- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Googeln für Hacker


Google erfreut sich auch bei Hackern großer Beliebtheit
Was den meisten nicht klar ist: Durchsucht werden von Google grundsätzlich auch alle mit dem Internet verbundenen Netzwerkgeräte wie Überwachungskameras, Drucker oder Smart TVs.

- Anzeigen -





Von Isabell Schmitt, Consultant IT-Security, iT-Cube Systems, und Franz Härtl, Marketing Manager / Creative Director, iT-Cube Systems

Google ist die Suchmaschine schlechthin, auch wenn die Datensammelwut des Weltkonzerns aus Mountainview immer wieder kontrovers diskutiert wird. Fast 80 Prozent der Suchanfragen weltweit gehen an Google, während andere Suchmaschinen noch nicht einmal die 10-Prozent-Hürde schaffen. Bei Mobilgeräten liegt der Anteil von Google sogar bei mehr als 96 Prozent. Das ist selbst für Laien keine Überraschung.

Weniger verbreitet ist das Wissen, dass Google sich auch bei Hackern großer Beliebtheit erfreut. Verschiedene versteckte Funktionen ermöglichen es Eingeweihten, sehr schnell an umfangreiche Listen potenzieller Opfer zu kommen. Versehentlich freigegebene Dokumente ausspähen, verwundbare Log-in-Seiten finden oder sich in schlecht geschützte Webcams einloggen – Google liefert bequem die einfachsten Ziele. Das ist nicht alles: durch verschiedene Tricks kann sich ein Angreifer quasi hinter der "harmlosen" Suchmaschine verstecken und so gezielt seine Spuren verwischen.

Diese Hiobsbotschaft ist jedoch kein Grund, gleich zum Offliner zu werden: Es gibt wirkungsvolle Tricks, um sich zu schützen.

Suchen, was andere [nicht] verloren haben
Google indexiert das Web durch sogenannte Crawler. Diese Programme scannen kontinuierlich die auf den Webservern liegenden Seiten, um sie anhand der extrahierten Daten in den Suchergebnissen zu listen. Dabei werden alle vorhandenen Webseiten oder Dokumente indexiert, die öffentlich erreichbar sind.

Was den meisten nicht klar ist: Durchsucht werden grundsätzlich auch alle mit dem Internet verbundenen Netzwerkgeräte wie Überwachungskameras, Drucker oder Smart TVs. Alle von Google indexierten Ressourcen und Seiten können über die Suche von Google gefunden werden und das sogar mit den einfachsten Suchbefehlen, wenn man weiß wie und nach was man zu suchen hat. Unter den Ergebnissen können so auch vertrauliche Informationen landen.

Um die Ergebnisse noch spezifischer zu erhalten, können mit Hilfe von Suchoperatoren wie "inurl" noch genauere Suchanfragen definiert werden. So wird es möglich, nach Wörtern zu suchen, die im Text auf der Webseite oder in der URL enthalten sind.

Ein harmloser Einstieg in die gezielte Suche wäre es, die von Google bereitgestellte "Erweiterte Suche" zu verwenden. Hier können Nutzer einfach ein Formular befüllen. Die Suchanfrage wird dann dementsprechend angepasst und man erhält eine Suchanfrage mit verschiedenen Suchoperatoren.

Mögliche Suchoperatoren
Mit Satzzeichen, Symbolen und Suchoperatoren, die zum Beispiel auf den Support Seitenaufgelistet sind, kann die Google-Suche verfeinert werden. Da sie nicht immer zu einem optimalen Ergebnis führt, entscheidet Google allerdings selbstständig, ob die zusätzlichen Symbole auf die Suchergebnisse angewendet werden. Die Symbole können zum Beispiel eine Währung (€) darstellen oder ein Hinweis auf ein Hashtag (#) sein. Ganze Wörter können aus den Suchergebnissen ausgenommen werden, sobald man einen Bindestrich als Symbol vor dem Wort platziert. Wortgruppen können mit Hilfe von Anführungszeichen zu einer expliziten Wortgruppe zusammengefasst werden, nach der gesucht werden soll. Hier können dann auch "Wildcards" (*) als Platzhalter für variable Suchparameter eingefügt werden. Besondere Suchoperatoren grenzen die Suchanfrage noch genauer auf das gewünschte Ergebnis ein.

Die Syntax der Suchoperatoren entspricht immer operator:keyword. Manche Operatoren können gut miteinander kombiniert werden, andere dagegen müssen einzeln verwendet werden.

