Google hilft bei Einbrüchen in Webserver

E-CommerceMarketingSicherheitSicherheitsmanagement

Die Suchmaschine unterstützt Angreifer bei der Suche nach Sicherheitslöchern. Über den Cache werden zudem fehlerhafte Seiten weiterhin abrufbar gemacht, auch wenn sie längst geändert wurden.

Google stellt heute ein wichtiges Werkzeug für Cracker dar, wenn es darum geht, in fremde Webserver einzudringen. Die Suchmaschine speichert zahlreiche Einstiegsseiten schlecht konfigurierter Webserver und legt so Angriffspunkte offen, erläuterte der Sicherheitsexperte Johnny Long, der in der IT-Sicherheitsabteilung bei Computer Sciences beschäftigt ist, gestern auf der Fachkonferenz Black Hat Security Briefings in Las Vegas.

Der Trick, Suchmaschinen für die Fahndung nach Schwachstellen im Netz zu verwenden, ist zwar nicht neu, Googles Architektur eröffnet potenziellen Eindringlingen jedoch deutlich mehr Möglichkeiten als bisher. So liefert das Tool 11.300 Mal die Default-Seite des Microsoft-Webservers IIS. Ein Angreifer kann daraus schlussfolgern, dass der gesamte Server noch nicht konfiguriert wurde und auch noch mit Standard-Passwörtern versehen ist. Schnell ist so ein Zugang zum System gefunden.

Gezielte Suchabfragen können auch Scripte zutage fördern, die die Zugangsdaten zu Datenbank-Servern enthalten, so Long. Durch den Cache sind diese Informationen auch noch abrufbar, wenn die Codes der betroffenen Webseite längst geändert wurden.

Der Sicherheitsexperte sieht auch die Gefahr der Verbreitung schädlicher Codes über Suchmaschinen. Theoretisch sei es möglich, Scripts in Auszügen einer Webseite zu verstecken, die von Suchmaschinen kopiert und dem Nutzer gezeigt werden. Bisher sind noch keine entsprechenden Angriffe bekannt geworden. Es sei jedoch zu befürchten, dass im Ernstfall Sicherheitslücken in Browsern in bisher unbekanntem Maßstab ausgenutzt werden könnten. Die potenziellen Gefahren seien jedoch kein Grund Suchmaschinen zu meiden, so Long. Vielmehr sollte deren Bekanntmachung dazu dienen, ein größeres Bewusstsein für IT-Sicherheit zu schaffen. (dd)

(
de.internet.com
– testticker.de)

Weitere Infos:

Computer Sciences


Black Hat

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen