Google Hacking & wie man Vertrauliches schützen kann

Google is watching you

| Autor / Redakteur: Isabell Schmitt, Franz Härtl* / Susanne Ehneß

Google ist auch bei Hackern beliebt
Google ist auch bei Hackern beliebt (Bild: Simon/Pixabay / CC0)

Sie gilt als die meistbesuchte Webseite der Welt – und als Datenkrake: Google ist Marktführer unter den Internet-Suchmaschinen und bearbeitet pro Tag mehr als drei Milliarden Suchanfragen. Was viele nicht wissen: Google ist auch in Hacker-Kreisen äußerst beliebt.

Wer weiß, wie man die versteckten Funktionen benutzt, kann nicht nur schlecht konfigurierte Webserver ausspähen, Dokumente und Informationen stehlen. Cyberkriminelle gehen hier auch gezielt auf die Suche nach verwundbaren Opfern. Login-Seiten eines bestimmten CMS? Kein Problem. Direkt erreichbare Webcams? Tausende davon sind nur eine Suchanfrage entfernt.

Und nicht nur das. Google ermöglicht es Angreifern, sich zu tarnen und ihre Zugriffe zu verschleiern, Verbindungen umzuleiten und unerkannt im Hintergrund zu bleiben.

Doch mit einigen simplen Tricks kann man den Schutz bereits deutlich verbessern und den Hackern ein Schnippchen schlagen.

Wie funktioniert Google Hacking?

Mittels sogenannter Crawler durchsucht Google das Internet nach Webseiten, um diese zu indexieren und später über die Suche erreichbar zu machen. Dabei werden alle öffentlich erreichbaren Webseiten oder Dokumente indexiert. Was vielen nicht klar ist: Durchsucht werden grundsätzlich auch alle mit dem Internet verbundenen Netzwerkgeräte wie Überwachungskameras, Drucker oder Smart-TVs.

Alle von Google indexierten Seiten und Ressourcen können über die Suche von Google gefunden werden und das sogar mit den einfachsten Suchbefehlen, wenn man weiß wie und wonach man zu suchen hat.

Unter den Ergebnissen können auch vertrauliche Informationen gefunden werden. Um die Ergebnisse noch spezifischer zu erhalten, können mit Hilfe von Suchoperatoren wie „inurl“ noch genauere Suchanfragen definiert werden. So wird es möglich, nach Wörtern zu suchen, die im Text auf der Webseite oder in der URL enthalten sind.

Für den harmlosen Einstieg empfiehlt es sich, die von Google bereitgestellte Erweiterte Suche zu verwenden. Hier können Nutzer einfach ein Formular befüllen, um eine gezielte Suche durchzuführen. Die Suchanfrage wird dann entsprechend angepasst, und man erhält eine Suchanfrage mit verschiedenen Suchoperatoren.

Erweiterte Suche
Erweiterte Suche (Bild: iT-Cube Systems)

Die Suchoperatoren

In der Google-Suche können Satzzeichen, Symbole und Suchoperatoren verwendet werden. Eine Übersicht findet sich auf den Support-Seiten.

Satzzeichen und Symbole können in der Suchanfrage verwendet werden, führen aber nicht immer zu einem optimalen Ergebnis. Daher entscheidet Google selbstständig, ob die zusätzlichen Symbole auf die Suchergebnisse angewendet werden. Die Symbole können zum Beispiel eine Währung (€) darstellen oder ein Hinweis auf ein Hashtag (#) sein. Ganze Wörter können aus den Suchergebnissen ausgenommen werden, sobald man einen Bindestrich als Symbol vor dem Wort platziert. Wortgruppen können mit Hilfe von Anführungszeichen zu einer expliziten Wortgruppe zusammengefasst werden, nach der gesucht werden soll. Hier können dann auch „Wildcards“ (*) als Platzhalter für variable Suchparameter eingefügt werden.

Mit speziellen Suchoperatoren kann die Suchanfrage noch genauer für das gewünschte Ergebnis angepasst werden.

Die Suchoperatoren entsprechen alle der Syntax operator:keyword. Manche können gut miteinander kombiniert werden, andere dagegen müssen einzeln verwendet werden.

