- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Googeln für Hacker


Google erfreut sich auch bei Hackern großer Beliebtheit
Was den meisten nicht klar ist: Durchsucht werden von Google grundsätzlich auch alle mit dem Internet verbundenen Netzwerkgeräte wie Überwachungskameras, Drucker oder Smart TVs.

- Anzeigen -





Von Isabell Schmitt, Consultant IT-Security, iT-Cube Systems, und Franz Härtl, Marketing Manager / Creative Director, iT-Cube Systems

Google ist die Suchmaschine schlechthin, auch wenn die Datensammelwut des Weltkonzerns aus Mountainview immer wieder kontrovers diskutiert wird. Fast 80 Prozent der Suchanfragen weltweit gehen an Google, während andere Suchmaschinen noch nicht einmal die 10-Prozent-Hürde schaffen. Bei Mobilgeräten liegt der Anteil von Google sogar bei mehr als 96 Prozent. Das ist selbst für Laien keine Überraschung.

Weniger verbreitet ist das Wissen, dass Google sich auch bei Hackern großer Beliebtheit erfreut. Verschiedene versteckte Funktionen ermöglichen es Eingeweihten, sehr schnell an umfangreiche Listen potenzieller Opfer zu kommen. Versehentlich freigegebene Dokumente ausspähen, verwundbare Log-in-Seiten finden oder sich in schlecht geschützte Webcams einloggen – Google liefert bequem die einfachsten Ziele. Das ist nicht alles: durch verschiedene Tricks kann sich ein Angreifer quasi hinter der "harmlosen" Suchmaschine verstecken und so gezielt seine Spuren verwischen.

Diese Hiobsbotschaft ist jedoch kein Grund, gleich zum Offliner zu werden: Es gibt wirkungsvolle Tricks, um sich zu schützen.

Suchen, was andere [nicht] verloren haben
Google indexiert das Web durch sogenannte Crawler. Diese Programme scannen kontinuierlich die auf den Webservern liegenden Seiten, um sie anhand der extrahierten Daten in den Suchergebnissen zu listen. Dabei werden alle vorhandenen Webseiten oder Dokumente indexiert, die öffentlich erreichbar sind.

Was den meisten nicht klar ist: Durchsucht werden grundsätzlich auch alle mit dem Internet verbundenen Netzwerkgeräte wie Überwachungskameras, Drucker oder Smart TVs. Alle von Google indexierten Ressourcen und Seiten können über die Suche von Google gefunden werden und das sogar mit den einfachsten Suchbefehlen, wenn man weiß wie und nach was man zu suchen hat. Unter den Ergebnissen können so auch vertrauliche Informationen landen.

Um die Ergebnisse noch spezifischer zu erhalten, können mit Hilfe von Suchoperatoren wie "inurl" noch genauere Suchanfragen definiert werden. So wird es möglich, nach Wörtern zu suchen, die im Text auf der Webseite oder in der URL enthalten sind.

Ein harmloser Einstieg in die gezielte Suche wäre es, die von Google bereitgestellte "Erweiterte Suche" zu verwenden. Hier können Nutzer einfach ein Formular befüllen. Die Suchanfrage wird dann dementsprechend angepasst und man erhält eine Suchanfrage mit verschiedenen Suchoperatoren.

Mögliche Suchoperatoren
Mit Satzzeichen, Symbolen und Suchoperatoren, die zum Beispiel auf den Support Seitenaufgelistet sind, kann die Google-Suche verfeinert werden. Da sie nicht immer zu einem optimalen Ergebnis führt, entscheidet Google allerdings selbstständig, ob die zusätzlichen Symbole auf die Suchergebnisse angewendet werden. Die Symbole können zum Beispiel eine Währung (€) darstellen oder ein Hinweis auf ein Hashtag (#) sein. Ganze Wörter können aus den Suchergebnissen ausgenommen werden, sobald man einen Bindestrich als Symbol vor dem Wort platziert. Wortgruppen können mit Hilfe von Anführungszeichen zu einer expliziten Wortgruppe zusammengefasst werden, nach der gesucht werden soll. Hier können dann auch "Wildcards" (*) als Platzhalter für variable Suchparameter eingefügt werden. Besondere Suchoperatoren grenzen die Suchanfrage noch genauer auf das gewünschte Ergebnis ein.