Diese Suchoperatoren werden z.B. häufig verwendet:

>> cache
Der cache Suchoperator kann eine ältere Seitenversion abrufen, die von Google beim letzten Besuch gespeichert wurde.
Syntax: cache:<url>

>> info
Mit dem info Suchoperator ist es möglich, nach Cache Versionen einer Webseite, ähnlichen Webseiten, Links zu der Webseite oder Webseiten, die den Link enthalten zu suchen.
Syntax: info:<url>

>> site
Über diesen Suchoperator lassen sich die Suchergebnisse auf bestimmte Webadressen einschränken. Das ist sinnvoll, um z.B. gezielt auf einer Webseite nach bestimmten Dokumenten zu suchen.
Syntax: <keyword> site:<url>

>> intitle
Mit Hilfe dieses Suchoperators kann nach Wörtern, die im Titel der Webseite verwendet werden, gesucht werden.
Syntax: intitle:<keywords>

>> inurl
Der Suchbegriff wird in den URLs selbst gesucht. Möglicher Ansatzpunkt ist hier z.B. die Suche nach dem Begriff "admin" um Loginseiten zu finden.
Syntax: inurl:<keywords>

>> filetype
Die Suche wird auf ein bestimmtes Dateiformat festgelegt z.B. PHP oder PDF.
Syntax: filetype:<keywords>

Was ist daran interessant für Hacker?
Über die Google-Suche kann prinzipiell alles gesucht und gefunden werden, was durch die Google Crawler indexiert wurde – das betrifft auch Inhalte, die vom Eigentümer möglicherweise nie zur Veröffentlichung gedacht waren. Prekär wird die Situation besonders dann, wenn zum Beispiel Backup-Dateien mit vertraulichen Daten oder Administrationsoberflächen von Sicherheitshardware (wie z.B. Firewalls) aus dem Internet erreichbar sind. Solche Informationen können Angreifern den Weg für eine schnelle und einfache Infiltration ebnen.

Meistens enthalten Webanwendungen Standardtexte, die immer vorhanden sind. Eine einfache Suche nach "Powered by xyz" liefert dann jede Menge Treffer von Seiten, die mit der Applikation xyz betrieben werden.

Auch wer bestimmte Dateiformate sucht, kann das einfach in die Suche integrieren, um zum Beispiel nur Ergebnisse zu erhalten, die auf PDF-Dokumente verweisen.

Durch die Verkettung einiger Suchoperatoren kann so zum Beispiel geschickt nach Webanwendungen mit bekannten Schwachstellen gesucht werden oder gezielt nach vertraulichen Dokumenten geforscht werden, die versehentlich in öffentlichen Bereichen von Webservern abgelegt und indexiert wurden.

Die Caching-Funktion ist unter Umständen ebenfalls kritisch, da so eventuell auch Verwundbarkeiten ausgenutzt werden können, die in der neusten Version einer Seite bereits gepatcht wurden. Durch die <intitle>-Suche verraten sich zum Beispiel oft bestimmte Geräte wie Drucker oder Kameras, beziehungsweise deren Steuer-Interfaces.

Übrigens: für Verbrechen abseits des Cyberspace können Google-Hacking-Informationen ebenfalls genutzt werden. Eine Suche nach "inurl:"ViewerFrame?Mode=Motion" liefert zum Beispiel eine Reihe aus dem Internet erreichbarer Webcams. Dass es wirklich die Intention der Besitzer war, diese öffentlich erreichbar zu machen, ist eher unwahrscheinlich. Wohnungseinbrecher könnten sich die Kamerabilder zunutze machen, um ohne Gefahr das Leben ihrer potenziellen Opfer auszuspionieren.

Spezialisierte Suchmaschinen wie Shodan oder Censys erlauben es, solche Ergebnisse dann noch weiter zu verfeinern und zu validieren. Angreifer können so sehr umfangreiche Informationen über ihre potenziellen Opfer sammeln, ohne selbst in Erscheinung zu treten.

So läuft der Angriff ab
Zwei wesentliche Bestandteile lassen sich bei Google Hacking-Angriffen beobachten:

1. Zuerst wird über die Suchmaschine nach Sicherheitsschwachstellen im Internet gesucht. Dabei handelt es sich meist um bekannte Vulnerabilities von Anwendungen, die zur Verwaltung, Steuerung und Administration von Webseiten, Servern oder bestimmten Geräten im Internet of Things (IoT) dienen.