Folgende Suchoperatoren werden am häufigsten verwendet:

  • cache: Der cache Suchoperator kann eine ältere Seitenversion abrufen, die von Google beim letzten Besuch gespeichert wurde. Syntax: cache:<url>
  • info: Mit dem info Suchoperator ist es möglich, nach Cache-Versionen einer Webseite, ähnlichen Webseiten, Links zu der Webseite oder Webseiten, die den Link enthalten zu suchen. Syntax: info:<url>
  • site: Über diesen Suchoperator lassen sich die Suchergebnisse auf bestimmte Webadressen einschränken. Das ist sinnvoll, um z. B. gezielt auf einer Webseite nach bestimmten Dokumenten zu suchen. Syntax: <keyword> site:<url>
  • intitle: Mit Hilfe dieses Suchoperators kann nach Wörtern, die im Titel der Webseite verwendet werden, gesucht werden. Syntax: intitle:<keywords>
  • inurl: Der Suchbegriff wird in den URLs selbst gesucht. Möglicher Ansatzpunkt ist hier z. B. die Suche nach dem Begriff „admin“ um Loginseiten zu finden. Syntax: inurl:<keywords>
  • filetype: Die Suche wird auf ein bestimmtes Dateiformat festgelegt z. B. PHP oder PDF. Syntax: filetype:<keywords>

Folgendes Beispiel zeigt die Suche auf Cubespotter nach einem Beitrag, der die Schlagwörter „Lateral Movement“ enthält und verwendet die Suchoperatoren „inurl“ und „site“. Die Suche liefert 3 Treffer.

Cubespotter
Cubespotter (Bild: iT-Cube Systems)

Aber was hat die Google-Suche nun mit Hacking zu tun?

Prinzipiell kann über die Google-Suche alles gefunden werden, was öffentlich im Internet erreichbar ist und durch die Google Crawler indexiert wurde. Dies beinhaltet natürlich auch Inhalte, die vom Eigentümer möglicherweise nie zur Veröffentlichung gedacht waren. Besonders prekär wird die Situation, wenn zum Beispiel Backup-Dateien mit vertraulichen Daten oder Administrationsoberflächen von kritischen Geräten (wie z. B. Firewalls) aus dem Internet erreichbar sind. Solche Informationen ebnen Angreifern den Weg für eine schnelle und einfache Infiltration.

Viele Webanwendungen enthalten Standardtexte, die immer vorhanden sind. Eine einfache Suche nach „Powered by xyz“ liefert dann jede Menge Treffer von Seiten, die mit der Applikation xyz betrieben werden.

Auch bestimmte Dateiformate können einfach in die Suche integriert werden, um zum Beispiel nur Ergebnisse zu erhalten, die auf PDF-Dokumente verweisen.

Mit einer geschickten Verkettung einiger Suchoperatoren kann so zum Beispiel nach Webanwendungen mit bekannten Schwachstellen gesucht oder gezielt nach vertraulichen Dokumenten geforscht werden, die versehentlich in öffentlichen Bereichen von Webservern abgelegt und indexiert wurden.

Die Caching-Funktion ist kritisch, da so eventuell auch Verwundbarkeiten ausgenutzt werden können, die in der neusten Version einer Seite bereits gepatcht wurden. Durch die <intitle>-Suche verraten sich oft z. B. bestimmte Geräte wie Drucker oder Kameras bzw. deren Steuerinterfaces.

Selbst für Verbrechen abseits des Cyberspace können Google-Hacking-Informationen genutzt werden. Eine Suche nach „inurl:“ViewerFrame?Mode=Motion“ liefert zum Beispiel eine Reihe aus dem Internet erreichbare Webcams. Ob es wirklich die Intention der Besitzer war, diese öffentlich erreichbar zu machen, ist fraglich. Wohnungseinbrecher könnten so ohne Gefahr die Gewohnheiten ihrer potenziellen Opfer ausspionieren.

Ergebnisse, die auf Webcams hindeuten
Ergebnisse, die auf Webcams hindeuten (Bild: iT-Cube Systems)

Mit Hilfe spezialisierter Suchmaschinen wie Shodan oder Censys lassen sich solche Ergebnisse dann noch weiter verfeinern und validieren. So können Angreifer sehr umfangreiche Informationen über ihre potentiellen Opfer sammeln, ohne selbst sichtbar zu sein.

Wie sieht ein Angriff aus?