Die Syntax der Suchoperatoren entspricht immer operator:keyword. Manche Operatoren können gut miteinander kombiniert werden, andere dagegen müssen einzeln verwendet werden.

Diese Suchoperatoren werden z.B. häufig verwendet:

>> cache
Der cache Suchoperator kann eine ältere Seitenversion abrufen, die von Google beim letzten Besuch gespeichert wurde.
Syntax: cache:<url>

>> info
Mit dem info Suchoperator ist es möglich, nach Cache Versionen einer Webseite, ähnlichen Webseiten, Links zu der Webseite oder Webseiten, die den Link enthalten zu suchen.
Syntax: info:<url>

>> site
Über diesen Suchoperator lassen sich die Suchergebnisse auf bestimmte Webadressen einschränken. Das ist sinnvoll, um z.B. gezielt auf einer Webseite nach bestimmten Dokumenten zu suchen.
Syntax: <keyword> site:<url>

>> intitle
Mit Hilfe dieses Suchoperators kann nach Wörtern, die im Titel der Webseite verwendet werden, gesucht werden.
Syntax: intitle:<keywords>

>> inurl
Der Suchbegriff wird in den URLs selbst gesucht. Möglicher Ansatzpunkt ist hier z.B. die Suche nach dem Begriff "admin" um Loginseiten zu finden.
Syntax: inurl:<keywords>

>> filetype
Die Suche wird auf ein bestimmtes Dateiformat festgelegt z.B. PHP oder PDF.
Syntax: filetype:<keywords>

Was ist daran interessant für Hacker?
Über die Google-Suche kann prinzipiell alles gesucht und gefunden werden, was durch die Google Crawler indexiert wurde – das betrifft auch Inhalte, die vom Eigentümer möglicherweise nie zur Veröffentlichung gedacht waren. Prekär wird die Situation besonders dann, wenn zum Beispiel Backup-Dateien mit vertraulichen Daten oder Administrationsoberflächen von Sicherheitshardware (wie z.B. Firewalls) aus dem Internet erreichbar sind. Solche Informationen können Angreifern den Weg für eine schnelle und einfache Infiltration ebnen.

Meistens enthalten Webanwendungen Standardtexte, die immer vorhanden sind. Eine einfache Suche nach "Powered by xyz" liefert dann jede Menge Treffer von Seiten, die mit der Applikation xyz betrieben werden.

Auch wer bestimmte Dateiformate sucht, kann das einfach in die Suche integrieren, um zum Beispiel nur Ergebnisse zu erhalten, die auf PDF-Dokumente verweisen.

Durch die Verkettung einiger Suchoperatoren kann so zum Beispiel geschickt nach Webanwendungen mit bekannten Schwachstellen gesucht werden oder gezielt nach vertraulichen Dokumenten geforscht werden, die versehentlich in öffentlichen Bereichen von Webservern abgelegt und indexiert wurden.

Die Caching-Funktion ist unter Umständen ebenfalls kritisch, da so eventuell auch Verwundbarkeiten ausgenutzt werden können, die in der neusten Version einer Seite bereits gepatcht wurden. Durch die <intitle>-Suche verraten sich zum Beispiel oft bestimmte Geräte wie Drucker oder Kameras, beziehungsweise deren Steuer-Interfaces.

