- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Googeln für Hacker


Google erfreut sich auch bei Hackern großer Beliebtheit
Was den meisten nicht klar ist: Durchsucht werden von Google grundsätzlich auch alle mit dem Internet verbundenen Netzwerkgeräte wie Überwachungskameras, Drucker oder Smart TVs.

- Anzeigen -





Von Isabell Schmitt, Consultant IT-Security, iT-Cube Systems, und Franz Härtl, Marketing Manager / Creative Director, iT-Cube Systems

Google ist die Suchmaschine schlechthin, auch wenn die Datensammelwut des Weltkonzerns aus Mountainview immer wieder kontrovers diskutiert wird. Fast 80 Prozent der Suchanfragen weltweit gehen an Google, während andere Suchmaschinen noch nicht einmal die 10-Prozent-Hürde schaffen. Bei Mobilgeräten liegt der Anteil von Google sogar bei mehr als 96 Prozent. Das ist selbst für Laien keine Überraschung.

Weniger verbreitet ist das Wissen, dass Google sich auch bei Hackern großer Beliebtheit erfreut. Verschiedene versteckte Funktionen ermöglichen es Eingeweihten, sehr schnell an umfangreiche Listen potenzieller Opfer zu kommen. Versehentlich freigegebene Dokumente ausspähen, verwundbare Log-in-Seiten finden oder sich in schlecht geschützte Webcams einloggen – Google liefert bequem die einfachsten Ziele. Das ist nicht alles: durch verschiedene Tricks kann sich ein Angreifer quasi hinter der "harmlosen" Suchmaschine verstecken und so gezielt seine Spuren verwischen.

Diese Hiobsbotschaft ist jedoch kein Grund, gleich zum Offliner zu werden: Es gibt wirkungsvolle Tricks, um sich zu schützen.

Suchen, was andere [nicht] verloren haben
Google indexiert das Web durch sogenannte Crawler. Diese Programme scannen kontinuierlich die auf den Webservern liegenden Seiten, um sie anhand der extrahierten Daten in den Suchergebnissen zu listen. Dabei werden alle vorhandenen Webseiten oder Dokumente indexiert, die öffentlich erreichbar sind.

Was den meisten nicht klar ist: Durchsucht werden grundsätzlich auch alle mit dem Internet verbundenen Netzwerkgeräte wie Überwachungskameras, Drucker oder Smart TVs. Alle von Google indexierten Ressourcen und Seiten können über die Suche von Google gefunden werden und das sogar mit den einfachsten Suchbefehlen, wenn man weiß wie und nach was man zu suchen hat. Unter den Ergebnissen können so auch vertrauliche Informationen landen.

Um die Ergebnisse noch spezifischer zu erhalten, können mit Hilfe von Suchoperatoren wie "inurl" noch genauere Suchanfragen definiert werden. So wird es möglich, nach Wörtern zu suchen, die im Text auf der Webseite oder in der URL enthalten sind.

Ein harmloser Einstieg in die gezielte Suche wäre es, die von Google bereitgestellte "Erweiterte Suche" zu verwenden. Hier können Nutzer einfach ein Formular befüllen. Die Suchanfrage wird dann dementsprechend angepasst und man erhält eine Suchanfrage mit verschiedenen Suchoperatoren.

Mögliche Suchoperatoren
Mit Satzzeichen, Symbolen und Suchoperatoren, die zum Beispiel auf den Support Seitenaufgelistet sind, kann die Google-Suche verfeinert werden. Da sie nicht immer zu einem optimalen Ergebnis führt, entscheidet Google allerdings selbstständig, ob die zusätzlichen Symbole auf die Suchergebnisse angewendet werden. Die Symbole können zum Beispiel eine Währung (€) darstellen oder ein Hinweis auf ein Hashtag (#) sein. Ganze Wörter können aus den Suchergebnissen ausgenommen werden, sobald man einen Bindestrich als Symbol vor dem Wort platziert. Wortgruppen können mit Hilfe von Anführungszeichen zu einer expliziten Wortgruppe zusammengefasst werden, nach der gesucht werden soll. Hier können dann auch "Wildcards" (*) als Platzhalter für variable Suchparameter eingefügt werden. Besondere Suchoperatoren grenzen die Suchanfrage noch genauer auf das gewünschte Ergebnis ein.

