Google Hacking & wie man Vertrauliches schützen kann

Google is watching you

| Autor / Redakteur: Isabell Schmitt, Franz Härtl* / Susanne Ehneß

Wie vertrauliche Dokumente ausspioniert werden

Bei der Suche nach vertraulichen Dokumenten können die Suchwörter „vertraulich“, „confidential“, „internen Gebrauch“ und „internal use“ bereits ausreichen, um an vertrauliche Dokumente über die Google-Suche zu kommen. Bei dem Ausspionieren von Dokumenten bietet sich vor allem der Suchoperator „filetype“ an, da damit die Suche auf Scripte oder Dokumente eingegrenzt werden kann. Dabei können viele verschiedene Dateiformate explizit gesucht werden, wie zum Beispiel:

  • Word: filetype:doc
  • Excel: filetype:xls
  • Powerpoint: filetype:ppt
  • PDF: filetype:pdf

Auch Backup Server können häufig über Google gefunden werden. Eine Suchanfrage mit dem Suchbegriff „Index of /“ bringt bereits einige erfolgreiche Treffer. Die in den Ergebnissen abgelegten Backups können nicht nur Bilder und Dokumente sondern auch Software oder vertrauliche Informationen enthalten. Um die Suche noch genauer darauf zu spezialisieren, kann der Nutzer noch zum Beispiel Begriffe wie „+PDF“ oder „+MP3“ der Suchanfrage anhängen, um noch gezielter Dokumente oder MP3-Dateien aufspüren zu können.

Offene Türen

Häufig werden Webseiten oder Web-Anwendungen über Content-Management-Systeme (CMS) wie zum Beispiel Contao (https://contao.org/en/), ProcessWire (https://processwire.com/), Solodev (https://www.solodev.com/), WordPress (https://de.wordpress.com) oder Joomla (https://www.joomla.de/) verwaltet.

Die Konfigurationen der Webseite können dann über das CMS, welches häufig ebenfalls über eine URL erreichbar ist, durchgeführt werden. Sollte der Betreiber vergessen haben, den Zugriff hier effektiv zu schützen, können Angreifer Schwachstellen dieser Systeme explizit ausnutzen.

Denn auch solche Administrations-Seiten kann man speziell über Google suchen. Ein einfaches Beispiel: die Suche nach inurl:“/wp-login.php“ liefert explizit WordPress-Login-Seiten zurück, sofern diese über das Internet erreichbar sind. Und in aller Regel sind sie das. Damit steht einem Angriff auf den meistens vorhandenen Benutzer „admin“ (z. B. mit dem schon erwähnten, stets beliebten Passwort „123456“) nichts mehr im Wege.

Anonymous Googling

Google Hacking bietet nicht nur die notwendigen Suchoperatoren, um Opfer zu finden. Angreifer haben auch Möglichkeiten, ihren Zugriff zu verschleiern. Prinzip der Methoden ist es, Google gezielt zwischenzuschalten.

Zum einen können Seiten von Google übersetzt werden. Dafür erscheint neben dem Suchergebnis ein Link „Diese Seite übersetzen“. Zum anderen können Seiten aus dem Cache von Google geladen werden, ohne eine direkte Anfrage an den betroffenen Webserver abzuschicken.

Beides kann verhindern, dass der Angreifer direkten (und damit eventuell zurückverfolgbaren) Kontakt mit dem Server des Opfers aufnehmen muss.

Auch der Zugriff auf Dokumente kann durch Google verschleiert werden. Sofern der Link „HTML-Version“ in den Google Ergebnissen neben dem Treffer erscheint, kann der Angreifer – ohne selbst irgendeinen Kontakt zum Server aufzunehmen – das Dokument sichten. Denn Google hilft auch hier weiter: Die Suchmaschine generiert automatisch eine HTML-Version des Dokuments, damit der Nutzer diese Version im Browser ansehen kann, ohne die notwendige Anwendung zu öffnen.

Tipps, um sich zu schützen

Einige simple Maßnahmen können den Schutz bereits deutlich verbessern, um die eigene Webseite aus der Masse der einfachen Opfer auf ein deutlich höheres Niveau zu heben:

  • Kritische Seiten (wie die Administrationsbereiche des CMS) können über eine htaccess-Datei geschützt werden. Ein Zugriff aus dem Internet ist dann nur noch beispielsweise von bestimmten IP-Adressen möglich.
  • Über den Metatag <meta name=“robots“ content=“noindex“> oder spezifischer für Google: <meta name=“googlebot“ content=“noindex“> im <head> einer Webseite wird diese von der Indexierung durch Google und andere Suchmaschinen ausgeschlossen. So kann gesteuert werden, welche Seiten im Web sichtbar und durchsuchbar sind und welche nicht. Google selbst empfiehlt diese Methode, um festzulegen welche Details durchsuchbar sein sollen und welche nicht (diese Beschränkungen gelten allerdings nur für Webseiten).
  • Globaler lassen sich solche Einstellungen über eine robots.txt-Datei konfigurieren.
  • Um Dokumente zu schützen kann es bereits reichen, sie in einen Unterordner mit Passwortschutz zu verschieben, wie hier beschrieben.

Professioneller Schutz

Die Nutzung eines Reverse Proxy Servers erhöht die Sicherheit weiter massiv. Allerdings ist der Konfigurationsaufwand nicht zu unterschätzen.

Eine Web Application Firewall (WAF) ist das Mittel der Wahl, um die eigenen Web Apps zuverlässig zu schützen. Solche Systeme sind zwar nicht gerade günstig zu haben, bieten aber umfassenden Schutz – wenn sie von Experten korrekt konfiguriert und eingerichtet werden.

* Die Autoren: Isabell Schmitt, Consultant IT-Security, iT-CUBE SYSTEMS; Franz Härtl, Marketing Manager / Creative Director, iT-CUBE SYSTEMS

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44673447 / Hacker und Insider)