Ein Google Hacking Angriff besteht aus zwei wesentlichen Bestandteilen.

  • 1. Im ersten Schritt wird zunächst über die Suchmaschine nach Sicherheitsschwachstellen im Internet gesucht. Dabei handelt es sich meist um bekannte Schwachstellen von Anwendungen, die zur Ver-waltung, Steuerung und Administration von Webseiten, Servern oder bestimmten Geräten im Internet der Dinge (IoT) dienen.
  • 2. Im zweiten Schritt erfolgt dann der eigentliche Angriff. Dabei wird meist eine bekannte Schwachstelle ausgenutzt. Eine solche Sicherheitslücke kann sehr unterschiedlich aussehen. Kaum zu glauben, aber eine der simpelsten (und weit verbreitetsten) Einstiegspunkte ist ein unverändertes Standardpass-wort. Stichwort Passwörter: Das Ranking der beliebtesten Nutzer-vergebenen Passwörter wird immer noch von „123456“ angeführt. Auch „password“ (bzw. in Deutschland „Passwort“) ist stets einen Versuch wert (mehr dazu hier).

Erster Schritt: Opfer ermitteln

Zuerst sucht der Angreifer meist wahllos nach verwundbaren Systemen im Internet. Die Praxis zeigt, dass die meisten Hacker zunächst hinter den „low hangig fruits“ her sind – den einfachsten Angriffszielen.

Natürlich kann der Angreifer auch ein spezielles Ziel ansteuern und dort nach Schwachstellen suchen. Dabei kann er zum Beispiel direkt den speziellen Google-Suchoperator site nutzen, um alle Unterseiten einer bestimmten Webseite durchsuchen zu können.

Suchoperator „site“
Suchoperator „site“ (Bild: iT-Cube Systems)

Wie in den Abbildungen veranschaulicht kann der Angreifer nach einzelnen Parametern aus der URL suchen. Wenn er dann noch Title, Header oder Texte der Web-Anwendung, die er sucht, hinzufügt, kann er explizit nach Anwendungen suchen, die bekanntermaßen verwundbar sind.

Damit stehen dem Angreifer eine Menge unterschiedlicher Varianten und Suchoperatoren zur Verfügung, um spezielle Webseiten aufzuspüren, die als Opfer in Frage kommen.

Frei zugängliche Datenbanken mit Verwundbarkeitsinformationen aller möglichen Systeme gibt es genug. Als Beispiel wäre die National Vulnerability Database (NVD) oder die Open Source Vulnerability Database (OSVDB) zu nennen. Diese haben in der IT-Sicherheit durchaus ihre Berechtigung. Schließlich können nur bekannte Schwachstellen auch gepatcht und geschützt werden. Die Kehrseite der Medaille ist natürlich, dass auch Hacker hier Schwachstellen für Angriffe nachschlagen können.

Wie vertrauliche Dokumente ausspioniert werden

Bei der Suche nach vertraulichen Dokumenten können die Suchwörter „vertraulich“, „confidential“, „internen Gebrauch“ und „internal use“ bereits ausreichen, um an vertrauliche Dokumente über die Google-Suche zu kommen. Bei dem Ausspionieren von Dokumenten bietet sich vor allem der Suchoperator „filetype“ an, da damit die Suche auf Scripte oder Dokumente eingegrenzt werden kann. Dabei können viele verschiedene Dateiformate explizit gesucht werden, wie zum Beispiel:

  • Word: filetype:doc
  • Excel: filetype:xls
  • Powerpoint: filetype:ppt
  • PDF: filetype:pdf

Auch Backup Server können häufig über Google gefunden werden. Eine Suchanfrage mit dem Suchbegriff „Index of /“ bringt bereits einige erfolgreiche Treffer. Die in den Ergebnissen abgelegten Backups können nicht nur Bilder und Dokumente sondern auch Software oder vertrauliche Informationen enthalten. Um die Suche noch genauer darauf zu spezialisieren, kann der Nutzer noch zum Beispiel Begriffe wie „+PDF“ oder „+MP3“ der Suchanfrage anhängen, um noch gezielter Dokumente oder MP3-Dateien aufspüren zu können.