Übrigens: für Verbrechen abseits des Cyberspace können Google-Hacking-Informationen ebenfalls genutzt werden. Eine Suche nach "inurl:"ViewerFrame?Mode=Motion" liefert zum Beispiel eine Reihe aus dem Internet erreichbarer Webcams. Dass es wirklich die Intention der Besitzer war, diese öffentlich erreichbar zu machen, ist eher unwahrscheinlich. Wohnungseinbrecher könnten sich die Kamerabilder zunutze machen, um ohne Gefahr das Leben ihrer potenziellen Opfer auszuspionieren.

Spezialisierte Suchmaschinen wie Shodan oder Censys erlauben es, solche Ergebnisse dann noch weiter zu verfeinern und zu validieren. Angreifer können so sehr umfangreiche Informationen über ihre potenziellen Opfer sammeln, ohne selbst in Erscheinung zu treten.

So läuft der Angriff ab
Zwei wesentliche Bestandteile lassen sich bei Google Hacking-Angriffen beobachten:

1. Zuerst wird über die Suchmaschine nach Sicherheitsschwachstellen im Internet gesucht. Dabei handelt es sich meist um bekannte Vulnerabilities von Anwendungen, die zur Verwaltung, Steuerung und Administration von Webseiten, Servern oder bestimmten Geräten im Internet of Things (IoT) dienen.

2. Als nächstes erfolgt dann der eigentliche Angriff. Meistens wird dabei eine bekannte Schwachstelle ausgenutzt. So eine Sicherheitslücke kann sehr unterschiedlich aussehen. Kaum zu glauben, aber einer der einfachsten und verbreitetsten Schwachpunkte ist ein unverändertes Standardpass-wort. Apropos Passwörter: Das Ranking der beliebtesten Nutzer-Passwörter wird immer noch von "123456" angeführt. Auch "password" (bzw. in Deutschland "Passwort") sind stets einen Versuch wert.

Einfache Angriffsziele im Fokus
Anfangs sucht der Angreifer nach möglichst vielen verwundbaren Systemen im Internet. Die meisten Hacker beschäftigen sich in erster Linie mit den "low hangig fruits" – den einfachsten Angriffszielen. Warum ein gesichertes Ziel angreifen, wenn es genug ungesicherte gibt?

Alternativ dazu kann der Angreifer auch ein bestimmtes Ziel nach Schwachstellen abklopfen. Dazu kann man zum Beispiel den speziellen Google Suchoperator site benutzen. Damit können einfach alle Unterseiten einer bestimmten Webseite durchsucht werden.

Der Angreifer kann nach einzelnen Parametern aus der URL suchen. Wenn er dann noch Title, Header oder Texte der Web-Anwendung, die er sucht, hinzufügt, kann er explizit nach Anwendungen suchen, die bekanntermaßen verwundbar sind. Damit stehen dem Angreifer viele unterschiedliche Varianten und Suchoperatoren zur Verfügung, um spezielle Webseiten aufzuspüren, die als Opfer in Frage kommen.

Öffentliche Datenbanken mit Verwundbarkeitsinformationen aller möglichen Systeme gibt es genug, zum Beispiel die National Vulnerability Database (NVD) oder die Open Source Vulnerability Database (OSVDB). Solche Sammelstellen haben in der IT-Sicherheit durchaus ihre Berechtigung. Immerhin können nur bekannte Schwachstellen auch gepatcht oder zumindest geschützt werden. Das hat natürlich auch einen Haken: Hacker können hier ebenfalls Schwachstellen für Angriffe nachschlagen.

Vertrauliche Dokumente ausspionieren
Sucht ein Angreifer nach brisanten Dokumenten, können die Suchwörter "vertraulich", "confidential", "internen Gebrauch" und "internal use" bereits ausreichen, um über die Google Suche an vertrauliche Dokumente zu kommen. Zum Ausspionieren von Dokumenten bietet sich vor allem der Suchoperator filetype an, weil damit die Suche auf Scripte oder Dokumente eingegrenzt wird.

