfiguration an, für die eine Angriffstaktik bekannt ist, und versucht Systeme, die von diesen Sicherheitslücken betroffen sind, durch Scannen oder andere Mittel aufzuspüren. Für den ersten dieser Angreifer ist Google daher nicht so sinnvoll, aber für den zweiten ist er sehr wertvoll.

Wenn ein Angreifer die Art Sicherheitslücke kennt, die er angreifen möchte, aber kein spezielles Ziel vor Augen hat, setzt er einen Scanner ein. Ein Scanner ist ein Programm, das die Untersuchung einer riesigen Anzahl von Systemen auf Sicherheitslücken automatisiert. Der frühester Computer-bezogene Scanner war der so genannte War-Dialer, ein Programm, das lange Listen von Telefonnummern anrief und sich die Nummern "gemerkt" hat, die mit einem Modem-Handshake geantwortet haben.

Heute gibt es Scanner, die automatisch jede IP-Adresse abfragen, um festzustellen, welche Ports offen sind, welches Betriebssystem ausgeführt wird oder wo das System steht. Zu den beliebtesten IP-Scannern gehört NMap, ein kostenloses Open-Source-Utility für die Erkundung von Netzwerken und für Sicherheitsaudits. Wenn man NMap einsetzt, definiert man eine Gruppe von Hosts sowie die die Services auf jedem Host, nach denen gesucht werden soll. Das Programm liefert als Ergebnis eine Liste der verfügbaren (und wahrscheinlich anfälligen) Systeme zurück.

Mit etwas Kreativität lässt sich Google auf ähnliche Art wie NMap verwenden, obwohl die Protokolle unterschiedlich sind. Als Beispiel nehmen wir an, wir sind Hacker und kennen einen Exploit, der uns in die Lage versetzt, Kreditkarteninformationen von jedem beliebigen Online-Shop klauen lässt, der die SHOP.TAX-Scripts einsetzt; außerdem wissen wir, dass www.secure.com SHOP.TAX verwendet. Wenn wir den Exploit ausprobieren, stellt es sich heraus, dass die Sicherheitslücke bereits gepatcht worden ist. Was tun? Wir starten Google und geben den folgenden Suchbegriff ein: inurl:shop.tax

Beachten Sie, dass die obige Suche erweiterte Operatoren verwendet, um eine Liste aller Sites anzuzeigen, bei denen "shop.tax" irgendwo im URL steht - im Wesentlichen handelt es sich um eine Liste potenzieller Ziele. Genau wie bei NMap müssen wir nur noch den Angriff gegen jede Site ausprobieren.

Es gibt endlose viele Abwandlungen dieses Szenarios, darunter ein paar sehr schlaue Methoden, bestimmte Versionen von Serverprogrammen zu finden.

Manche Administratoren konfigurieren ihre Sites so schlecht, dass man nicht einmal einen Exploit benötigt, um sich den Zugriff auf das System zu verschaffen. Google indiziert das Web sehr aggressiv und, außer eine Datei steht in einem durch Passwort oder anderweitig geschützten Bereich einer Website, stehen die Chancen sehr gut, dass eine Google-Suche sie aufspürt. Dazu gehören Passwortdateien, Kreditberichte, Gesundheitsdaten usw. In Fällen, in denen die Dateien nicht ausreichend vor Google geschützt sind, hat die Suchmaschine im Grunde schon den Angriff stellvertretend für den Angreifer ausgeführt.

Auf diese Art lässt sich Google auch als Stellvertreter für Exploits missbrauchen. Ein Proxy ist ein zwischengelagertes System, das ein Angreifer nutzen kann, um die eigene Identität zu tarnen. Zum Beispiel, wenn Sie sich den Fernzugriff auf den Computer von Bill Gates verschaffen und mit diesem Computer die Site treasury.gov angreifen, würde die FBI denken, dass Bill Gates sie angreift. Sein Computer würde in diesem Fall als Proxy fungieren. Google lässt sich auf ähnliche Art missbrauchen.

Die Suchmaschine hat diese Informationen bereits gesammelt und händigt sie freiwillig aus, ohne die anfällige Site darüber zu informieren. Das wird noch interessanter, wenn man sich die Google-Cache-Funktion ansieht. Wenn Sie dieses Feature noch nie benutzt haben, probieren Sie folgendes:

Suchen Sie mit Google nach "SearchTechTarget.com". Klicken Sie auf das erste Ergebnis und lesen Sie ein paar Schlagzeilen. Jetzt klicken Sie auf Zurück, um zur Suche zurückzukehren. Dieses Mal klicken Sie auf den Link "Im Cache" rechts von der Adresse der Seite, die Sie soeben besucht haben. Fällt Ihnen etwas auf? Sie sehen wahrscheinlich die Schlagzeilen für Gestern oder Vorgestern. Warum? Jedes Mal, wenn Google eine Seite indiziert, wird eine Kopie der Seite auf dem Server gespeichert.

Diese Fähigkeit kann man für ganz andere Sachen nutzen, als für das Lesen alter Nachrichten. Der Angreifer kann Google nun nutzen, um nach sensiblen Dateien zu suchen, ohne die potenziellen Ziele zu alarmieren - auch dann, wenn ein Ziel gefunden wird, kann der Angreifer über den Google Cache auf die Dateien zugreifen, ohne den Zielserver überhaupt ansprechen zu müssen. Der einzige Server, der den Angriff protokolliert, wäre der Google-Server und es ist eher unwahrscheinlich, dass Google etwas vom Angriff mitbekommt.

Mit einem noch raffinierteren Trick bildet man einen speziellen URL, der normalerweise nicht durch Google indiziert würde, und der unter Umständen einen Pufferüberlauf oder SQL-Injektion beschreibt. Dieser URL wird dann als neue Webseite an Google übergeben. Google greift automatisch auf die Seite zu, speichert das Ergebnis in einem durchsuchbaren Cache und was dann folgt ist ein Rezept für eine Katastrophe.

Wie kann man Google Hacking verhindern?

Alles, was Sie im öffentlichen Webfolder muss für die Augen der ganzen Welt bestimmt sein, weil Google diese Daten auf jeden Fall verrät, ob Sie's wollen oder nicht. Wenn Sie verhindern wollen, dass Angreifer Ihre Server-Software problemlos identifizieren, ändern Sie die Standard-Fehlermeldungen und sonstige Kennungen. Wenn eine Fehlermeldung wie "404 nicht gefunden" erkannt wird, gibt der Server eine Seite wie die nun folgende zurück:

Not Found

The requested URL /cgi-bin/xxxxxx was not found on this server.

Apache/1.3.27 Server at your web site Port 80

Die einzigen Informationen, die ein ehrlicher Benutzer in Wirklichkeit braucht, ist die Meldung, dass die Seite nicht gefunden werden kann. Indem Sie die anderen Informationen unterbinden, verhindern Sie, dass Ihre Seite als Ergebnis der Suche nach einer bestimmten Server-Sicherheitslücke auftaucht.

Google löscht den Cache periodisch, aber bis dann, stehen Ihre sensiblen Dateien immer noch für die Öffentlichkeit zur Verfügung. Wenn Sie feststellen, dass die Suchmaschine Dateien gecachet hat, die Sie vor dem Zugriff der Öffentlichkeit verstecken wollen, surfen Sie zu ( http://www.google.com/remove.html ) und folgenden Sie den Anweisungen über das Entfernen der Seite, oder Abschnitte der Seite, aus der Google-Datenbank.

(ID:2020894)