- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Googeln für Hacker


Google erfreut sich auch bei Hackern großer Beliebtheit
Was den meisten nicht klar ist: Durchsucht werden von Google grundsätzlich auch alle mit dem Internet verbundenen Netzwerkgeräte wie Überwachungskameras, Drucker oder Smart TVs.



Von Isabell Schmitt, Consultant IT-Security, iT-Cube Systems, und Franz Härtl, Marketing Manager / Creative Director, iT-Cube Systems

Google ist die Suchmaschine schlechthin, auch wenn die Datensammelwut des Weltkonzerns aus Mountainview immer wieder kontrovers diskutiert wird. Fast 80 Prozent der Suchanfragen weltweit gehen an Google, während andere Suchmaschinen noch nicht einmal die 10-Prozent-Hürde schaffen. Bei Mobilgeräten liegt der Anteil von Google sogar bei mehr als 96 Prozent. Das ist selbst für Laien keine Überraschung.

Weniger verbreitet ist das Wissen, dass Google sich auch bei Hackern großer Beliebtheit erfreut. Verschiedene versteckte Funktionen ermöglichen es Eingeweihten, sehr schnell an umfangreiche Listen potenzieller Opfer zu kommen. Versehentlich freigegebene Dokumente ausspähen, verwundbare Log-in-Seiten finden oder sich in schlecht geschützte Webcams einloggen – Google liefert bequem die einfachsten Ziele. Das ist nicht alles: durch verschiedene Tricks kann sich ein Angreifer quasi hinter der "harmlosen" Suchmaschine verstecken und so gezielt seine Spuren verwischen.

Diese Hiobsbotschaft ist jedoch kein Grund, gleich zum Offliner zu werden: Es gibt wirkungsvolle Tricks, um sich zu schützen.

Suchen, was andere [nicht] verloren haben
Google indexiert das Web durch sogenannte Crawler. Diese Programme scannen kontinuierlich die auf den Webservern liegenden Seiten, um sie anhand der extrahierten Daten in den Suchergebnissen zu listen. Dabei werden alle vorhandenen Webseiten oder Dokumente indexiert, die öffentlich erreichbar sind.

Was den meisten nicht klar ist: Durchsucht werden grundsätzlich auch alle mit dem Internet verbundenen Netzwerkgeräte wie Überwachungskameras, Drucker oder Smart TVs. Alle von Google indexierten Ressourcen und Seiten können über die Suche von Google gefunden werden und das sogar mit den einfachsten Suchbefehlen, wenn man weiß wie und nach was man zu suchen hat. Unter den Ergebnissen können so auch vertrauliche Informationen landen.

Um die Ergebnisse noch spezifischer zu erhalten, können mit Hilfe von Suchoperatoren wie "inurl" noch genauere Suchanfragen definiert werden. So wird es möglich, nach Wörtern zu suchen, die im Text auf der Webseite oder in der URL enthalten sind.

Ein harmloser Einstieg in die gezielte Suche wäre es, die von Google bereitgestellte "Erweiterte Suche" zu verwenden. Hier können Nutzer einfach ein Formular befüllen. Die Suchanfrage wird dann dementsprechend angepasst und man erhält eine Suchanfrage mit verschiedenen Suchoperatoren.

Mögliche Suchoperatoren
Mit Satzzeichen, Symbolen und Suchoperatoren, die zum Beispiel auf den Support Seitenaufgelistet sind, kann die Google-Suche verfeinert werden. Da sie nicht immer zu einem optimalen Ergebnis führt, entscheidet Google allerdings selbstständig, ob die zusätzlichen Symbole auf die Suchergebnisse angewendet werden. Die Symbole können zum Beispiel eine Währung (€) darstellen oder ein Hinweis auf ein Hashtag (#) sein. Ganze Wörter können aus den Suchergebnissen ausgenommen werden, sobald man einen Bindestrich als Symbol vor dem Wort platziert. Wortgruppen können mit Hilfe von Anführungszeichen zu einer expliziten Wortgruppe zusammengefasst werden, nach der gesucht werden soll. Hier können dann auch "Wildcards" (*) als Platzhalter für variable Suchparameter eingefügt werden. Besondere Suchoperatoren grenzen die Suchanfrage noch genauer auf das gewünschte Ergebnis ein.