Viele unterschiedliche Dateiformate können so explizit gesucht werden, wie zum Beispiel:
Word: filetype:doc
Excel: filetype:xls
Powerpoint: filetype:ppt
PDF: filetype:pdf

Backup Server können oft ebenfalls über Google gefunden werden. Allein die Suchanfrage mit dem Suchbegriff "Index of /" bringt bereits einige erfolgreiche Treffer. In den Ergebnissen abgelegte Backups können nicht nur Bilder und Dokumente sondern auch Software oder vertrauliche Informationen enthalten. Um die Suche noch genauer einzustellen, kann der Nutzer noch zusätzlich Begriffe wie "+PDF" oder "+MP3" der Suchanfrage anhängen, um noch gezielter Dokumente oder bestimmte Dateien (z.B. MP3s) aufspüren zu können.

Sprung durch die Sicherheitslücke
Moderne Webseiten und Web-Anwendungen werden meistens über Content-Management-Systeme (CMS) wie zum Beispiel Contao, ProcessWire, Solodev, WordPress oder Joomla! verwaltet. Die Webseite wird dann über ein Administrations-Frontend mit Loginseite, das in der Regeleinfach über eine URL erreichbar ist, bedient und konfiguriert. Hat der Betreiber vergessen, den Zugriff hier effektiv zu schützen, können Angreifer Schwachstellen bestimm-ter Systeme explizit ausnutzen.

Die Administrations-Seitengängiger CMS kann man einfach über Google suchen. Ein gutes Beispiel: die Suche nach inurl:"/wp-login.php" liefert explizit WordPress Login Seiten zurück, sofern diese über das Internet erreichbar sind – was sie in aller Regel sind. Hat der Angreifer erst die Adresse einer solchen Seite, steht einer Attacke auf den meistens vorhandenen Benutzer "admin" (z.B. mit dem schon erwähnten, stets beliebten Passwort "123456") nichts mehr im Wege.

Angriff aus dem Schatten von Google
Google wird nicht nur missbraucht, um an eine Liste einfacher Opfer zu kommen. Manche Funktionen der Suchmaschine lassen sich nutzen, um bereits den Zugriff auf eine Zielseite zu verschleiern. Der generelle Ansatz dieser Methoden ist es, Google geschickt zwischenzuschalten.

Die Übersetzungsservices von Google bieten dafür beispielsweise eine Möglichkeit. Man nutzt dazu einfach neben dem Suchergebnis den Link "Diese Seite übersetzen". Alternativ können Seiten direkt aus dem Cache von Google geladen werden, ohne eine direkte Anfrage an den Webserver abzuschicken, auf dem die Seite eigentlich läuft. Angreifer vermeiden so den direkten (und damit eventuell zurück verfolgbaren) Kontakt mit dem Server des Opfers.

Wer anonym Zugriff auf Dokumente nehmen will, kann auch das durch Google verschleiern. Google bietet bei vielen Formaten den Link "HTML-Version" in den Google-Ergebnissen neben dem jeweiligen Treffer an. Damit kann der Angreifer – ohne selbst irgendeinen Kontakt zum Server aufzunehmen – das Dokument sichten. Google hilft auch hier weiter: Die Suchmaschine generiert automatisch eine HTML-Version des Dokuments, damit der Nutzer diese Version im Browser ansehen kann, ohne eine externe Anwendung öffnen zu müssen.

So kann man sich schützen
Um Google-Hackern das Leben schwer zu machen, reichen oft schon wenige einfache Maßnahmen aus. Damit kann man die eigene Webseite aus der Masse der einfachen Opfer herauslösen und den Schutz auf ein deutlich höheres Niveau heben:

>> Über eine htaccess-Datei können kritische Seiten (wie die Administrationsbereiche des CMS) geschützt werden. Man kann dann beispielsweise aus dem Internet nur noch von bestimmten IP-Adressen aus auf die Login-Seite zugreifen.

