Google-Hacking
Im Fadenkreuz von Google

SicherheitSicherheitsmanagement

Google kennt das Internet – jede Seite, jedes Bild und auch Informationen, die geheim bleiben sollen. Der Artikel spürt die Angriffspunkte auf und zeigt Maßnahmen, um Schwachstellen zu beheben.

Wer googelt, der findet

Google-Hacking

Die Zeiten, in denen Brockhaus und Duden herangezogen wurden, wenn man etwas wissen wollte, sind längst vorbei. Wer heute Informationen sucht, der googelt. Doch die virtuelle Allwissenheit der Suchmaschine ist nicht nur praktisch. Denn Google stöbert im Internet auch vertrauliche Informationen auf, die in den falschen Händen gefährlich werden.

Bereits mit einfachsten Abfragen fördert Google Informationen zu Tage, die eindeutig nicht für alle Augen bestimmt sind. Recherchiert man etwa mit der Eingabe confidential &ldquofor internal use only&rdquo, wird man mit über 18 000 Fundstellen belohnt: Organigramme, geheime Unternehmensstrategien und Rechenschaftsberichte in rauer Menge. Wichtig ist die Verwendung der Anführungszeichen, damit Google genau nach dieser Wortfolge sucht.

Wer glaubt, nur im englischsprachigen Raum wird mit vertraulichen Informationen etwas lax umgegangen, wird mit der Google-Suche &ldquonur zum internen gebrauch&rdquo eines Besseren belehrt. Hier finden sich gleich unter den ersten Treffern komplette Adresslisten, Studien und Präsentationen. Sind ausschließlich Infos im Acrobat-Format interessant, bekommt man von Google mit &ldquonur zum internen gebrauch&rdquo filetype:pdf alle PDF-Dateien gefiltert.


Öffentliche geheime Daten

Google-Hacking

Ein wenig Kreativität und diese einfachen Mittel bringen auch Kundenlisten (kunden filetype:xls), Preislisten für Wiederverkäufer (preisliste handel filetype:xls) oder jede Menge vertraulicher Powerpoint-Präsentationen (confidential filetype:ppt) ans Licht.

Besonders die Anfrage nach vertraulichen Powerpoint-Präsentationen liefert eine enorme Zahl an Ergebnissen. Über 30 000 Treffer findet Google im Internet. Mit weiteren Begriffen lässt sich das Resultat eingrenzen und konkretisieren. Denn was vertraulich (confidential) ist, ist meist auch nicht dafür geeignet, beliebig weitergegeben zu werden. Die Suche not for distribution confidential filetype:ppt liefert zwar bessere Ergebnisse, enthält aber auch jederzeit zugängliche Abhandlungen über die Verteilung von vertraulichen Informationen.

Hier hilft ein Operator der Google-Suche weiter: Werden mehrere Wörter in Anführungszeichen eingegeben, so müssen diese im indizierten Dokument in genau derselben Reihenfolge erscheinen, um als Google-Treffer gelistet zu werden. Dadurch führt die Abfrage ?not for distribution? confidential filetype:ppt nur zu wenig mehr als 20 Ergebnissen. Knapp 20-mal so viele Treffer erzielt Google, wenn statt mit filetype:ppt mit filetype:pdf nach Acrobat-Reader-Dokumenten recherchiert wird, die größtenteils ebenfalls nicht für die Öffentlichkeit bestimmt sind.


Einblicke in Webserver

Google-Hacking

Während man es noch Schildbürgerstreich ansehen kann, dass vertrauliche Inhalte online publiziert werden, fallen andere Suchergebnissse deutlich schwerer ins Gewicht. So verhilft Google ungewollt auch Hackern zu immer neuen Angriffszielen.

