Google Hacking & wie man Vertrauliches schützen kann

Google is watching you

| Autor / Redakteur: Isabell Schmitt, Franz Härtl* / Susanne Ehneß

Folgendes Beispiel zeigt die Suche auf Cubespotter nach einem Beitrag, der die Schlagwörter „Lateral Movement“ enthält und verwendet die Suchoperatoren „inurl“ und „site“. Die Suche liefert 3 Treffer.

Cubespotter
Cubespotter (Bild: iT-Cube Systems)

Aber was hat die Google-Suche nun mit Hacking zu tun?

Prinzipiell kann über die Google-Suche alles gefunden werden, was öffentlich im Internet erreichbar ist und durch die Google Crawler indexiert wurde. Dies beinhaltet natürlich auch Inhalte, die vom Eigentümer möglicherweise nie zur Veröffentlichung gedacht waren. Besonders prekär wird die Situation, wenn zum Beispiel Backup-Dateien mit vertraulichen Daten oder Administrationsoberflächen von kritischen Geräten (wie z. B. Firewalls) aus dem Internet erreichbar sind. Solche Informationen ebnen Angreifern den Weg für eine schnelle und einfache Infiltration.

Viele Webanwendungen enthalten Standardtexte, die immer vorhanden sind. Eine einfache Suche nach „Powered by xyz“ liefert dann jede Menge Treffer von Seiten, die mit der Applikation xyz betrieben werden.

Auch bestimmte Dateiformate können einfach in die Suche integriert werden, um zum Beispiel nur Ergebnisse zu erhalten, die auf PDF-Dokumente verweisen.

Mit einer geschickten Verkettung einiger Suchoperatoren kann so zum Beispiel nach Webanwendungen mit bekannten Schwachstellen gesucht oder gezielt nach vertraulichen Dokumenten geforscht werden, die versehentlich in öffentlichen Bereichen von Webservern abgelegt und indexiert wurden.

Die Caching-Funktion ist kritisch, da so eventuell auch Verwundbarkeiten ausgenutzt werden können, die in der neusten Version einer Seite bereits gepatcht wurden. Durch die <intitle>-Suche verraten sich oft z. B. bestimmte Geräte wie Drucker oder Kameras bzw. deren Steuerinterfaces.

Selbst für Verbrechen abseits des Cyberspace können Google-Hacking-Informationen genutzt werden. Eine Suche nach „inurl:“ViewerFrame?Mode=Motion“ liefert zum Beispiel eine Reihe aus dem Internet erreichbare Webcams. Ob es wirklich die Intention der Besitzer war, diese öffentlich erreichbar zu machen, ist fraglich. Wohnungseinbrecher könnten so ohne Gefahr die Gewohnheiten ihrer potenziellen Opfer ausspionieren.

Ergebnisse, die auf Webcams hindeuten
Ergebnisse, die auf Webcams hindeuten (Bild: iT-Cube Systems)

Mit Hilfe spezialisierter Suchmaschinen wie Shodan oder Censys lassen sich solche Ergebnisse dann noch weiter verfeinern und validieren. So können Angreifer sehr umfangreiche Informationen über ihre potentiellen Opfer sammeln, ohne selbst sichtbar zu sein.

Wie sieht ein Angriff aus?

Ein Google Hacking Angriff besteht aus zwei wesentlichen Bestandteilen.

  • 1. Im ersten Schritt wird zunächst über die Suchmaschine nach Sicherheitsschwachstellen im Internet gesucht. Dabei handelt es sich meist um bekannte Schwachstellen von Anwendungen, die zur Ver-waltung, Steuerung und Administration von Webseiten, Servern oder bestimmten Geräten im Internet der Dinge (IoT) dienen.
  • 2. Im zweiten Schritt erfolgt dann der eigentliche Angriff. Dabei wird meist eine bekannte Schwachstelle ausgenutzt. Eine solche Sicherheitslücke kann sehr unterschiedlich aussehen. Kaum zu glauben, aber eine der simpelsten (und weit verbreitetsten) Einstiegspunkte ist ein unverändertes Standardpass-wort. Stichwort Passwörter: Das Ranking der beliebtesten Nutzer-vergebenen Passwörter wird immer noch von „123456“ angeführt. Auch „password“ (bzw. in Deutschland „Passwort“) ist stets einen Versuch wert (mehr dazu hier).

Erster Schritt: Opfer ermitteln

Zuerst sucht der Angreifer meist wahllos nach verwundbaren Systemen im Internet. Die Praxis zeigt, dass die meisten Hacker zunächst hinter den „low hangig fruits“ her sind – den einfachsten Angriffszielen.

Natürlich kann der Angreifer auch ein spezielles Ziel ansteuern und dort nach Schwachstellen suchen. Dabei kann er zum Beispiel direkt den speziellen Google-Suchoperator site nutzen, um alle Unterseiten einer bestimmten Webseite durchsuchen zu können.

Suchoperator „site“
Suchoperator „site“ (Bild: iT-Cube Systems)

Wie in den Abbildungen veranschaulicht kann der Angreifer nach einzelnen Parametern aus der URL suchen. Wenn er dann noch Title, Header oder Texte der Web-Anwendung, die er sucht, hinzufügt, kann er explizit nach Anwendungen suchen, die bekanntermaßen verwundbar sind.

Damit stehen dem Angreifer eine Menge unterschiedlicher Varianten und Suchoperatoren zur Verfügung, um spezielle Webseiten aufzuspüren, die als Opfer in Frage kommen.

Frei zugängliche Datenbanken mit Verwundbarkeitsinformationen aller möglichen Systeme gibt es genug. Als Beispiel wäre die National Vulnerability Database (NVD) oder die Open Source Vulnerability Database (OSVDB) zu nennen. Diese haben in der IT-Sicherheit durchaus ihre Berechtigung. Schließlich können nur bekannte Schwachstellen auch gepatcht und geschützt werden. Die Kehrseite der Medaille ist natürlich, dass auch Hacker hier Schwachstellen für Angriffe nachschlagen können.

Lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44673447 / Hacker und Insider)