Die Syntax der Suchoperatoren entspricht immer operator:keyword. Manche Operatoren können gut miteinander kombiniert werden, andere dagegen müssen einzeln verwendet werden.

Diese Suchoperatoren werden z.B. häufig verwendet:

>> cache
Der cache Suchoperator kann eine ältere Seitenversion abrufen, die von Google beim letzten Besuch gespeichert wurde.
Syntax: cache:<url>

>> info
Mit dem info Suchoperator ist es möglich, nach Cache Versionen einer Webseite, ähnlichen Webseiten, Links zu der Webseite oder Webseiten, die den Link enthalten zu suchen.
Syntax: info:<url>

>> site
Über diesen Suchoperator lassen sich die Suchergebnisse auf bestimmte Webadressen einschränken. Das ist sinnvoll, um z.B. gezielt auf einer Webseite nach bestimmten Dokumenten zu suchen.
Syntax: <keyword> site:<url>

>> intitle
Mit Hilfe dieses Suchoperators kann nach Wörtern, die im Titel der Webseite verwendet werden, gesucht werden.
Syntax: intitle:<keywords>

>> inurl
Der Suchbegriff wird in den URLs selbst gesucht. Möglicher Ansatzpunkt ist hier z.B. die Suche nach dem Begriff "admin" um Loginseiten zu finden.
Syntax: inurl:<keywords>

>> filetype
Die Suche wird auf ein bestimmtes Dateiformat festgelegt z.B. PHP oder PDF.
Syntax: filetype:<keywords>

Was ist daran interessant für Hacker?
Über die Google-Suche kann prinzipiell alles gesucht und gefunden werden, was durch die Google Crawler indexiert wurde – das betrifft auch Inhalte, die vom Eigentümer möglicherweise nie zur Veröffentlichung gedacht waren. Prekär wird die Situation besonders dann, wenn zum Beispiel Backup-Dateien mit vertraulichen Daten oder Administrationsoberflächen von Sicherheitshardware (wie z.B. Firewalls) aus dem Internet erreichbar sind. Solche Informationen können Angreifern den Weg für eine schnelle und einfache Infiltration ebnen.

Meistens enthalten Webanwendungen Standardtexte, die immer vorhanden sind. Eine einfache Suche nach "Powered by xyz" liefert dann jede Menge Treffer von Seiten, die mit der Applikation xyz betrieben werden.

Auch wer bestimmte Dateiformate sucht, kann das einfach in die Suche integrieren, um zum Beispiel nur Ergebnisse zu erhalten, die auf PDF-Dokumente verweisen.

Durch die Verkettung einiger Suchoperatoren kann so zum Beispiel geschickt nach Webanwendungen mit bekannten Schwachstellen gesucht werden oder gezielt nach vertraulichen Dokumenten geforscht werden, die versehentlich in öffentlichen Bereichen von Webservern abgelegt und indexiert wurden.

Die Caching-Funktion ist unter Umständen ebenfalls kritisch, da so eventuell auch Verwundbarkeiten ausgenutzt werden können, die in der neusten Version einer Seite bereits gepatcht wurden. Durch die <intitle>-Suche verraten sich zum Beispiel oft bestimmte Geräte wie Drucker oder Kameras, beziehungsweise deren Steuer-Interfaces.

Übrigens: für Verbrechen abseits des Cyberspace können Google-Hacking-Informationen ebenfalls genutzt werden. Eine Suche nach "inurl:"ViewerFrame?Mode=Motion" liefert zum Beispiel eine Reihe aus dem Internet erreichbarer Webcams. Dass es wirklich die Intention der Besitzer war, diese öffentlich erreichbar zu machen, ist eher unwahrscheinlich. Wohnungseinbrecher könnten sich die Kamerabilder zunutze machen, um ohne Gefahr das Leben ihrer potenziellen Opfer auszuspionieren.

Spezialisierte Suchmaschinen wie Shodan oder Censys erlauben es, solche Ergebnisse dann noch weiter zu verfeinern und zu validieren. Angreifer können so sehr umfangreiche Informationen über ihre potenziellen Opfer sammeln, ohne selbst in Erscheinung zu treten.

So läuft der Angriff ab
Zwei wesentliche Bestandteile lassen sich bei Google Hacking-Angriffen beobachten:

1. Zuerst wird über die Suchmaschine nach Sicherheitsschwachstellen im Internet gesucht. Dabei handelt es sich meist um bekannte Vulnerabilities von Anwendungen, die zur Verwaltung, Steuerung und Administration von Webseiten, Servern oder bestimmten Geräten im Internet of Things (IoT) dienen.