Oft vergehen Tage, zuweilen sogar Monate, zwischen der Installation eines Webservers und dem Einpflegen der Inhalte. Bekannte Schlupflöcher werden in dieser Zeit meist nicht gepatcht. Mit Google lassen sich diese neu installierten Rechner leicht identifizieren. Denn jede dieser Installationen hat eine Standard-Begrüßungsseite. Googelt man hier nach Wörtern, die im Titel oder im Text vorkommen, erhält man schnell eine Liste gerade aufgesetzter Systeme. Dabei ist es egal, ob man nach dem am häufigsten benutzten Apache-Server (allintitle:Testseite apache installation) oder dem Microsoft Internet Information Server (allintitle:Welcome Windows Internet Services) sucht.

Bei all diesen Seiten weiß ein potenzieller Hacker, dass die Systemkonfiguration noch neu und damit anfällig ist für die unterschiedlichen Angriffsvarianten, insbesondere für den Einsatz von Trojanern. Um dem vorzubeugen, sollte nach dem Einrichten eines Webservers zur Vorbeugung sofort die Standard-Begrüßungsseite ausgetauscht werden.


Gläsernes Internet

Google-Hacking

Dass Surfer im Internet Spuren hinterlassen, ist kein Geheimnis. Tatsächlich führt ein Internet-Server Protokoll über jede einzelne Aktion über jede Webseite, jedes angezeigte Bild, über die Herkunft der Besucher, über Suchbegriffe, die sie eingegeben haben und zahlreiche weitere Informationen mehr. Webseiten-Betreiber nutzen diese Daten für statistische Auswertungen.

Zwei der bekanntesten Programme, die die reinen Datenprotokolle in anschauliche Grafiken übertragen, sind AWStats und Webalizer. Normalerweise schützen Webseiten-Betreiber diese interessanten Informationen vor unbefugten Blicken. Doch manche nehmen es mit der Sicherheit nicht genau und dann wird es für Spürnasen interessant. Denn wenn eine Statistik nicht geschützt ist, kann Google sie indizieren und jeder nach dem typischen Statistik-Titel suchen.

Bei Webalizer finden sich rund 300 000 Website-Betreiber, denen es scheinbar nichts ausmacht, dass jedermann mithilfe von webalizer intitle:Usage Statistics for über die wichtigen Mediainformationen ihrer Sites Bescheid weiß. Dabei ist es ein Kinderspiel, einen Passwortschutz einzelner Verzeichnisse auf Linux- und Windows-basierenden Servern einzurichten. Über die Google-Abfrage Passwortschutz Einrichten Webserver Linux finden sich diverse Seiten, die hierbei helfen.


Offene Dateisysteme

Google-Hacking

Genauso offen wie die Statistik-Seiten sind viele Verzeichnisse. Obwohl in Foren und besonders bei Providern ständig gemahnt wird, Directory-Listings zu deaktivieren, lassen vor allem Internet-Neulinge, die die Server-Wartung per SSH scheuen, ihre Verzeichnisse für alle Augen sichtbar.

Oft lautet das Argument, das wohl niemand nach einem Ordner namens /man/dod-101/ops/war/ suchen wird. Das mag wohl stimmen, doch der Titeleintrag ist bei allen Directory-Listings derselbe: Index of /. Nimmt man noch einige immer gleiche Seiteninhalte hinzu, erhält man mit der Anfrage intitle:index.of apache server.at knapp 16 Millionen Suchergebnisse. Und neben der Auflistung sämtlicher Dateien und Verzeichnisse gibt es die Server-Version als Gratis-Information dazu. Da von einigen dieser Versionen Schwachstellen bekannt sind, ist der Missbrauch durch Hacker nur eine Frage der Zeit.


Vorsicht ist geboten

Google-Hacking

Deshalb ist es Pflicht, sämtliche Directory-Listings zu deaktivieren. Sollte das nicht möglich sein, weil der Provider den Zugriff auf die Systemdateien verweigert, reicht es auch, eine leere Startdatei, beispielsweise index.html, in das Verzeichnis zu kopieren. Ein Verzeichnis-Listing wird nämlich nur dann angezeigt, wenn keine Startdatei vorhanden ist. Zudem sollten sämtliche Patches eingespielt werden, die für die aktuelle Webserver-Version verfügbar sind.

