- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Googeln für Hacker


Google erfreut sich auch bei Hackern großer Beliebtheit
Was den meisten nicht klar ist: Durchsucht werden von Google grundsätzlich auch alle mit dem Internet verbundenen Netzwerkgeräte wie Überwachungskameras, Drucker oder Smart TVs.

- Anzeigen -





Von Isabell Schmitt, Consultant IT-Security, iT-Cube Systems, und Franz Härtl, Marketing Manager / Creative Director, iT-Cube Systems

Google ist die Suchmaschine schlechthin, auch wenn die Datensammelwut des Weltkonzerns aus Mountainview immer wieder kontrovers diskutiert wird. Fast 80 Prozent der Suchanfragen weltweit gehen an Google, während andere Suchmaschinen noch nicht einmal die 10-Prozent-Hürde schaffen. Bei Mobilgeräten liegt der Anteil von Google sogar bei mehr als 96 Prozent. Das ist selbst für Laien keine Überraschung.

Weniger verbreitet ist das Wissen, dass Google sich auch bei Hackern großer Beliebtheit erfreut. Verschiedene versteckte Funktionen ermöglichen es Eingeweihten, sehr schnell an umfangreiche Listen potenzieller Opfer zu kommen. Versehentlich freigegebene Dokumente ausspähen, verwundbare Log-in-Seiten finden oder sich in schlecht geschützte Webcams einloggen – Google liefert bequem die einfachsten Ziele. Das ist nicht alles: durch verschiedene Tricks kann sich ein Angreifer quasi hinter der "harmlosen" Suchmaschine verstecken und so gezielt seine Spuren verwischen.

Diese Hiobsbotschaft ist jedoch kein Grund, gleich zum Offliner zu werden: Es gibt wirkungsvolle Tricks, um sich zu schützen.

Suchen, was andere [nicht] verloren haben
Google indexiert das Web durch sogenannte Crawler. Diese Programme scannen kontinuierlich die auf den Webservern liegenden Seiten, um sie anhand der extrahierten Daten in den Suchergebnissen zu listen. Dabei werden alle vorhandenen Webseiten oder Dokumente indexiert, die öffentlich erreichbar sind.

Was den meisten nicht klar ist: Durchsucht werden grundsätzlich auch alle mit dem Internet verbundenen Netzwerkgeräte wie Überwachungskameras, Drucker oder Smart TVs. Alle von Google indexierten Ressourcen und Seiten können über die Suche von Google gefunden werden und das sogar mit den einfachsten Suchbefehlen, wenn man weiß wie und nach was man zu suchen hat. Unter den Ergebnissen können so auch vertrauliche Informationen landen.

Um die Ergebnisse noch spezifischer zu erhalten, können mit Hilfe von Suchoperatoren wie "inurl" noch genauere Suchanfragen definiert werden. So wird es möglich, nach Wörtern zu suchen, die im Text auf der Webseite oder in der URL enthalten sind.

Ein harmloser Einstieg in die gezielte Suche wäre es, die von Google bereitgestellte "Erweiterte Suche" zu verwenden. Hier können Nutzer einfach ein Formular befüllen. Die Suchanfrage wird dann dementsprechend angepasst und man erhält eine Suchanfrage mit verschiedenen Suchoperatoren.

Mögliche Suchoperatoren
Mit Satzzeichen, Symbolen und Suchoperatoren, die zum Beispiel auf den Support Seitenaufgelistet sind, kann die Google-Suche verfeinert werden. Da sie nicht immer zu einem optimalen Ergebnis führt, entscheidet Google allerdings selbstständig, ob die zusätzlichen Symbole auf die Suchergebnisse angewendet werden. Die Symbole können zum Beispiel eine Währung (€) darstellen oder ein Hinweis auf ein Hashtag (#) sein. Ganze Wörter können aus den Suchergebnissen ausgenommen werden, sobald man einen Bindestrich als Symbol vor dem Wort platziert. Wortgruppen können mit Hilfe von Anführungszeichen zu einer expliziten Wortgruppe zusammengefasst werden, nach der gesucht werden soll. Hier können dann auch "Wildcards" (*) als Platzhalter für variable Suchparameter eingefügt werden. Besondere Suchoperatoren grenzen die Suchanfrage noch genauer auf das gewünschte Ergebnis ein.

Die Syntax der Suchoperatoren entspricht immer operator:keyword. Manche Operatoren können gut miteinander kombiniert werden, andere dagegen müssen einzeln verwendet werden.