Die Syntax der Suchoperatoren entspricht immer operator:keyword. Manche Operatoren können gut miteinander kombiniert werden, andere dagegen müssen einzeln verwendet werden.

Diese Suchoperatoren werden z.B. häufig verwendet:

>> cache
Der cache Suchoperator kann eine ältere Seitenversion abrufen, die von Google beim letzten Besuch gespeichert wurde.
Syntax: cache:<url>

>> info
Mit dem info Suchoperator ist es möglich, nach Cache Versionen einer Webseite, ähnlichen Webseiten, Links zu der Webseite oder Webseiten, die den Link enthalten zu suchen.
Syntax: info:<url>

>> site
Über diesen Suchoperator lassen sich die Suchergebnisse auf bestimmte Webadressen einschränken. Das ist sinnvoll, um z.B. gezielt auf einer Webseite nach bestimmten Dokumenten zu suchen.
Syntax: <keyword> site:<url>

>> intitle
Mit Hilfe dieses Suchoperators kann nach Wörtern, die im Titel der Webseite verwendet werden, gesucht werden.
Syntax: intitle:<keywords>

>> inurl
Der Suchbegriff wird in den URLs selbst gesucht. Möglicher Ansatzpunkt ist hier z.B. die Suche nach dem Begriff "admin" um Loginseiten zu finden.
Syntax: inurl:<keywords>

>> filetype
Die Suche wird auf ein bestimmtes Dateiformat festgelegt z.B. PHP oder PDF.
Syntax: filetype:<keywords>

Was ist daran interessant für Hacker?
Über die Google-Suche kann prinzipiell alles gesucht und gefunden werden, was durch die Google Crawler indexiert wurde – das betrifft auch Inhalte, die vom Eigentümer möglicherweise nie zur Veröffentlichung gedacht waren. Prekär wird die Situation besonders dann, wenn zum Beispiel Backup-Dateien mit vertraulichen Daten oder Administrationsoberflächen von Sicherheitshardware (wie z.B. Firewalls) aus dem Internet erreichbar sind. Solche Informationen können Angreifern den Weg für eine schnelle und einfache Infiltration ebnen.

Meistens enthalten Webanwendungen Standardtexte, die immer vorhanden sind. Eine einfache Suche nach "Powered by xyz" liefert dann jede Menge Treffer von Seiten, die mit der Applikation xyz betrieben werden.

Auch wer bestimmte Dateiformate sucht, kann das einfach in die Suche integrieren, um zum Beispiel nur Ergebnisse zu erhalten, die auf PDF-Dokumente verweisen.

Durch die Verkettung einiger Suchoperatoren kann so zum Beispiel geschickt nach Webanwendungen mit bekannten Schwachstellen gesucht werden oder gezielt nach vertraulichen Dokumenten geforscht werden, die versehentlich in öffentlichen Bereichen von Webservern abgelegt und indexiert wurden.

Die Caching-Funktion ist unter Umständen ebenfalls kritisch, da so eventuell auch Verwundbarkeiten ausgenutzt werden können, die in der neusten Version einer Seite bereits gepatcht wurden. Durch die <intitle>-Suche verraten sich zum Beispiel oft bestimmte Geräte wie Drucker oder Kameras, beziehungsweise deren Steuer-Interfaces.

Übrigens: für Verbrechen abseits des Cyberspace können Google-Hacking-Informationen ebenfalls genutzt werden. Eine Suche nach "inurl:"ViewerFrame?Mode=Motion" liefert zum Beispiel eine Reihe aus dem Internet erreichbarer Webcams. Dass es wirklich die Intention der Besitzer war, diese öffentlich erreichbar zu machen, ist eher unwahrscheinlich. Wohnungseinbrecher könnten sich die Kamerabilder zunutze machen, um ohne Gefahr das Leben ihrer potenziellen Opfer auszuspionieren.

Spezialisierte Suchmaschinen wie Shodan oder Censys erlauben es, solche Ergebnisse dann noch weiter zu verfeinern und zu validieren. Angreifer können so sehr umfangreiche Informationen über ihre potenziellen Opfer sammeln, ohne selbst in Erscheinung zu treten.