>> Die Indexierung der Seite durch Google und andere Suchmaschinen kann über den Metatag <meta name="robots" content="noindex"> oder spezifischer für Google: <meta name="googlebot" content="noindex"> im <head> einer Webseite ausgeschlossen werden. Dadurch wird bewusst gesteuert, welche Seiten im Web sichtbar und durchsuchbar sind und welche nicht.

Google empfiehlt selbst diese Methode, um festzulegen welche Details durchsuchbar sein sollen und welche nicht (diese Beschränkungen gelten allerdings nur für Webseiten!)

>> Seitenweit lassen sich zusätzlich über eine robots.txt solche Einstellungen konfigurieren.

>> Dokumente lassen sich schützen, indem man sie in einen Unterordner mit Passwortschutz verschiebt. (Vorsicht: Der Google-Cache kann die Dokumente weiterhin enthalten!)

Lösungen im Business Bereich
Ein Reverse Proxy Server erhöht die Sicherheit weiter deutlich. Die Einrichtung ist allerdings nicht trivial und benötigt einige Expertenkenntnisse, damit die Seite nach der Installation auch wieder reibungslos läuft.

Das Mittel der Wahl im Profisegment, um die eigenen Web Apps zuverlässig zu schützen, ist eine Web Application Firewall (WAF). Diese Systeme sind zwar nicht eben günstig zu bekommen und sollten in jedem Fall von Experten korrekt konfiguriert und eingerichtet werden, bieten dafür aber auch erstklassigen Schutz. (it-cube: ra)

eingetragen: 20.04.17
Home & Newsletterlauf: 10.05.17


iT-Cube Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Internet-Ausfall: Stationärer Handel in der Klemme

    In nur wenigen Bereichen hat sich in den letzten 30 Jahren so viel verändert wie im stationären Handel. Während manche Einzelhändler das Internet immer noch als Bedrohung empfinden, profitiert das Gros von vielen Vorteilen, die das World Wide Web mit sich bringt. Beispiel Kartenzahlungen: Sie wären ohne Internetanbindung gar nicht möglich. Somit ist für Einzelhändler eine kontinuierliche Internetverbindung essenziell, ja gerade überlebenswichtig. Umso schlimmer, wenn das Netz ausfällt. Doch für den unangenehmen Fall der Fälle gibt es gute Lösungen. Ohne Internet sind moderne Verkaufserlebnisse undenkbar: Zu den neueren Entwicklungen im Einzelhandel zählt das so genannte Omni-Channel-Retailing. Dabei nutzen Shops oder Filialen mehrere, vor allem onlinebasierte Kanäle, um dem Kunden ein optimales Verkaufserlebnis zu bieten. So beispielsweise der Reifenwechsel am Auto: Bei größeren Werkstätten und Werkstattketten ist es heute State-of-the-Art, dass der Kunde seine Wunschreifen und Felgen online bestellt, eventuell unterstützt durch eine telefonische Beratung. Nach dem Kauf vereinbart er dann über eine Webseitenschnittstelle gleich den Montagetermin. Die Werkstatt erhält die Terminanfrage in ihrem CRM und bestätigt per E-Mail. Zum Termin liegen die bestellten Reifen in der Werkstatt bereit und werden montiert.

  • Cyber Intelligence - Mehr als ein Trend?

    Cyber Intelligence, auch Cyber Threat Intelligence oder nur Threat Intelligence, ist keine neue Disziplin innerhalb der Informationssicherheit. Die US-amerikanische National Security Alliance hat gemeinsam mit dem Beratungsunternehmen Deloitte bereits 2011 (!) verlautbaren lassen, dass Cyber Intelligence tatsächlich so etwas wie die intelligentere Art und Weise ist, mit Datenschutzverletzungen und Bedrohungsszenarien umzugehen. Zitat: "The consultancy Deloitte deems cyber intelligence as a vastly more sophisticated and full set of threat management tactics (than IT security itself), providing tools to move to a more proactive, over-the-horizon threat awareness posture."

