Googles Schattenseite - Innovationen & Change - NEWS - mindpart

Googles Schattenseite

Suchmaschinen wie Google nutzen die meisten für einen einfachen Zweck: Man möchte etwas im Internet finden. Doch Google hat ebenso auch eine Schattenseite, mit welcher Dinge im Internet aufgespürt werden können, die eigentlich nicht für den allgemeinen Gebrauch bestimmt sind: Geheime Dokumente, Passwörter, Gehaltsabrechnungen, urheberrechtlich geschütztes Material (Filme, Musik, etc.), ungeschützte Sicherheitskameras, Datenschutzverstöße oder Sicherheitslücken in Webanwendungen.

Übrigens wussten Sie das,

... Google Hacking auf das Jahr 2002 zurück zurück geht, als Johnny Long mittels speziellen Suchparametern verwundbare Systeme und sensible Informationen gefunden hat – er selbst bezeichnet das als Google Dorks. Mit Dork (Trottel / Idiot) sind die Betreiber der Webseite gemeint, die sich nicht ausreichend Gedanken zur Sicherheit gemacht haben und ihre Server nicht unter Kontrolle haben.

Bekannt ist die Vorgehensweise unter dem Begriff „Google Hacking“ oder „Google Dorks“.Innerhalb weniger Minuten kann jeder einen Blick in vertrauliche Regionen des Internets werfen. Und das ganze ohne sich strafbar zu machen!

 

Das Handwerkszeug dafür ist einfach: Mit ein paar zusätzlichen Suchparametern lässt sich Googles Suchindex anzapfen um Informationen zu gewinnen, die der jeweilige Betreiber nicht jedem verraten möchte. Hat der Betreiber eines Servers es etwa versäumt, vertrauliche Daten in zu schützen? Wissen wir nicht. Wer jedoch erspähten Daten und Schwachstellen für Zwecke missbraucht, die bei den Betroffenen finanzielle, persönliche oder Schäden jedweder Art verursachen, macht sich dennoch strafbar.

Im vorliegenden Beitrag stelle ich Ihnen ein paar dieser Google Suchparameter vor, mit welchen Konfigurationsfehler und Unachtsamkeit Betreiber sichtbar gemacht werden können.

Mit diesen Suchparametern wird auf Googles Datenbestände zugegriffen, die öffentlich und für jeden einsehbar bereitgestellt werden. Also ist das definitiv kein Hacking-Angriff auf Google! Und das ganze funktioniert nur, weil es Konfigurationsfehler oder fehlende Anweisungen in der robots.txt gibt. Google Robot indexiert Informationen, die im Normalfall nicht für den allgemeinen Gebrauch bestimmt sind. Die Ursache dieser Konfigurationsfehler lassen sich meist auf zwei Gründe zurückführen:

Allem voran die Mangelnde Kenntnis: Insbesondere Privatpersonen legen oftmals sensible Daten ungeschützt auf beispielsweise einen Raspberry Pi, Mediaserver, FTP- oder Webserver. Es werden keinerlei oder schlechte Sicherheitsmaßnahmen ergriffen. Geräte werden ohne einen Zwischenrouter mit Firewall mit dem Internet verbunden. Selten enthalten diese Geräte Sicherheitsupdates, noch sind diese für diesen Zweck ausgelegt. Selbst ein Raspberry Pi welche mit einem alten Linuxkernel läuft, hat Sicherheitslücken.

Sensible Informationen von Privatanwendern und brisante, zum Teil auch geheime Dokumente von Unternehmen und Institutionen lassen sich somit mittels Google Hacking auffinden. In Unternehmen kann davon ausgegangen werden, dass die verantwortlichen Administratoren im Normalfall über ausreichend Kenntnisse verfügen sollten, um solche Fälle zu vermeiden. Ungepatchte Webserver, sensible Passwortlisten oder vollständige Backups der geschäftlichen E-Mail Korrespondenz, die sich via Google Hacking aufspüren lassen, zeichnen allerdings ein anders Bild. Ist es Unachtsamkeit, grobe Fahrlässigkeit oder menschliches Versagen? Darüber entscheiden die Gerichte, wenn dem Kunden eines Unternehmens oder dem Unternehmen selbst ein Schaden entsteht.