So läuft der Angriff ab
Zwei wesentliche Bestandteile lassen sich bei Google Hacking-Angriffen beobachten:

1. Zuerst wird über die Suchmaschine nach Sicherheitsschwachstellen im Internet gesucht. Dabei handelt es sich meist um bekannte Vulnerabilities von Anwendungen, die zur Verwaltung, Steuerung und Administration von Webseiten, Servern oder bestimmten Geräten im Internet of Things (IoT) dienen.

2. Als nächstes erfolgt dann der eigentliche Angriff. Meistens wird dabei eine bekannte Schwachstelle ausgenutzt. So eine Sicherheitslücke kann sehr unterschiedlich aussehen. Kaum zu glauben, aber einer der einfachsten und verbreitetsten Schwachpunkte ist ein unverändertes Standardpass-wort. Apropos Passwörter: Das Ranking der beliebtesten Nutzer-Passwörter wird immer noch von "123456" angeführt. Auch "password" (bzw. in Deutschland "Passwort") sind stets einen Versuch wert.

Einfache Angriffsziele im Fokus
Anfangs sucht der Angreifer nach möglichst vielen verwundbaren Systemen im Internet. Die meisten Hacker beschäftigen sich in erster Linie mit den "low hangig fruits" – den einfachsten Angriffszielen. Warum ein gesichertes Ziel angreifen, wenn es genug ungesicherte gibt?

Alternativ dazu kann der Angreifer auch ein bestimmtes Ziel nach Schwachstellen abklopfen. Dazu kann man zum Beispiel den speziellen Google Suchoperator site benutzen. Damit können einfach alle Unterseiten einer bestimmten Webseite durchsucht werden.

Der Angreifer kann nach einzelnen Parametern aus der URL suchen. Wenn er dann noch Title, Header oder Texte der Web-Anwendung, die er sucht, hinzufügt, kann er explizit nach Anwendungen suchen, die bekanntermaßen verwundbar sind. Damit stehen dem Angreifer viele unterschiedliche Varianten und Suchoperatoren zur Verfügung, um spezielle Webseiten aufzuspüren, die als Opfer in Frage kommen.

Öffentliche Datenbanken mit Verwundbarkeitsinformationen aller möglichen Systeme gibt es genug, zum Beispiel die National Vulnerability Database (NVD) oder die Open Source Vulnerability Database (OSVDB). Solche Sammelstellen haben in der IT-Sicherheit durchaus ihre Berechtigung. Immerhin können nur bekannte Schwachstellen auch gepatcht oder zumindest geschützt werden. Das hat natürlich auch einen Haken: Hacker können hier ebenfalls Schwachstellen für Angriffe nachschlagen.

Vertrauliche Dokumente ausspionieren
Sucht ein Angreifer nach brisanten Dokumenten, können die Suchwörter "vertraulich", "confidential", "internen Gebrauch" und "internal use" bereits ausreichen, um über die Google Suche an vertrauliche Dokumente zu kommen. Zum Ausspionieren von Dokumenten bietet sich vor allem der Suchoperator filetype an, weil damit die Suche auf Scripte oder Dokumente eingegrenzt wird.

Viele unterschiedliche Dateiformate können so explizit gesucht werden, wie zum Beispiel:
Word: filetype:doc
Excel: filetype:xls
Powerpoint: filetype:ppt
PDF: filetype:pdf

Backup Server können oft ebenfalls über Google gefunden werden. Allein die Suchanfrage mit dem Suchbegriff "Index of /" bringt bereits einige erfolgreiche Treffer. In den Ergebnissen abgelegte Backups können nicht nur Bilder und Dokumente sondern auch Software oder vertrauliche Informationen enthalten. Um die Suche noch genauer einzustellen, kann der Nutzer noch zusätzlich Begriffe wie "+PDF" oder "+MP3" der Suchanfrage anhängen, um noch gezielter Dokumente oder bestimmte Dateien (z.B. MP3s) aufspüren zu können.

Sprung durch die Sicherheitslücke
Moderne Webseiten und Web-Anwendungen werden meistens über Content-Management-Systeme (CMS) wie zum Beispiel Contao, ProcessWire, Solodev, WordPress oder Joomla! verwaltet. Die Webseite wird dann über ein Administrations-Frontend mit Loginseite, das in der Regeleinfach über eine URL erreichbar ist, bedient und konfiguriert. Hat der Betreiber vergessen, den Zugriff hier effektiv zu schützen, können Angreifer Schwachstellen bestimm-ter Systeme explizit ausnutzen.