Diese Suchoperatoren werden z.B. häufig verwendet:

>> cache
Der cache Suchoperator kann eine ältere Seitenversion abrufen, die von Google beim letzten Besuch gespeichert wurde.
Syntax: cache:<url>

>> info
Mit dem info Suchoperator ist es möglich, nach Cache Versionen einer Webseite, ähnlichen Webseiten, Links zu der Webseite oder Webseiten, die den Link enthalten zu suchen.
Syntax: info:<url>

>> site
Über diesen Suchoperator lassen sich die Suchergebnisse auf bestimmte Webadressen einschränken. Das ist sinnvoll, um z.B. gezielt auf einer Webseite nach bestimmten Dokumenten zu suchen.
Syntax: <keyword> site:<url>

>> intitle
Mit Hilfe dieses Suchoperators kann nach Wörtern, die im Titel der Webseite verwendet werden, gesucht werden.
Syntax: intitle:<keywords>

>> inurl
Der Suchbegriff wird in den URLs selbst gesucht. Möglicher Ansatzpunkt ist hier z.B. die Suche nach dem Begriff "admin" um Loginseiten zu finden.
Syntax: inurl:<keywords>

>> filetype
Die Suche wird auf ein bestimmtes Dateiformat festgelegt z.B. PHP oder PDF.
Syntax: filetype:<keywords>

Was ist daran interessant für Hacker?
Über die Google-Suche kann prinzipiell alles gesucht und gefunden werden, was durch die Google Crawler indexiert wurde – das betrifft auch Inhalte, die vom Eigentümer möglicherweise nie zur Veröffentlichung gedacht waren. Prekär wird die Situation besonders dann, wenn zum Beispiel Backup-Dateien mit vertraulichen Daten oder Administrationsoberflächen von Sicherheitshardware (wie z.B. Firewalls) aus dem Internet erreichbar sind. Solche Informationen können Angreifern den Weg für eine schnelle und einfache Infiltration ebnen.

Meistens enthalten Webanwendungen Standardtexte, die immer vorhanden sind. Eine einfache Suche nach "Powered by xyz" liefert dann jede Menge Treffer von Seiten, die mit der Applikation xyz betrieben werden.

Auch wer bestimmte Dateiformate sucht, kann das einfach in die Suche integrieren, um zum Beispiel nur Ergebnisse zu erhalten, die auf PDF-Dokumente verweisen.

Durch die Verkettung einiger Suchoperatoren kann so zum Beispiel geschickt nach Webanwendungen mit bekannten Schwachstellen gesucht werden oder gezielt nach vertraulichen Dokumenten geforscht werden, die versehentlich in öffentlichen Bereichen von Webservern abgelegt und indexiert wurden.

Die Caching-Funktion ist unter Umständen ebenfalls kritisch, da so eventuell auch Verwundbarkeiten ausgenutzt werden können, die in der neusten Version einer Seite bereits gepatcht wurden. Durch die <intitle>-Suche verraten sich zum Beispiel oft bestimmte Geräte wie Drucker oder Kameras, beziehungsweise deren Steuer-Interfaces.

Übrigens: für Verbrechen abseits des Cyberspace können Google-Hacking-Informationen ebenfalls genutzt werden. Eine Suche nach "inurl:"ViewerFrame?Mode=Motion" liefert zum Beispiel eine Reihe aus dem Internet erreichbarer Webcams. Dass es wirklich die Intention der Besitzer war, diese öffentlich erreichbar zu machen, ist eher unwahrscheinlich. Wohnungseinbrecher könnten sich die Kamerabilder zunutze machen, um ohne Gefahr das Leben ihrer potenziellen Opfer auszuspionieren.

Spezialisierte Suchmaschinen wie Shodan oder Censys erlauben es, solche Ergebnisse dann noch weiter zu verfeinern und zu validieren. Angreifer können so sehr umfangreiche Informationen über ihre potenziellen Opfer sammeln, ohne selbst in Erscheinung zu treten.

So läuft der Angriff ab
Zwei wesentliche Bestandteile lassen sich bei Google Hacking-Angriffen beobachten:

1. Zuerst wird über die Suchmaschine nach Sicherheitsschwachstellen im Internet gesucht. Dabei handelt es sich meist um bekannte Vulnerabilities von Anwendungen, die zur Verwaltung, Steuerung und Administration von Webseiten, Servern oder bestimmten Geräten im Internet of Things (IoT) dienen.