 

 

 

 

Übrigens wussten Sie das,


... Dank dem Internet of Things und der damit steigenden Zahl von Geräten, die mit dem Internet vernetzt sind, lassen sich heute weitaus häufiger verwundbare Systeme aufspüren und sensible Informationen abgreifen, als jemals zuvor.
Ja, stimmt Sie haben es bereits vermutet, oder?
 

Bei der Durchführung von Vulnerabilitäts-Tests, für die wir von Unternehmen beauftragt werden, ist das Google Hacking mit einigen anderen Tools für mich zu einem unverzichtbaren Werkzeug geworden. Die Informationsbeschaffung, in welchem es gilt möglichst viele relevante Informationen über ein Ziel zu sammeln, ist die Basis jeden Vulnerabilitäts-Tests ist.

Und da kommen wir auch schon ohne groß Reden zu schwingen zu fünf Beispielen welche einen guten Indiz für die Vulnerabilität eines Systems geben.

 

Beispiel 1: SQL Abfrage liefert ein Indiz für die Möglichkeit SQL-Injections durchzuführen

 

 

 

intext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incorrect syntax near" | intext:"unexpected end of SQL command" | intext:"Warning: mysql_connect()" | intext:"Warning: mysql_query()" | 
intext:"Warning: pg_connect()"

Dabei werden mit dem Suchparameter intext in Verbindung mit einem Suchwort grundsätzlich Webseiten angezeigt, in denen der Begriff im Text der Seite vorkommt.
 

Beispiel 2: Aufspüren von (Cisco) VPN-Zugangsdaten, mit denen man Zugriff auf das lokale Netz von Unternehmen und Institutionen erhalten kann:

 

 

!Host=*.* intext:enc_UserPassword=* ext:pcf

 

Beispiel 3:

Anzeige der (Linux) Bash-History, die häufig Benutzernamen zu einem System beinhaltet:

 

 

intitle:index of .bash_history

 

Beispiel 4: Anzeige von sensiblen Amazon Web Services (AWS) Verzeichnissen:

 

 

intitle:index.of.aws

 

Wie im letzten Beispiel folgend lässt sich die Anzeige von Ergebnissen, die Directory Listing aktiviert haben und bei denen das Suchwort „backup“ innerhalb der URL vorkommt eingränzen. Damit lassen sich Server, auf denen zum Teil sogar komplette Backups von Privatpersonen und Unternehmen ungeschützt abgelegt sind:

 

 

intitle:index of inurl:backup

Fazit

Vulnerability Scanner auch wie in KALI Linux vorhanden unterstützen uns Vulnerabilitäts-Tests und Penetrations-Tests durchzuführen zeitgleich bieten diese eine etwas komfortable Lösung zu Google Hacking. Als Werkzeug ist die Nutzung von Google Hacking legal, allerdings kann die Schwelle zu einer Straftat rasch überschritten werden. Ist die Neugierde da, hat man sich schnell durch die riesigen Datenbestände „im schwachen Moment“, durchgeklickt. Der Versuchung zu widerstehen zahlt sich jedoch aus, denn zu einem Teil der Ergebnisse zählen
sicherlich auch Honeypots, die euer Verhalten aufzeichnen und analysieren.

Mit Google Hacking lassen sich zwar auch Schwachstellen in der Informationstechnologie von Unternehmen aufspüren. Tests ob und wie müssen jedoch durch das Unternehmen selbst in Auftrag gegeben werden. Erfolgen die Tests auf die eigene Faust ist dies eine Straftat. Nutzten Sie das erworbene Wissen über die Google Dorks, um sich bewusst zu machen, das es wichtig ist Daten die auch irgendwo in der Cloud liegen zu verschlüsseln.




 

 

 

Sie benötigen Unterstützung zu Themen der Sicherheit in der Informationstechnologie? Sie suchen ein Unternehmen welches für Sie den Vulnerabilitäts- und Penetrations-Tests durchführt? Schauen sie sich bei uns auf der Seite zur Analyse und Beratung um oder sprechen Sie uns direkt an.