Die Administrations-Seitengängiger CMS kann man einfach über Google suchen. Ein gutes Beispiel: die Suche nach inurl:"/wp-login.php" liefert explizit WordPress Login Seiten zurück, sofern diese über das Internet erreichbar sind – was sie in aller Regel sind. Hat der Angreifer erst die Adresse einer solchen Seite, steht einer Attacke auf den meistens vorhandenen Benutzer "admin" (z.B. mit dem schon erwähnten, stets beliebten Passwort "123456") nichts mehr im Wege.

Angriff aus dem Schatten von Google
Google wird nicht nur missbraucht, um an eine Liste einfacher Opfer zu kommen. Manche Funktionen der Suchmaschine lassen sich nutzen, um bereits den Zugriff auf eine Zielseite zu verschleiern. Der generelle Ansatz dieser Methoden ist es, Google geschickt zwischenzuschalten.

Die Übersetzungsservices von Google bieten dafür beispielsweise eine Möglichkeit. Man nutzt dazu einfach neben dem Suchergebnis den Link "Diese Seite übersetzen". Alternativ können Seiten direkt aus dem Cache von Google geladen werden, ohne eine direkte Anfrage an den Webserver abzuschicken, auf dem die Seite eigentlich läuft. Angreifer vermeiden so den direkten (und damit eventuell zurück verfolgbaren) Kontakt mit dem Server des Opfers.

Wer anonym Zugriff auf Dokumente nehmen will, kann auch das durch Google verschleiern. Google bietet bei vielen Formaten den Link "HTML-Version" in den Google-Ergebnissen neben dem jeweiligen Treffer an. Damit kann der Angreifer – ohne selbst irgendeinen Kontakt zum Server aufzunehmen – das Dokument sichten. Google hilft auch hier weiter: Die Suchmaschine generiert automatisch eine HTML-Version des Dokuments, damit der Nutzer diese Version im Browser ansehen kann, ohne eine externe Anwendung öffnen zu müssen.

So kann man sich schützen
Um Google-Hackern das Leben schwer zu machen, reichen oft schon wenige einfache Maßnahmen aus. Damit kann man die eigene Webseite aus der Masse der einfachen Opfer herauslösen und den Schutz auf ein deutlich höheres Niveau heben:

>> Über eine htaccess-Datei können kritische Seiten (wie die Administrationsbereiche des CMS) geschützt werden. Man kann dann beispielsweise aus dem Internet nur noch von bestimmten IP-Adressen aus auf die Login-Seite zugreifen.

>> Die Indexierung der Seite durch Google und andere Suchmaschinen kann über den Metatag <meta name="robots" content="noindex"> oder spezifischer für Google: <meta name="googlebot" content="noindex"> im <head> einer Webseite ausgeschlossen werden. Dadurch wird bewusst gesteuert, welche Seiten im Web sichtbar und durchsuchbar sind und welche nicht.

Google empfiehlt selbst diese Methode, um festzulegen welche Details durchsuchbar sein sollen und welche nicht (diese Beschränkungen gelten allerdings nur für Webseiten!)

>> Seitenweit lassen sich zusätzlich über eine robots.txt solche Einstellungen konfigurieren.

>> Dokumente lassen sich schützen, indem man sie in einen Unterordner mit Passwortschutz verschiebt. (Vorsicht: Der Google-Cache kann die Dokumente weiterhin enthalten!)

Lösungen im Business Bereich
Ein Reverse Proxy Server erhöht die Sicherheit weiter deutlich. Die Einrichtung ist allerdings nicht trivial und benötigt einige Expertenkenntnisse, damit die Seite nach der Installation auch wieder reibungslos läuft.

Das Mittel der Wahl im Profisegment, um die eigenen Web Apps zuverlässig zu schützen, ist eine Web Application Firewall (WAF). Diese Systeme sind zwar nicht eben günstig zu bekommen und sollten in jedem Fall von Experten korrekt konfiguriert und eingerichtet werden, bieten dafür aber auch erstklassigen Schutz. (it-cube: ra)

eingetragen: 20.04.17
Home & Newsletterlauf: 10.05.17


iT-Cube Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Rollende Sicherheitslücken

    Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.

