Angriffsziele? Frag Google!
Artikel erschienen in Swiss IT Magazine 2005/14
Des einen Freud ist meist des anderen Leid – das ist auch bei Google nicht anders. Dass die beliebte und derzeit grösste Suchmaschine nach eigenen Angaben über acht Milliarden Webseiten indiziert hat, freut bestimmt jeden, der im weltweiten Netz nach Informationen sucht. Dass sich darunter auch allerlei brisantes, nicht für die Öffentlichkeit bestimmtes Material befindet, dürfte dagegen dem einen oder anderen Sicherheitsverantwortlichen Kopfschmerzen bereiten.
Die zahlreichen Features von Google, darunter die Übersetzungsfunktion, die Suchmöglichkeiten nach Bildern, Newsgroups, der Katalog und insbesondere der Cache, bieten dem typischen Websurfer zahlreiche Erleichterungen – wesentlich mehr Möglichkeiten können aber böswillige Internetanwender, Hacker, Computerkriminelle und Identitätsdiebe daraus ziehen. In diesem Artikel zeigen wir einige dieser bösartigen Anwendungsmöglichkeiten, die in letzter Zeit unter dem Namen «Google-Hacking» zu einiger Bekanntheit gelangt sind. Betroffen ist allerdings keineswegs nur Google – fast alle grösseren und bekannten Suchmaschinen bieten ähnliche Features, die sich problemlos in böser Absicht missbrauchen lassen.
Grundlage der Arbeit der Google-Hacker bilden die zahlreichen hochspezialisierten Operatoren, die die Suchmaschine für umfangreiche Recherchen bietet. Zu den bekannteren gehören die Boolschen Operatoren wie AND und OR, mit denen sich Suchwörter verknüpfen oder ausschliessen lassen. Google kennt aber auch fortgeschrittenere Operatoren wie «site», mit denen sich die Suchergebnisse auf eine bestimmte Website beschränken lassen, oder «allintext», das einen Suchstring im Seitentext findet (vgl. Tabelle).
Mit Hilfe dieser fortgeschrittenen Operatoren und ein wenig Kreativität kann man nun gezielt nach Inhalten suchen. Das könnten etwa vertrauliche Dokumente sein: Die Suchanfrage filetype:pdf vertraulich bringt rund 81'000 Treffer, die Anfrage nach filetype:pdf «für internen gebrauch» findet 263 Dokumente. Es ist zu vermuten, dass darunter neben harmlosen Formularvorlagen auch brisantere Informationen zu finden sind. Auf ähnliche Weise kann man auch nach Text-Dateien beispielsweise mit Passwortlisten oder anderen interessanten Informationen suchen.
Google-Hacker machen sich aber auch die Tatsache zunutze, dass verschiedene Softwareversionen, aber auch die Webinterfaces und
-konsolen von Peripheriegeräten wie Webcams, Druckern oder Routern häufig mit Standardeinträgen auf ihren jeweiligen Webseiten arbeiten. Sind diese Phrasen (beispielsweise der Axis Video Live Camera) bekannt, ist es ein leichtes, sie über Google-Abfragen wie intitle:«Live View / - AXIS» (rund 700 Treffer) zu finden. Werden dann, wie häufig der Fall, auch noch die Standardpasswörter zu den Konsolen benutzt, kann ein Hacker problemlos beispielsweise die Konfiguration eines Routers ändern und durch ein neues Passwort selbst den Administrator von seinem eigenen Gerät aussperren. Auf der Softwareseite hilft Google-Hacking dem Angreifer, bestimmte Versionen zu finden, vorzugsweise natürlich solche, deren Schwachstellen bekannt sind.
Diese und zahlreiche andere Möglichkeiten, mit Google interessante Angriffsziele aufzustöbern, beschreibt der Security-Spezialist und Google-Hacker Johnny Long auf seiner Website (johnny.ihack stuff.com) und neuerdings auch in einem Buch (siehe Kasten). Es versteht sich von selbst, dass böswillige Angreifer bei der Auskundschaftung ihrer Opfer möglichst unauffällig vorgehen, um diese nicht frühzeitig aufzuschrecken. Google hält auch dafür die nötigen Technologien und Mechanismen bereit.