Offene Türen

Häufig werden Webseiten oder Web-Anwendungen über Content-Management-Systeme (CMS) wie zum Beispiel Contao (https://contao.org/en/), ProcessWire (https://processwire.com/), Solodev (https://www.solodev.com/), WordPress (https://de.wordpress.com) oder Joomla (https://www.joomla.de/) verwaltet.

Die Konfigurationen der Webseite können dann über das CMS, welches häufig ebenfalls über eine URL erreichbar ist, durchgeführt werden. Sollte der Betreiber vergessen haben, den Zugriff hier effektiv zu schützen, können Angreifer Schwachstellen dieser Systeme explizit ausnutzen.

Denn auch solche Administrations-Seiten kann man speziell über Google suchen. Ein einfaches Beispiel: die Suche nach inurl:“/wp-login.php“ liefert explizit WordPress-Login-Seiten zurück, sofern diese über das Internet erreichbar sind. Und in aller Regel sind sie das. Damit steht einem Angriff auf den meistens vorhandenen Benutzer „admin“ (z. B. mit dem schon erwähnten, stets beliebten Passwort „123456“) nichts mehr im Wege.

Anonymous Googling

Google Hacking bietet nicht nur die notwendigen Suchoperatoren, um Opfer zu finden. Angreifer haben auch Möglichkeiten, ihren Zugriff zu verschleiern. Prinzip der Methoden ist es, Google gezielt zwischenzuschalten.

Zum einen können Seiten von Google übersetzt werden. Dafür erscheint neben dem Suchergebnis ein Link „Diese Seite übersetzen“. Zum anderen können Seiten aus dem Cache von Google geladen werden, ohne eine direkte Anfrage an den betroffenen Webserver abzuschicken.

Beides kann verhindern, dass der Angreifer direkten (und damit eventuell zurückverfolgbaren) Kontakt mit dem Server des Opfers aufnehmen muss.

Auch der Zugriff auf Dokumente kann durch Google verschleiert werden. Sofern der Link „HTML-Version“ in den Google Ergebnissen neben dem Treffer erscheint, kann der Angreifer – ohne selbst irgendeinen Kontakt zum Server aufzunehmen – das Dokument sichten. Denn Google hilft auch hier weiter: Die Suchmaschine generiert automatisch eine HTML-Version des Dokuments, damit der Nutzer diese Version im Browser ansehen kann, ohne die notwendige Anwendung zu öffnen.

Tipps, um sich zu schützen

Einige simple Maßnahmen können den Schutz bereits deutlich verbessern, um die eigene Webseite aus der Masse der einfachen Opfer auf ein deutlich höheres Niveau zu heben:

  • Kritische Seiten (wie die Administrationsbereiche des CMS) können über eine htaccess-Datei geschützt werden. Ein Zugriff aus dem Internet ist dann nur noch beispielsweise von bestimmten IP-Adressen möglich.
  • Über den Metatag <meta name=“robots“ content=“noindex“> oder spezifischer für Google: <meta name=“googlebot“ content=“noindex“> im <head> einer Webseite wird diese von der Indexierung durch Google und andere Suchmaschinen ausgeschlossen. So kann gesteuert werden, welche Seiten im Web sichtbar und durchsuchbar sind und welche nicht. Google selbst empfiehlt diese Methode, um festzulegen welche Details durchsuchbar sein sollen und welche nicht (diese Beschränkungen gelten allerdings nur für Webseiten).
  • Globaler lassen sich solche Einstellungen über eine robots.txt-Datei konfigurieren.
  • Um Dokumente zu schützen kann es bereits reichen, sie in einen Unterordner mit Passwortschutz zu verschieben, wie hier beschrieben.

Professioneller Schutz

Die Nutzung eines Reverse Proxy Servers erhöht die Sicherheit weiter massiv. Allerdings ist der Konfigurationsaufwand nicht zu unterschätzen.

Eine Web Application Firewall (WAF) ist das Mittel der Wahl, um die eigenen Web Apps zuverlässig zu schützen. Solche Systeme sind zwar nicht gerade günstig zu haben, bieten aber umfassenden Schutz – wenn sie von Experten korrekt konfiguriert und eingerichtet werden.

* Die Autoren: Isabell Schmitt, Consultant IT-Security, iT-CUBE SYSTEMS; Franz Härtl, Marketing Manager / Creative Director, iT-CUBE SYSTEMS

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44692779 / Security)