Netz & Telekom

Suchmaschinen-Hacking

Wenn Google zu viel verrät

Aus MONITOR 6/2006

So nützlich Suchmaschinen wie Google & Co. auch sind: Aus Sicht der Unternehmen sind sie ein latentes Sicherheitsrisiko. Denn Millionen indizierter Seiten offerieren zahlreiche Schwachstellen.

Lothar Lochmaier

Die Sicherheitsexperten von McAfee sehen einen Zusammenhang zwischen Suchmaschinen und der Verbreitung von Spyware, Viren und anderen Online-Schädlingen. Eine Studie von dem zu McAfee gehörigen Unternehmen SiteAdvisor zeigt, dass die Ergebnislisten der größten Suchmaschinen Links zu Webseiten beinhalten, die einen Rechner infizieren oder den Weg für Spam-Mails frei machen können.

Die ersten fünf Seiten der Ergebnisliste enthalten demnach durchschnittlich fünf Prozent riskante Links. Dabei seien unter den bezahlten Werbeanzeigen neben den Ergebnislisten dreimal mehr gefährliche Links vorzufinden als in der Ergebnisliste selbst.

Gezielte Suche...

Der Begriff "Suchmaschinen Hacking" hingegen bedeutet zunächst einmal nichts anderes, als das gezielte Suchen nach Datenbeständen. Bekannt geworden ist die Methode an relevante Unternehmensdaten zu gelangen durch den amerikanischen Hacker und Sicherheitsspezialisten Johnny Long, der dafür den Begriff "Google Hacking" geprägt hat.

Die Kunst des potentiellen Angreifers besteht darin, mit entsprechender Geduld passende Suchanfragen zu produzierten, um die genannten Seiten aufzuspüren. Grundsätzlich auslesen lassen sich Passwortdateien, Konfigurationsseiten sowie andere sensitive Daten und Services. Als Negativbeispiel dient ein Großunternehmen, das versehentlich ein ganzes Firewall-Regelwerk ins Internet stellte.

Eine denkbare Suchvariante besteht darin, dass Angreifer mit Suchmaschinen gezielt nach Servern suchen, die etwa ein spezifisches Softwareprodukt einsetzen wie "phpbb2", einem auf PHP und zumeist MySQL basierenden Open Source Forensystem. "Identifizierte Systeme kann ein Angreifer leicht in seine Gewalt bringen", gibt Sebastian Schreiber, Geschäftsführer der auf IT-Penetrationstests spezialisierten Syss GmbH zu bedenken.

Ein Angreifer sucht des weiteren nach Diensten, die zur Verwaltung von Servern und Webseiten dienen. Findet er einen solchen Dienst, der beispielsweise nicht mit einem Passwort geschützt ist, so benötigt er nur noch den entsprechenden Client, um darauf zuzugreifen, etwa via Dateierweiterungen beim Frontpage-Server.

Sehr alte Versionen der Erweiterungen legen die gehashten Passworte der Anwender und Administratoren in verschiedenen Dateien auf dem jeweiligen Webserver ab. Ohne entsprechende manuelle Änderungen vorzunehmen, sind die entsprechenden Verzeichnisse für jeden zugänglich, da von den Dateierweiterungen selbst nach der Installation keine einschränkenden Berechtigungen gesetzt werden konnten.

Suchparameter wie "inurl:", die für das Hacking benötigt werden, werden nicht nur von Google, sondern auch von nahezu allen anderen Suchmaschinen unterstützt. Mit diesen Informationen alleine kann der Angreifer zwar noch nicht viel anfangen, doch ermöglichen diese kombiniert mit illegalen Passwortknackern wie Openwall eine erfolgversprechenden Angriff.

Neben softwarebasierten Mustern sind auch Schwachstellen in der Hardware ausnutzbar. Integrierte Webserver verraten zumindest die URL. Ein Zugriff ist beispielsweise über die Webseiten der HP Jetdirect-Printserver möglich. Der Angreifer sucht dabei nach den in die Jetdirect-Systeme integrierten Webservern. Sind diese über das Internet erreichbar, so lassen sich auch weitere Clients direkt ansteuern. Da sich die Operatoren "inurl:" und "intitle:" miteinander kombinieren lassen, hat der Angreifer eine große Bandbreite an Kombinationen für diverse Anwendungen und Geräte zur Verfügung.

Offene Ports sind eine weitere Zielscheibe, da sie ebenfalls Teil der URL sind. Der professionalisierte Teil der Hacker-Szene nutzt weitere Möglichkeiten: "Denkbar ist zum Beispiel die Manipulation von Web-Rankings als Auftragsarbeit", gibt Raimund Genes, CTO Anti-Malware bei Trend Micro zu bedenken. In diesem Fall sucht der Angreifer nach Forum-Seiten, die eine bekannte Sicherheitslücke haben oder Passwörter preisgeben, um diese Seiten dann mit Verweisen auf die gewünschte Website zu überschwemmen.

Suchmaschinen-Hacking lässt sich auch für die Datenspionage oder Angriffsvorbereitung einsetzen. Dies setzt aber ein höheres Maß an technischem Know-how voraus. So lassen sich über gezielte Anfragen oftmals eingesetzte Applikationen inklusive Versionsnummer finden. Mit dem entsprechenden Client und dem Wissen über bekannte Schwachstellen der Applikation ausgerüstet, kann der Angreifer seinen Einbruchsversuch lancieren.

Als problematisch in der zunehmend interaktiven Google-Welt erweisen sich einige neue Features: So bietet zum Beispiel der Google-Desktop die Möglichkeit, Daten an einen Google-Server zu übertragen, damit andere Anwender die lokale Maschine durchsuchen können. "Hier entsteht natürlich ein Gefahrenpotenzial, wenn Anwender die Art und den Umfang der übertragenen Daten nicht genauestens kontrollieren", bilanziert Genes.

Um sich gegen das unfreiwillige Google-Prinzip zu schützen, ist Datensparsamkeit eine strikte Grundregel. Sensible private Daten gilt es wie einen Goldschatz hüten. Unternehmen sollten das übliche Standardprozedere ernst nehmen, wie eine vernünftige Konfiguration von Firewalls, Web-Servern, Forum-Software sowie anderen Applikationen. Oberste Priorität hat auch die zeitnahe Versionsaktualisierung.

drucken