2. Als nächstes erfolgt dann der eigentliche Angriff. Meistens wird dabei eine bekannte Schwachstelle ausgenutzt. So eine Sicherheitslücke kann sehr unterschiedlich aussehen. Kaum zu glauben, aber einer der einfachsten und verbreitetsten Schwachpunkte ist ein unverändertes Standardpass-wort. Apropos Passwörter: Das Ranking der beliebtesten Nutzer-Passwörter wird immer noch von "123456" angeführt. Auch "password" (bzw. in Deutschland "Passwort") sind stets einen Versuch wert.

Einfache Angriffsziele im Fokus
Anfangs sucht der Angreifer nach möglichst vielen verwundbaren Systemen im Internet. Die meisten Hacker beschäftigen sich in erster Linie mit den "low hangig fruits" – den einfachsten Angriffszielen. Warum ein gesichertes Ziel angreifen, wenn es genug ungesicherte gibt?

Alternativ dazu kann der Angreifer auch ein bestimmtes Ziel nach Schwachstellen abklopfen. Dazu kann man zum Beispiel den speziellen Google Suchoperator site benutzen. Damit können einfach alle Unterseiten einer bestimmten Webseite durchsucht werden.

Der Angreifer kann nach einzelnen Parametern aus der URL suchen. Wenn er dann noch Title, Header oder Texte der Web-Anwendung, die er sucht, hinzufügt, kann er explizit nach Anwendungen suchen, die bekanntermaßen verwundbar sind. Damit stehen dem Angreifer viele unterschiedliche Varianten und Suchoperatoren zur Verfügung, um spezielle Webseiten aufzuspüren, die als Opfer in Frage kommen.

Öffentliche Datenbanken mit Verwundbarkeitsinformationen aller möglichen Systeme gibt es genug, zum Beispiel die National Vulnerability Database (NVD) oder die Open Source Vulnerability Database (OSVDB). Solche Sammelstellen haben in der IT-Sicherheit durchaus ihre Berechtigung. Immerhin können nur bekannte Schwachstellen auch gepatcht oder zumindest geschützt werden. Das hat natürlich auch einen Haken: Hacker können hier ebenfalls Schwachstellen für Angriffe nachschlagen.

Vertrauliche Dokumente ausspionieren
Sucht ein Angreifer nach brisanten Dokumenten, können die Suchwörter "vertraulich", "confidential", "internen Gebrauch" und "internal use" bereits ausreichen, um über die Google Suche an vertrauliche Dokumente zu kommen. Zum Ausspionieren von Dokumenten bietet sich vor allem der Suchoperator filetype an, weil damit die Suche auf Scripte oder Dokumente eingegrenzt wird.

Viele unterschiedliche Dateiformate können so explizit gesucht werden, wie zum Beispiel:
Word: filetype:doc
Excel: filetype:xls
Powerpoint: filetype:ppt
PDF: filetype:pdf

Backup Server können oft ebenfalls über Google gefunden werden. Allein die Suchanfrage mit dem Suchbegriff "Index of /" bringt bereits einige erfolgreiche Treffer. In den Ergebnissen abgelegte Backups können nicht nur Bilder und Dokumente sondern auch Software oder vertrauliche Informationen enthalten. Um die Suche noch genauer einzustellen, kann der Nutzer noch zusätzlich Begriffe wie "+PDF" oder "+MP3" der Suchanfrage anhängen, um noch gezielter Dokumente oder bestimmte Dateien (z.B. MP3s) aufspüren zu können.

Sprung durch die Sicherheitslücke
Moderne Webseiten und Web-Anwendungen werden meistens über Content-Management-Systeme (CMS) wie zum Beispiel Contao, ProcessWire, Solodev, WordPress oder Joomla! verwaltet. Die Webseite wird dann über ein Administrations-Frontend mit Loginseite, das in der Regeleinfach über eine URL erreichbar ist, bedient und konfiguriert. Hat der Betreiber vergessen, den Zugriff hier effektiv zu schützen, können Angreifer Schwachstellen bestimm-ter Systeme explizit ausnutzen.