  • Warum BYOD an den Geräten scheitert

    Bring Your Own Device (BYOD) genießt im Geschäftsumfeld seit einigen Jahren den Ruf als innovatives Konzept. Der zeitlich uneingeschränkte Zugang zu Unternehmensdaten kann Firmen verbesserte Effizienz in den Arbeitsabläufen bescheren und den Mitarbeitern wiederum mehr Komfort im täglichen Arbeiten. Sie können auf ihren gewohnten Geräten arbeiten, zu flexiblen Arbeitszeiten. Insbesondere bei neu gegründeten Unternehmen, in denen die Mitarbeiter viel unterwegs sind, wird es überaus geschätzt, wenn kein weiteres, unternehmenseigenes Gerät mitgeführt werden muss. Die Zufriedenheit der Mitarbeiter mit der Arbeitsweise wiederum trägt auch zur Attraktivität des Unternehmens bei.

  • Offensichtlich lukrativste Angriffsmethode

    In regelmäßigen Abständen sehen wir uns einer neuen Bedrohung gegenüber, die bei Angreifern gerade Konjunktur hat. Gezielte Langzeitangriffe, sogenannte Advanced Persistent Threats (APTs) beherrschen die Schlagzeilen und Unternehmen beeilen sich, diese Attacken zu stoppen, deren Urheber sich gut versteckt durch das Netzwerk bewegen. Neben Phishing ist Ransomware die erfolgreichste und offensichtlich lukrativste Angriffsmethode für Cyber-Kriminelle. Schätzungen zufolge kosteten Ransomware-Scams die Opfer allein im letzten Jahr fast 1 Milliarde US-Dollar weltweit. Und es ist kein Wunder, dass sie so gut funktionieren: Sie beruhen auf dem althergebrachten Modell der Schutzgelderpressung, das bereits lange von Banden und der Mafia genutzt und jetzt in digitalem Format erfolgreich wieder aufgelegt wird. Die digitale Transformation ist nicht nur für Unternehmen Realität, sondern längst auch für Kriminelle eine lohnenswerte Einnahmequelle.

  • Detailliertes Profil der Angreifer entscheidend

    "Kill Chain" - dieser Begriff stammt eigentlich aus dem Militärjargon und bezeichnet ein Modell, das alle Phasen eines Angriffs beschreibt. Im Umkehrschluss zeigt es Wege auf, mit denen sich diese Angriffe vermeiden oder zumindest abschwächen lassen - eine Taktik, die auch hinsichtlich digitaler Bedrohungen und Hackangriffe interessant ist. Die Kill Chain digitaler Bedrohungen lässt sich in sieben verschiedene Phasen unterteilen.

  • Internet-Ausfall: Stationärer Handel in der Klemme

    In nur wenigen Bereichen hat sich in den letzten 30 Jahren so viel verändert wie im stationären Handel. Während manche Einzelhändler das Internet immer noch als Bedrohung empfinden, profitiert das Gros von vielen Vorteilen, die das World Wide Web mit sich bringt. Beispiel Kartenzahlungen: Sie wären ohne Internetanbindung gar nicht möglich. Somit ist für Einzelhändler eine kontinuierliche Internetverbindung essenziell, ja gerade überlebenswichtig. Umso schlimmer, wenn das Netz ausfällt. Doch für den unangenehmen Fall der Fälle gibt es gute Lösungen. Ohne Internet sind moderne Verkaufserlebnisse undenkbar: Zu den neueren Entwicklungen im Einzelhandel zählt das so genannte Omni-Channel-Retailing. Dabei nutzen Shops oder Filialen mehrere, vor allem onlinebasierte Kanäle, um dem Kunden ein optimales Verkaufserlebnis zu bieten. So beispielsweise der Reifenwechsel am Auto: Bei größeren Werkstätten und Werkstattketten ist es heute State-of-the-Art, dass der Kunde seine Wunschreifen und Felgen online bestellt, eventuell unterstützt durch eine telefonische Beratung. Nach dem Kauf vereinbart er dann über eine Webseitenschnittstelle gleich den Montagetermin. Die Werkstatt erhält die Terminanfrage in ihrem CRM und bestätigt per E-Mail. Zum Termin liegen die bestellten Reifen in der Werkstatt bereit und werden montiert.