2. Als nächstes erfolgt dann der eigentliche Angriff. Meistens wird dabei eine bekannte Schwachstelle ausgenutzt. So eine Sicherheitslücke kann sehr unterschiedlich aussehen. Kaum zu glauben, aber einer der einfachsten und verbreitetsten Schwachpunkte ist ein unverändertes Standardpass-wort. Apropos Passwörter: Das Ranking der beliebtesten Nutzer-Passwörter wird immer noch von "123456" angeführt. Auch "password" (bzw. in Deutschland "Passwort") sind stets einen Versuch wert.

Einfache Angriffsziele im Fokus
Anfangs sucht der Angreifer nach möglichst vielen verwundbaren Systemen im Internet. Die meisten Hacker beschäftigen sich in erster Linie mit den "low hangig fruits" – den einfachsten Angriffszielen. Warum ein gesichertes Ziel angreifen, wenn es genug ungesicherte gibt?

Alternativ dazu kann der Angreifer auch ein bestimmtes Ziel nach Schwachstellen abklopfen. Dazu kann man zum Beispiel den speziellen Google Suchoperator site benutzen. Damit können einfach alle Unterseiten einer bestimmten Webseite durchsucht werden.

Der Angreifer kann nach einzelnen Parametern aus der URL suchen. Wenn er dann noch Title, Header oder Texte der Web-Anwendung, die er sucht, hinzufügt, kann er explizit nach Anwendungen suchen, die bekanntermaßen verwundbar sind. Damit stehen dem Angreifer viele unterschiedliche Varianten und Suchoperatoren zur Verfügung, um spezielle Webseiten aufzuspüren, die als Opfer in Frage kommen.

Öffentliche Datenbanken mit Verwundbarkeitsinformationen aller möglichen Systeme gibt es genug, zum Beispiel die National Vulnerability Database (NVD) oder die Open Source Vulnerability Database (OSVDB). Solche Sammelstellen haben in der IT-Sicherheit durchaus ihre Berechtigung. Immerhin können nur bekannte Schwachstellen auch gepatcht oder zumindest geschützt werden. Das hat natürlich auch einen Haken: Hacker können hier ebenfalls Schwachstellen für Angriffe nachschlagen.

Vertrauliche Dokumente ausspionieren
Sucht ein Angreifer nach brisanten Dokumenten, können die Suchwörter "vertraulich", "confidential", "internen Gebrauch" und "internal use" bereits ausreichen, um über die Google Suche an vertrauliche Dokumente zu kommen. Zum Ausspionieren von Dokumenten bietet sich vor allem der Suchoperator filetype an, weil damit die Suche auf Scripte oder Dokumente eingegrenzt wird.

Viele unterschiedliche Dateiformate können so explizit gesucht werden, wie zum Beispiel:
Word: filetype:doc
Excel: filetype:xls
Powerpoint: filetype:ppt
PDF: filetype:pdf

Backup Server können oft ebenfalls über Google gefunden werden. Allein die Suchanfrage mit dem Suchbegriff "Index of /" bringt bereits einige erfolgreiche Treffer. In den Ergebnissen abgelegte Backups können nicht nur Bilder und Dokumente sondern auch Software oder vertrauliche Informationen enthalten. Um die Suche noch genauer einzustellen, kann der Nutzer noch zusätzlich Begriffe wie "+PDF" oder "+MP3" der Suchanfrage anhängen, um noch gezielter Dokumente oder bestimmte Dateien (z.B. MP3s) aufspüren zu können.

Sprung durch die Sicherheitslücke
Moderne Webseiten und Web-Anwendungen werden meistens über Content-Management-Systeme (CMS) wie zum Beispiel Contao, ProcessWire, Solodev, WordPress oder Joomla! verwaltet. Die Webseite wird dann über ein Administrations-Frontend mit Loginseite, das in der Regeleinfach über eine URL erreichbar ist, bedient und konfiguriert. Hat der Betreiber vergessen, den Zugriff hier effektiv zu schützen, können Angreifer Schwachstellen bestimm-ter Systeme explizit ausnutzen.