Die Administrations-Seitengängiger CMS kann man einfach über Google suchen. Ein gutes Beispiel: die Suche nach inurl:"/wp-login.php" liefert explizit WordPress Login Seiten zurück, sofern diese über das Internet erreichbar sind – was sie in aller Regel sind. Hat der Angreifer erst die Adresse einer solchen Seite, steht einer Attacke auf den meistens vorhandenen Benutzer "admin" (z.B. mit dem schon erwähnten, stets beliebten Passwort "123456") nichts mehr im Wege.

Angriff aus dem Schatten von Google
Google wird nicht nur missbraucht, um an eine Liste einfacher Opfer zu kommen. Manche Funktionen der Suchmaschine lassen sich nutzen, um bereits den Zugriff auf eine Zielseite zu verschleiern. Der generelle Ansatz dieser Methoden ist es, Google geschickt zwischenzuschalten.

Die Übersetzungsservices von Google bieten dafür beispielsweise eine Möglichkeit. Man nutzt dazu einfach neben dem Suchergebnis den Link "Diese Seite übersetzen". Alternativ können Seiten direkt aus dem Cache von Google geladen werden, ohne eine direkte Anfrage an den Webserver abzuschicken, auf dem die Seite eigentlich läuft. Angreifer vermeiden so den direkten (und damit eventuell zurück verfolgbaren) Kontakt mit dem Server des Opfers.

Wer anonym Zugriff auf Dokumente nehmen will, kann auch das durch Google verschleiern. Google bietet bei vielen Formaten den Link "HTML-Version" in den Google-Ergebnissen neben dem jeweiligen Treffer an. Damit kann der Angreifer – ohne selbst irgendeinen Kontakt zum Server aufzunehmen – das Dokument sichten. Google hilft auch hier weiter: Die Suchmaschine generiert automatisch eine HTML-Version des Dokuments, damit der Nutzer diese Version im Browser ansehen kann, ohne eine externe Anwendung öffnen zu müssen.

So kann man sich schützen
Um Google-Hackern das Leben schwer zu machen, reichen oft schon wenige einfache Maßnahmen aus. Damit kann man die eigene Webseite aus der Masse der einfachen Opfer herauslösen und den Schutz auf ein deutlich höheres Niveau heben:

>> Über eine htaccess-Datei können kritische Seiten (wie die Administrationsbereiche des CMS) geschützt werden. Man kann dann beispielsweise aus dem Internet nur noch von bestimmten IP-Adressen aus auf die Login-Seite zugreifen.

>> Die Indexierung der Seite durch Google und andere Suchmaschinen kann über den Metatag <meta name="robots" content="noindex"> oder spezifischer für Google: <meta name="googlebot" content="noindex"> im <head> einer Webseite ausgeschlossen werden. Dadurch wird bewusst gesteuert, welche Seiten im Web sichtbar und durchsuchbar sind und welche nicht.

Google empfiehlt selbst diese Methode, um festzulegen welche Details durchsuchbar sein sollen und welche nicht (diese Beschränkungen gelten allerdings nur für Webseiten!)

>> Seitenweit lassen sich zusätzlich über eine robots.txt solche Einstellungen konfigurieren.

>> Dokumente lassen sich schützen, indem man sie in einen Unterordner mit Passwortschutz verschiebt. (Vorsicht: Der Google-Cache kann die Dokumente weiterhin enthalten!)

Lösungen im Business Bereich
Ein Reverse Proxy Server erhöht die Sicherheit weiter deutlich. Die Einrichtung ist allerdings nicht trivial und benötigt einige Expertenkenntnisse, damit die Seite nach der Installation auch wieder reibungslos läuft.

Das Mittel der Wahl im Profisegment, um die eigenen Web Apps zuverlässig zu schützen, ist eine Web Application Firewall (WAF). Diese Systeme sind zwar nicht eben günstig zu bekommen und sollten in jedem Fall von Experten korrekt konfiguriert und eingerichtet werden, bieten dafür aber auch erstklassigen Schutz. (it-cube: ra)

eingetragen: 20.04.17
Home & Newsletterlauf: 10.05.17


iT-Cube Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Große Zahl ungesicherter IoT-Geräte