2. Als nächstes erfolgt dann der eigentliche Angriff. Meistens wird dabei eine bekannte Schwachstelle ausgenutzt. So eine Sicherheitslücke kann sehr unterschiedlich aussehen. Kaum zu glauben, aber einer der einfachsten und verbreitetsten Schwachpunkte ist ein unverändertes Standardpass-wort. Apropos Passwörter: Das Ranking der beliebtesten Nutzer-Passwörter wird immer noch von "123456" angeführt. Auch "password" (bzw. in Deutschland "Passwort") sind stets einen Versuch wert.

Einfache Angriffsziele im Fokus
Anfangs sucht der Angreifer nach möglichst vielen verwundbaren Systemen im Internet. Die meisten Hacker beschäftigen sich in erster Linie mit den "low hangig fruits" – den einfachsten Angriffszielen. Warum ein gesichertes Ziel angreifen, wenn es genug ungesicherte gibt?

Alternativ dazu kann der Angreifer auch ein bestimmtes Ziel nach Schwachstellen abklopfen. Dazu kann man zum Beispiel den speziellen Google Suchoperator site benutzen. Damit können einfach alle Unterseiten einer bestimmten Webseite durchsucht werden.

Der Angreifer kann nach einzelnen Parametern aus der URL suchen. Wenn er dann noch Title, Header oder Texte der Web-Anwendung, die er sucht, hinzufügt, kann er explizit nach Anwendungen suchen, die bekanntermaßen verwundbar sind. Damit stehen dem Angreifer viele unterschiedliche Varianten und Suchoperatoren zur Verfügung, um spezielle Webseiten aufzuspüren, die als Opfer in Frage kommen.

Öffentliche Datenbanken mit Verwundbarkeitsinformationen aller möglichen Systeme gibt es genug, zum Beispiel die National Vulnerability Database (NVD) oder die Open Source Vulnerability Database (OSVDB). Solche Sammelstellen haben in der IT-Sicherheit durchaus ihre Berechtigung. Immerhin können nur bekannte Schwachstellen auch gepatcht oder zumindest geschützt werden. Das hat natürlich auch einen Haken: Hacker können hier ebenfalls Schwachstellen für Angriffe nachschlagen.

Vertrauliche Dokumente ausspionieren
Sucht ein Angreifer nach brisanten Dokumenten, können die Suchwörter "vertraulich", "confidential", "internen Gebrauch" und "internal use" bereits ausreichen, um über die Google Suche an vertrauliche Dokumente zu kommen. Zum Ausspionieren von Dokumenten bietet sich vor allem der Suchoperator filetype an, weil damit die Suche auf Scripte oder Dokumente eingegrenzt wird.

Viele unterschiedliche Dateiformate können so explizit gesucht werden, wie zum Beispiel:
Word: filetype:doc
Excel: filetype:xls
Powerpoint: filetype:ppt
PDF: filetype:pdf

Backup Server können oft ebenfalls über Google gefunden werden. Allein die Suchanfrage mit dem Suchbegriff "Index of /" bringt bereits einige erfolgreiche Treffer. In den Ergebnissen abgelegte Backups können nicht nur Bilder und Dokumente sondern auch Software oder vertrauliche Informationen enthalten. Um die Suche noch genauer einzustellen, kann der Nutzer noch zusätzlich Begriffe wie "+PDF" oder "+MP3" der Suchanfrage anhängen, um noch gezielter Dokumente oder bestimmte Dateien (z.B. MP3s) aufspüren zu können.

Sprung durch die Sicherheitslücke
Moderne Webseiten und Web-Anwendungen werden meistens über Content-Management-Systeme (CMS) wie zum Beispiel Contao, ProcessWire, Solodev, WordPress oder Joomla! verwaltet. Die Webseite wird dann über ein Administrations-Frontend mit Loginseite, das in der Regeleinfach über eine URL erreichbar ist, bedient und konfiguriert. Hat der Betreiber vergessen, den Zugriff hier effektiv zu schützen, können Angreifer Schwachstellen bestimm-ter Systeme explizit ausnutzen.

Die Administrations-Seitengängiger CMS kann man einfach über Google suchen. Ein gutes Beispiel: die Suche nach inurl:"/wp-login.php" liefert explizit WordPress Login Seiten zurück, sofern diese über das Internet erreichbar sind – was sie in aller Regel sind. Hat der Angreifer erst die Adresse einer solchen Seite, steht einer Attacke auf den meistens vorhandenen Benutzer "admin" (z.B. mit dem schon erwähnten, stets beliebten Passwort "123456") nichts mehr im Wege.