  • Vorschriften im Gesundheitswesen

    Personenbezogene Daten geheim und sicher zu halten, ist im Gesundheitssektor immens wichtig. Mittlerweile ist es bereits 21 Jahre her seit Titel I des Health Insurance Portability and Accountability Act (HIPAA) in den Vereinigten Staaten verabschiedet wurde, um den Krankenversicherungsschutz für Arbeitnehmer und Familien zu gewährleisten. 2003 wurde Titel II als nationaler Standard für elektronische Transaktionen im Gesundheitswesen und nationale Kennzeichnungsvorschriften für Versorger, Krankenversicherungen und Mitarbeiter eingerichtet. Zu diesem Zeitpunkt wurden etliche Datenschutz- und Sicherheitsregeln zum Schutz elektronischer Gesundheitsdaten (e-PHI) definiert. Vor einigen Jahren haben der US-Kongress und das Department of Health and Human Services (Gesundheitsministerium HHS) im Cybersecurity Act von 2015 die Health Care Industry Cybersecurity (HCIC) Task Force eingerichtet. Grund war die wachsende Sorge um Risiken und Bedrohungen der Cybersicherheit für das Gesundheitswesen. Erst vor kurzem hat die Task Force ihre Ergebnisse in einem sehr detaillierten Report on Improving Cybersecurity in the Health Care Industry veröffentlicht. Der Report betont die Dringlichkeit der empfohlenen Maßnahmen angesichts der wachsenden Zahl komplexer Cyberbedrohungen. Das Gesundheitswesen müsse eben diese Maßnahmen zeitnah zum Schutz von Systeme und Patienten umsetzen.

  • Datensicherheit und Datenschutz

    Im Mai 2018 wird das EU-Regelwerk zum Datenschutz scharf gestellt. Unternehmen bleibt nicht viel Zeit, ihre IT für einen gesetzeskonformen Umgang mit personenbezogenen Daten umzubauen. Dabei ist mehr als Datenklassifizierung, Risikoanalyse und Dokumentation gefragt. Die gute Nachricht: Es ist noch nicht zu spät. Der Datenschutz in Europa wird vereinheitlicht. Darauf zielt die EU-Datenschutz-Grundverordnung (DSGVO) ab. Das Regelwerk, die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, wurde im April 2016 im EU-Parlament verabschiedet und am 4. Mai 2016 im EU-Amtsblatt veröffentlicht. Die 28 EU-Mitgliedstaaten haben bis zum 25. Mai 2018 Zeit, alle Vorgaben umzusetzen. In Europa gibt es Richtlinien, die von den EU-Staaten in nationales Recht umgesetzt werden müssen und Verordnungen, die unmittelbar geltendes Recht sind.

  • Googeln für Hacker

    Google ist die Suchmaschine schlechthin, auch wenn die Datensammelwut des Weltkonzerns aus Mountainview immer wieder kontrovers diskutiert wird. Fast 80 Prozent der Suchanfragen weltweit gehen an Google, während andere Suchmaschinen noch nicht einmal die 10-Prozent-Hürde schaffen. Bei Mobilgeräten liegt der Anteil von Google sogar bei mehr als 96 Prozent. Das ist selbst für Laien keine Überraschung. Weniger verbreitet ist das Wissen, dass Google sich auch bei Hackern großer Beliebtheit erfreut. Verschiedene versteckte Funktionen ermöglichen es Eingeweihten, sehr schnell an umfangreiche Listen potenzieller Opfer zu kommen. Versehentlich freigegebene Dokumente ausspähen, verwundbare Log-in-Seiten finden oder sich in schlecht geschützte Webcams einloggen - Google liefert bequem die einfachsten Ziele. Das ist nicht alles: durch verschiedene Tricks kann sich ein Angreifer quasi hinter der "harmlosen" Suchmaschine verstecken und so gezielt seine Spuren verwischen.