    DDoS-Angriffe haben sich in den letzten sechs Monaten nahezu verdoppelt. Laut einer Studie von Corero Network Security entspricht das einem monatlichen Mittel von 237 Angriffsversuchen. Einer der Gründe für den Anstieg liegt in der hohen Zahl einfach zu übernehmenden IoT-Geräten, die zumeist nur unzureichend geschützt sind. Diese "smarten" Geräte eignen sich dann ganz vorzüglich um zu einem Teil eines riesigen Botnets zu werden. Dieses Problem wird sich weiter verschärfen. Dazu muss man nur an die unzähligen Gadgets für Endverbraucher denken, die etwa in der Weihnachtszeit über die physischen und virtuellen Ladentische gewandert sind. Diese Geräte sind eines der vordringlichen Ziele für die Übernahme durch Hacker. Neben den Bedenken, die man im Hinblick auf die Sicherheit der Privatsphäre und vertraulicher Daten hegen kann gibt es noch eine ganze Reihe von weiteren ernsthaften Gefahren, die mit diesen Geräten verbunden sind. Hacker machen sich unsichere IoT-Geräte zunutze um riesige Bot-Netze aufzubauen und DDoS-Attacken zu lancieren. Unsichere IoT-Devices waren in einigen der größten DDoS-Angriffe auf Online-Plattformen innerhalb der letzten Jahre beteiligt. Es spielt bei DDoS-Angriffen keine Rolle, wie groß ein Unternehmen ist. Gefährdet sind alle. Und sollten entsprechend Sorge tragen, was die Sicherheit ihrer Geräte, Daten und Netzwerke anbelangt.

  • A fool with a tool

    Unternehmen stehen heute vielfältige Sicherheitslösungen zur Verfügung. Doch ein Sammelsurium aus technischen Einzelmaßnahmen kann nur bedingt gegen Angriffe schützen. Vielmehr benötigen Unternehmen eine Informationssicherheitsstrategie, gestützt auf Prozesse und Tools die es einem Unternehmen ermöglichen, Informationssicherheit effizient und effektiv zu managen. Der Schlüssel zum Erfolg wird dabei im richtigen Mix aus Menschen und deren Fähigkeiten, Prozessen und Tools liegen. Nur so wird es Unternehmen gelingen proaktiv zu agieren und durch Antizipation zukünftiger Bedrohungen und entsprechender Vorbereitung die richtigen Maßnahmen zum Schutz ihrer sensiblen Daten zu treffen.

  • Was ist Certificate Transparency?

    Möglicherweise haben Sie schon vor einigen Jahren von Certificate Transparency (CT) gehört, als Google die Anforderung für alle Extended Validation (EV) SSL/TLS-Zertifikate ankündigte, die nach dem 1. Januar 2015 ausgestellt worden sind. Seitdem hat Google die Anforderung auf alle Arten von SSL-Zertifikaten ausgedehnt und zuletzt eine Frist bis zum April 2018 gesetzt. Zertifikaten, die nicht CT-qualifiziert sind und die nach diesem Datum ausgestellt werden, wird in Chrome nicht vertraut. GlobalSign hat im Hintergrund bereits daran gearbeitet, dass alle Zertifikate mit CT ausgestattet werden - Extended Validation (EV) seit 2015, Domain Validated (DV) seit August 2016 und Organisation Validated (OV) ab Oktober 2017 - GlobalSign-Kunden sind damit für den Fristablauf seitens Google gerüstet.

  • Wo ist der Authentifizierungsprozess fehlbar?

    Ich habe den größten Teil meines beruflichen Lebens damit verbracht Authentifizierungslösungen zu programmieren, zu implementieren, weiterzuentwickeln und zu patentieren. Daher nehme ich mir das Recht heraus zu sagen, letzten Endes funktioniert Authentifizierung einfach nicht. Mit "funktionieren" im engeren Sinne meine ich, dass es zu 100Prozent garantiert ist, dass es sich tatsächlich um eine vertrauenswürdige Identität handelt, wenn eine Benutzeridentität von einer Authentifizierungslösung an den betreffenden Partner weitergeleitet wird. Und genau das lässt sich nicht garantieren. Es lässt sich belegen, dass und wie der eigentliche Validierungsprozess innerhalb der Authentisierung funktioniert. Das bedeutet, wir verifizieren mathematisch und empirisch, dass die von einem Authentifizierungsmechanismus zusammengestellte Entität mit den Werten übereinstimmt, die in der Datenbank des akzeptierenden Dritten gespeichert sind, also "matched". Das kann ein Passwort sein, ein Einmal-Passwort, OTP, X.509-basierte Verschlüsselung, biometrische Merkmale, mobile Push-Werte oder eine Gesichtserkennung. In einem Satz: Der Authentisierungsprozess lässt sich validieren und damit auch, dass das technische System korrekt arbeitet.

  • Rollende Sicherheitslücken

    Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.