Vorsicht ist im Internet also unumgänglich. Tröstlich zumindest, dass auch die Profis damit zu kämpfen haben: So hat zum Beispiel selbst das Military Analysis Network unter der Adresse www.fas.org/man/dod-101/ops/war/ zahlreiche Dokumente offen herumliegen, die sicherlich nicht für die Öffentlichkeit bestimmt sind.


Spezielle Dateien suchen

Google-Hacking

Neben dem reinen Informationsgewinn lässt sich mit Google auch ermitteln, welche Art von Dateien in solch offenen Systemen vorhanden sind. So bringt etwa die Recherche nach mp3 intitle:index.of apache server.at mehr als 100 000 Treffer.

Besonders für Hacker ist es interessant, wenn der Webserver-Besitzer auf seinem Online-Server experimentiert. Ein beliebtes Webserver-Skript liefert nämlich zahlreiche Informa
tionen über das System. Wer nach phpinfo.php intitle:index.of sucht, findet alle offenen Verzeichnis-Listings, in denen die Datei phpinfo.php enthalten ist. Diese Datei hat es in der Regel in sich: Ein Klick darauf bringt eine mehrseitige Informationsdarstellung über alle Parameter des Webservers zu Tage.

Um dies auf dem eigenen Server zu unterbinden, reicht es nicht, Directory-Listings zu deaktivieren. Das Skript, so praktisch es für den Entwickler ist, sollte sofort nach dem Testen wieder aus dem Netz genommen werden. Alles andere käme einer detaillierten Inventarbeschreibung für Diebe gleich, die ihnen der Hausherr freundlicherweise selbst an die Haustüre heftet.


Datenbanken steuern

Google-Hacking

Privat käme niemand auf die Idee, Liebesbriefe oder geschäftliche Korrespondenz für alle sichtbar vor die Eingangstür zu legen. Bei Online-Datenbanken scheint die Zurückhaltung weniger ausgeprägt. Eines der beliebtesten Datenbanksysteme im Internet ist MySQL nicht zuletzt deshalb, weil es kostenlos ist. Zur Verwaltung gibt es mit phpMyAdmin ein kostenloses Webserver-Tool, das bei vielen Providern bereits vorinstalliert ist. Hiermit lassen sich Datenbanken erstellen, Tabellen definieren und Inhalte ändern. Das ist sehr praktisch sofern es nicht in falsche Hände fällt.

Doch viele Webseiten-Betreiber lassen ihre Datenbankoberfläche offen herumliegen. Die Abfrage phpMyAdmin running.on inurl:?main.php? liefert über 400 Treffer, davon sind mehr als die Hälfte offene Datenbanksysteme. Die Angriffspunkte für Hacker sind vielfältig. Vom einfachen Ändern etwa von Forumseinträgen über das Löschen von Daten bis hin zum Diebstahl sensibler Informationen sind ihnen keine Grenzen gesetzt. Da zudem verschiedene Software-Versionsnummern Hintertüren besitzen, mit denen Hacker neben der Datenbank auch auf das gesamte System zugreifen können, bleibt als Mittel gegen den unerlaubten Zugriff nur, das Verzeichnis durch ein Passwort zu schützen.


Scheunentore für Hacker

Google-Hacking

Geradezu eine Einladung an Hacker ist es, ein Administrator-Verzeichnis offen zu lassen, das per Google mit index of /admin oder intitle:index.of test-cgi gefunden wird. Wer gleich die Steuerung eines fremden Webservers mit Unix-Kommandos übernehmen will, erhält zu inurl:commander.pl eine Liste von Servern, bei denen die Software Unix-Commander ungeschützt läuft.

Neben einfachen Listingbefehlen, wie ls all können mit cat .htpassword Passwortlisten angezeigt oder mit dem rm-Kommando ganze Verzeichnisstrukturen gelöscht werden. Für alle Fälle sollte hier wieder für einen Passwortschutz gesorgt werden, um die durchaus nützliche Commander-Oberfläche nur dem Administrator zugänglich zu machen.