Angriff aus dem Schatten von Google
Google wird nicht nur missbraucht, um an eine Liste einfacher Opfer zu kommen. Manche Funktionen der Suchmaschine lassen sich nutzen, um bereits den Zugriff auf eine Zielseite zu verschleiern. Der generelle Ansatz dieser Methoden ist es, Google geschickt zwischenzuschalten.

Die Übersetzungsservices von Google bieten dafür beispielsweise eine Möglichkeit. Man nutzt dazu einfach neben dem Suchergebnis den Link "Diese Seite übersetzen". Alternativ können Seiten direkt aus dem Cache von Google geladen werden, ohne eine direkte Anfrage an den Webserver abzuschicken, auf dem die Seite eigentlich läuft. Angreifer vermeiden so den direkten (und damit eventuell zurück verfolgbaren) Kontakt mit dem Server des Opfers.

Wer anonym Zugriff auf Dokumente nehmen will, kann auch das durch Google verschleiern. Google bietet bei vielen Formaten den Link "HTML-Version" in den Google-Ergebnissen neben dem jeweiligen Treffer an. Damit kann der Angreifer – ohne selbst irgendeinen Kontakt zum Server aufzunehmen – das Dokument sichten. Google hilft auch hier weiter: Die Suchmaschine generiert automatisch eine HTML-Version des Dokuments, damit der Nutzer diese Version im Browser ansehen kann, ohne eine externe Anwendung öffnen zu müssen.

So kann man sich schützen
Um Google-Hackern das Leben schwer zu machen, reichen oft schon wenige einfache Maßnahmen aus. Damit kann man die eigene Webseite aus der Masse der einfachen Opfer herauslösen und den Schutz auf ein deutlich höheres Niveau heben:

>> Über eine htaccess-Datei können kritische Seiten (wie die Administrationsbereiche des CMS) geschützt werden. Man kann dann beispielsweise aus dem Internet nur noch von bestimmten IP-Adressen aus auf die Login-Seite zugreifen.

>> Die Indexierung der Seite durch Google und andere Suchmaschinen kann über den Metatag <meta name="robots" content="noindex"> oder spezifischer für Google: <meta name="googlebot" content="noindex"> im <head> einer Webseite ausgeschlossen werden. Dadurch wird bewusst gesteuert, welche Seiten im Web sichtbar und durchsuchbar sind und welche nicht.

Google empfiehlt selbst diese Methode, um festzulegen welche Details durchsuchbar sein sollen und welche nicht (diese Beschränkungen gelten allerdings nur für Webseiten!)

>> Seitenweit lassen sich zusätzlich über eine robots.txt solche Einstellungen konfigurieren.

>> Dokumente lassen sich schützen, indem man sie in einen Unterordner mit Passwortschutz verschiebt. (Vorsicht: Der Google-Cache kann die Dokumente weiterhin enthalten!)

Lösungen im Business Bereich
Ein Reverse Proxy Server erhöht die Sicherheit weiter deutlich. Die Einrichtung ist allerdings nicht trivial und benötigt einige Expertenkenntnisse, damit die Seite nach der Installation auch wieder reibungslos läuft.

Das Mittel der Wahl im Profisegment, um die eigenen Web Apps zuverlässig zu schützen, ist eine Web Application Firewall (WAF). Diese Systeme sind zwar nicht eben günstig zu bekommen und sollten in jedem Fall von Experten korrekt konfiguriert und eingerichtet werden, bieten dafür aber auch erstklassigen Schutz. (it-cube: ra)

eingetragen: 20.04.17
Home & Newsletterlauf: 10.05.17


iT-Cube Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Ransomware: Es kommt schlimmer

    Seit ich im Jahr 2014 meine erste Keynote zu diesem Thema gehalten habe beschäftige ich mich mit Ransomware-Prognosen. Seinerzeit wagte ich etwa ein Dutzend Vorhersagen und tatsächlich sind alle eingetroffen. Vor kurzem wurde ich gebeten einen Beitrag für das ITSP Magazine beizusteuern. Und dieses Mal sollten die Prognosen nicht nur spezifischer sein, sondern die Sache auf die Spitze treiben. Sprich, welche Prognosen kommen dabei heraus, wenn man die aktuellen Szenarien bis zu Ende denkt. Soviel lässt sich sagen, alle sind einigermaßen beängstigend. Soeben hat eine Analyse von @David Formby eine der schlimmsten Befürchtungen bestätigt: Kritische Infrastrukturen geraten zunehmend ins Visier von Ransomware-Attacken (Targeting Critical Infrastructure for Ransom). Im letzten Frühjahr litten vornehmlich Krankenhäuser unter der sogenannten SamSam-Ransomware, und im Rahmen unserer Incident Containment-Methode haben wir drei Dinge übereinstimmend festgestellt.