Im Vordergrund steht dabei natürlich der Google-Cache – die Suchmaschine speichert von den meisten der indizierten Seiten eine Kopie, die mit einem Link beim Suchergebnis aufgerufen werden kann. Für Hacker besonders interessant ist daran, dass die Seiten so begutachtet und analysiert werden können, ohne dass das Opfer davon Kenntnis bekommt. Der Vorgang findet komplett auf den Google-Servern statt, die Anonymität des Angreifers bleibt weitgehend gewahrt – zumindest solange für die Anzeige der Site keine externen Dateien wie etwa Bilder vom ursprünglichen Server nachgeladen werden müssen. Vollständige Anonymität bietet dagegen die aufwendigere Nutzung des Nur-Text-Caches oder eines Proxy-Servers.
Der Google-Cache bietet aber auch noch einen zweiten interessanten, mitunter gefährlichen Aspekt. Die gesammelten Daten bleiben nämlich über längere Zeit im Cache gespeichert – selbst dann, wenn die Informationen von der Website entfernt oder geschützt wurden. Somit kann ein potentieller Angreifer auch dann noch Zugriff auf die Infos erhalten, wenn sich der Betreiber der Site längst in Sicherheit wähnt.
Wer die Tricks der Hacker kennt, kann ihre Methoden nutzen, um seine eigene Website zu überprüfen und zu schützen. Schon einfache Massnahmen können grosse Wirkung zeigen (vgl. Kasten). Der wichtigste Trick ist aber – wie auch in anderen Bereichen der Sicherheit – der Einsatz des gesunden Menschenverstands. So sollte man sich gut überlegen, welche Daten überhaupt auf einem Webserver gespeichert werden sollen. Wer Passwort-Listen und andere vertrauliche Informationen darauf lagert, handelt schon per se grobfahrlässig, seien die Verzeichnisse nun geschützt oder nicht. Auch schadet es nicht, die Serversoftware und alle benötigten Komponenten regelmässig auf den neuesten Versionsstand zu bringen und dabei auch gleich die gespeicherten Daten zu überprüfen.
Das Buch «Google Hacking» von Johnny Long zeigt nicht nur, wie man was bei Google aufspüren kann, sondern auch, wie man sich davor schützt, eigene Informationen preiszugeben. Der Autor, selber der wohl bekannteste Google-Hacker, beschreibt detailliert, wie man Port- und CGI-Scans durchführt, Angriffspunkte für SQL-Injections entdeckt oder Passwort-Datenbanken, IDS-Logs, Firewall-Informationen oder SQL-Dumps aufspürt. Damit arbeitet er zwar potentiellen Google-Hackern in die Hände, bietet aber gleichzeitig Sicherheitsverantwortlichen die Chance, die Methoden der Hacker nachzuvollziehen, die eigene Site damit zu testen und aufgrund der gewonnenen Erkenntnisse die geeigneten Schutzmassnahmen zu ergreifen.
ISBN 3-8266-1578-6; 480 Seiten; Mitp; Fr. 54.90
1. Verzeichnisschutz setzen
Vertrauliche Dokumente gehören nicht in allgemein zugängliche Verzeichnisse auf dem Webserver. Einen sicheren Verzeichnisschutz gibt es sowohl in IIS als auch in Apache.
2. «Directory Listing» verbieten
Standardmässig zeigt der Webbrowser von einem Verzeichnis, das nicht über eine Index-Datei verfügt, eine Liste mit allen Dateien. Dies lässt sich verhindern, indem die entsprechende Option im Webserver gesetzt wird. Alternativ können auch leere Index-Dateien als Platzhalter in diesen Verzeichnissen gespeichert werden.
3. Testscripts löschen
Scripts wie phpinfo() geben eine Menge Daten preis, die nicht nur bei der Entwicklung helfen, sondern Angreifern auch Hinweise auf Schwachstellen geben können.
4. Spider aussperren
Über eine robots.txt-Datei lässt
sich bestimmen, auf welche
Seiten und Verzeichnisse die Indizier-Roboter von Suchma-schinen überhaupt Zugriff erhalten sollen. Sinnvollerweise werden
die Spider aus Verzeichnissen ausgesperrt, die Admin-Scripts, Bilder, Downloads und ähnliches enthalten.
5. Google-Einträge löschen
Ein bereits erfolgter Eintrag von Seiten im Google-Index lässt
sich bei Bedarf rückgängig
machen. Eine genaue Anleitung findet sich unter www.google.ch/remove.html.