Sträflicher Leichtsinn

Google-Hacking

Auch bei Login-Dialogen zeigt sich Google auskunftsfreudig: Mit inurl:/admin/login.asp oder inurl:/admin/login.php werden Neugierige schnell fündig. Auch an die Zugangsdaten kann man herankommen. Der simpelste Weg ist die Suche nach filetype:log inurl:&rdquopassword.log&rdquo. In MySQL-Datenbanken sind ebenfalls häufig Passwortlisten enthalten und die Suche nach htaccess intitle:index.of oder htpasswd intitle:index.of liefert zahllose Verzeichnis-Listings, in denen unter anderem Passwörter enthalten sein können. Deren Inhalt zeigt der Webserver in der Regel allerdings nicht im Browser an.

Fündig werden Spürnasen hier oft durch den Leichtsinn der Webmaster. Denn unter Windows lassen sich keine Dateien erstellen, die vor dem Punkt der Dateiendung nicht mindestens ein Zeichen haben, wie etwa bei den unter Linux üblichen Dateien .htaccess oder .htpasswd. Will der Webmaster diese Dateien unter Windows erzeugen, hat er nur die Möglichkeit, sie zum Beispiel htpasswd.txt zu nennen und dann auf der Linux-Befehlszeile entsprechend umzubenennen. Oft lassen Webmaster aber die ursprünglichen Dateien mit der Endung TXT oder BAK zurück geradezu sträflicher Leichtsinn. Diese können nämlich wieder mit Google gesucht werden. Und eine Datei namens htpasswd.bak zeigt auch ein Webserver ohne weiteres an.


Passwortsicherheit

Google-Hacking

Passwörter liegen in den Apache-Passwortdateien .htpasswd und in den MySQL-Datenbanken in einem codierten Format vor, das die Umwandlung in das ursprüngliche Passwort nicht mehr erlaubt. Theoretisch sind die gefundenen Passwörter also unbrauchbar. Tatsächlich verwenden aber viele Benutzer Namen oder sonstige Bezeichnungen als Kennwort. Da die Verschlüsselungsalgorithmen bekannt sind, kann ein Hacker mit einem Lexikon einfach überprüfen, welche Wörter der gefundenen Passwort-Signatur entsprechen.

Sehr anschaulich können Sie die Sicherheit Ihrer Passwörter unter www.securitystats.com prüfen. Wird dort im »Dictionary-Based Hash Cracker« ein schwaches, verschlüsseltes Passwort eingegeben, erscheint binnen weniger Sekunden das Kennwort im Klartext. Ein sicheres Passwort sollte nach folgender Regel erstellt werden: Es sollte Klein- und Großbuchstaben sowie mindestens eine Ziffer oder ein Sonderzeichen enthalten. Dann ist das Umwandeln in das ursprüngliche Passwort nahezu unmöglich.


Software-Schwachstellen

Google-Hacking

Für Webseiten-Betreiber gibt es die meiste Software vom einfachen Blog über Foren bis hin zu Shops und Content-Management-Systemen gratis. Viele dieser Programme haben Privatleute in ihrer Freizeit entwickelt. Und da Web-Anwendungen meist auf Skriptsprachen wie PHP oder Perl basieren, liegen die Programme im Quellcode vor. Kein Wunder also, dass Hacker Schwachstellen schnell herausfinden.

So ist beispielsweise bekannt, dass die Shop-Software A-Cart ihre Access-Datenbank ungeschützt im selben Verzeichnis wie das Script ablegt, wodurch sich sehr leicht darauf zugreifen lässt. Mit der Suchanfrage ?Powered by A-CART? findet man schnell sämtliche Websites, die dieses Shopping-System einsetzen. Eine täglich erweiterte Übersicht über Schwachstellen in Online-Systemen listet www.frsirt.com auf.


Eigene Site prüfen

Google-Hacking

Ein Webseiten-Betreiber sollte die hier vorgestellten Techniken auf der eigenen Website ausprobieren, um bislang unbemerkte Schwachstellen zu entdecken. Mit dem Zusatz site:www.meineseite.de lassen sich alle Google-Abfragen auf www.meineseite.de einschränken. Statt intitle:index.of lautet die Abfrage dann intitle:index.of site:www.meineseite.de.