  • Von IT-Sicherheitsexperten lernen

    Die Varonis Blog-Autoren haben inzwischen mit etlichen Sicherheitsexperten aus den unterschiedlichsten Bereichen gesprochen: mit Penetrationstestern, Anwälten, CDOs, Datenschützern, IT-Experten und sogar einem IT-Security-Guru. Wir haben die wichtigsten Analysen und Tipps hier für Sie zusammengetragen. Die Weltformel: Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen. Mit dem IoT, also dem Internet der Dinge mit seiner überwältigen Zahl an Geräten, werden Unternehmen und Endverbraucher mit praktisch allen Datenschutz- und Datensicherheitsproblemen konfrontiert, die man sich denken kann.

  • Lösegeld-Erpressung über Ransomware

    Die Erpressung von Lösegeld war im abgelaufenen Jahr weltweit das häufigste Motiv für Angriffe auf Netzwerke, Server und Anwendungen von Unternehmen und Organisationen. Das geht aus dem jetzt veröffentlichten Global Application and Network Security Report 2016-2017 von Radware hervor, in dem über 40 Prozent der knapp 600 befragten Unternehmen angaben, dass die Lösegelderpressung 2016 der häufigste Grund für Angriffe auf ihre Netzwerke gewesen sei. Speziell in Europa liegt dieser Wert mit 49 Prozent noch deutlich höher als im weltweiten Durchschnitt. Die Erpressung von Lösegeld erfolgt in der Regel über Ransomware oder über Ransom Denial of Service (RDoS). Ransomware nennt man einen Trojaner, einen Wurm oder eine andere Schadsoftware, die ein System unter ihre Kontrolle bringt und den legitimen Zugriff darauf unmöglich macht, bis ein Lösegeld gezahlt wird (und manchmal auch darüber hinaus). In der Regel werden dabei die Daten verschlüsselt, und das Opfer muss für die Entschlüsselung zahlen.

  • Volumetrische DDoS-Angriffe abwehren

    Experten sind sich einig. IoT-Geräte - gerade für Endverbraucher - bekommen mangelnde Sicherheit quasi automatisch mitgeliefert. Und wir in den letzten Wochen die Quittung. Für Sicherheitsspezialisten keine große Überraschung, sie warnen schon lange. Die jüngsten Angriffe aber haben gezeigt, in welche Dimensionen uns IoT-basierte Botnetze bei DDoS-Angriffen katapultieren und welche Schäden sie in der Lage sind anzurichten. Die Attacke auf den DNS-Provider Dyn im Oktober dieses Jahres war ein solcher Weckruf. Das prognostizierte Szenario ist keine bloß theoretische Annahme mehr, sondern real. Und es gibt Handlungsbedarf. Unternehmen und Verbraucher fragen sich angesichts einer steigenden Zahl von im Internet der Dinge verbundenen Geräten wie sie sich besser schützen können. Es ist kein großes Geheimnis, dass IoT-fähige Geräte aus sicherheitstechnischer Hinsicht wenig überzeugend sind. Die überwiegende Zahl von ihnen integriert kaum Sicherheitsmechanismen, und ist mit äußerst simplen Standard-Passwörtern ausgestattet. Das macht die Geräte für potenzielle Angreifer zu einer leichten Beute. Die Folge: Hacker machen sie beispielsweise zum Teil eines Botnetzes von dem DDoS-Angriffe mit enormer Bandbreite ausgehen können.

  • S/MIME und wie es funktioniert

    S/MIME, oder Secure/Multipurpose Internet Mail Extensions, ist eine relativ bekannte Technologie um E-Mails zu verschlüsseln. S/MIME basiert auf asymmetrischer Verschlüsselung, um E-Mails vor unerwünschtem Zugriff zu schützen. Zusätzlich dient S/MIME dazu E-Mails digital zu signieren, um den legitimen Absender einer Nachricht als solchen zu verifizieren. Das macht S/MIME zu einer effektiven Waffe gegen verschiedene Arten von Phishing-Angriffen. Das ist, kurz gefasst, worum bei S/MIME geht. Wenn es allerdings darum geht, S/MIME praktisch einzusetzen, taucht meist noch eine Reihe von Fragen beim Anwender auf.