Die Administrations-Seitengängiger CMS kann man einfach über Google suchen. Ein gutes Beispiel: die Suche nach inurl:"/wp-login.php" liefert explizit WordPress Login Seiten zurück, sofern diese über das Internet erreichbar sind – was sie in aller Regel sind. Hat der Angreifer erst die Adresse einer solchen Seite, steht einer Attacke auf den meistens vorhandenen Benutzer "admin" (z.B. mit dem schon erwähnten, stets beliebten Passwort "123456") nichts mehr im Wege.

Angriff aus dem Schatten von Google
Google wird nicht nur missbraucht, um an eine Liste einfacher Opfer zu kommen. Manche Funktionen der Suchmaschine lassen sich nutzen, um bereits den Zugriff auf eine Zielseite zu verschleiern. Der generelle Ansatz dieser Methoden ist es, Google geschickt zwischenzuschalten.

Die Übersetzungsservices von Google bieten dafür beispielsweise eine Möglichkeit. Man nutzt dazu einfach neben dem Suchergebnis den Link "Diese Seite übersetzen". Alternativ können Seiten direkt aus dem Cache von Google geladen werden, ohne eine direkte Anfrage an den Webserver abzuschicken, auf dem die Seite eigentlich läuft. Angreifer vermeiden so den direkten (und damit eventuell zurück verfolgbaren) Kontakt mit dem Server des Opfers.

Wer anonym Zugriff auf Dokumente nehmen will, kann auch das durch Google verschleiern. Google bietet bei vielen Formaten den Link "HTML-Version" in den Google-Ergebnissen neben dem jeweiligen Treffer an. Damit kann der Angreifer – ohne selbst irgendeinen Kontakt zum Server aufzunehmen – das Dokument sichten. Google hilft auch hier weiter: Die Suchmaschine generiert automatisch eine HTML-Version des Dokuments, damit der Nutzer diese Version im Browser ansehen kann, ohne eine externe Anwendung öffnen zu müssen.

So kann man sich schützen
Um Google-Hackern das Leben schwer zu machen, reichen oft schon wenige einfache Maßnahmen aus. Damit kann man die eigene Webseite aus der Masse der einfachen Opfer herauslösen und den Schutz auf ein deutlich höheres Niveau heben:

>> Über eine htaccess-Datei können kritische Seiten (wie die Administrationsbereiche des CMS) geschützt werden. Man kann dann beispielsweise aus dem Internet nur noch von bestimmten IP-Adressen aus auf die Login-Seite zugreifen.

>> Die Indexierung der Seite durch Google und andere Suchmaschinen kann über den Metatag <meta name="robots" content="noindex"> oder spezifischer für Google: <meta name="googlebot" content="noindex"> im <head> einer Webseite ausgeschlossen werden. Dadurch wird bewusst gesteuert, welche Seiten im Web sichtbar und durchsuchbar sind und welche nicht.

Google empfiehlt selbst diese Methode, um festzulegen welche Details durchsuchbar sein sollen und welche nicht (diese Beschränkungen gelten allerdings nur für Webseiten!)

>> Seitenweit lassen sich zusätzlich über eine robots.txt solche Einstellungen konfigurieren.

>> Dokumente lassen sich schützen, indem man sie in einen Unterordner mit Passwortschutz verschiebt. (Vorsicht: Der Google-Cache kann die Dokumente weiterhin enthalten!)

Lösungen im Business Bereich
Ein Reverse Proxy Server erhöht die Sicherheit weiter deutlich. Die Einrichtung ist allerdings nicht trivial und benötigt einige Expertenkenntnisse, damit die Seite nach der Installation auch wieder reibungslos läuft.

Das Mittel der Wahl im Profisegment, um die eigenen Web Apps zuverlässig zu schützen, ist eine Web Application Firewall (WAF). Diese Systeme sind zwar nicht eben günstig zu bekommen und sollten in jedem Fall von Experten korrekt konfiguriert und eingerichtet werden, bieten dafür aber auch erstklassigen Schutz. (it-cube: ra)

eingetragen: 20.04.17
Home & Newsletterlauf: 10.05.17


iT-Cube Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Zertifikat ist allerdings nicht gleich Zertifikat

    Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

  • Datensicherheit und -kontrolle mit CASBs

    Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

  • KI: Neue Spielregeln für IT-Sicherheit

    Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

  • DDoS-Angriffe nehmen weiter Fahrt auf

    DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

  • Fluch und Segen des Darkwebs

    Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.