15.12.2018 | 22:50 Uhr
 
Kommentieren     
“Google”-Hacking

Hierbei geht es nicht mehr um eine normale Suchabfrage, sondern vielmehr um eine Lenkung der Abfrage in eine bestimmte Richtung. Durch durchdachte und geschickte Eingaben von Suchwörtern in Kombination mit entsprechenden Operatoren in Suchmaschinen wie z.B. “Google” gelangt man sehr schnell an sicherheitsrelevante Informationen. Wie kann das sein ?

Z.B. arbeiten Suchmaschinen mit sog. Robots (Suchroboter), die Webseiten selbst ohne Anmeldung finden und indizieren (durchsuchen und speichern). Der Robot berücksichtigt hierbei einen evtl. vorhandene Datei namens “robots.txt”, die im Hauptverzeichnis der Domain liegen muß und als Steuerdatei die zu indizierenden oder auszulassenden Webseiten der Domain vorgibt. Die dort enthaltenen Informationen sind natürlich für den Hacker sehr interessant, weil sie ihm Aufschluss über die Topologie und Hinweise auf Verzeichnisse geben, die  möglicherweise sensible bzw. schützenswerte Daten enthalten. “Google” bietet direkte Links quasi auf dem Silbertablett, die zu diesen Steuerdaten führen. Probieren Sie es aus, und geben dort folgenden String in das Suchfeld bei Google ein:

  • filetype:txt “robots.txt”

Schauen Sie, welche Verzeichnisse “disallow” sind.

Eine weitere Möglichkeit Daten aufzustöbern besteht durch das Suchen von Sicherheitslöchern in den Systemen. Hat der Administrator eines Webservers schlampig oder in Unwissenheit gearbeitet, indiziert eine Suchmaschine auch seine Fehler. Der Umstand, dass der Zustand der Websites zum Zeitpunkt des Crawls (Indizierung) bei der Suchmaschine selbst gespeichert (Cache) wird, kann dazu führen, dass sich längst geschlossene Sicherheitslücken noch im Google-Cache offenbaren. Zumindest kann über den Cache gar die Webservertopologie unbemerkt (der Angegriffene ist ahnungslos) entlarvt und so ein späterer direkter Angriff auf das eigentliche Ziel detailliert geplant werden. Geben Sie z.B. nachstehenden String in das Google-Suchfeld ein:

  • filetype:log inurl:”password.log” und Sie erhalten eine nicht unbeträchtliche Anzahl von Passwort-Logdateien zum Download
  • intitle:”index.of.secure” und erhalten komplette Verzeichnisaufstellungen von denselbigen

Auch vergessene Installations- (z.B. für PHP und DB-Tabelleninstallationen) und Konfigurations-Dateien mit allen Zugangsdaten können so (nachträglich: Cache) aufgespürt werden, z.B.:

  • intitle:index.of config.php
  • intitle:index.of install.php

Das Aufspüren nachlässig installierter Netzwerkdrucker, Router, Webcams u.s.w. und Fernsteuerung über das Browser-Web-Interface wird zum Kinderspiel, testen Sie es mit folgenden Strings:

  • “please log in”
  • “VNC Desktop” inurl:5800
  • intitle:"Live View / - AXIS" | inurl:view/view.shtml OR inurl:view/indexFrame.shtml | intitle:"MJPG Live Demo" | "intext:Select preset position"
  • intext:"UAA (MSB)" Lexmark -ext:pdf
  • intitle:"ZyXEL Prestige Router" "Enter password"
  • intitle:”my webcamXP server!” inurl:”8080”
  • “Webthru User Login”

Beispiel: Ein unbedarfter Anwender erwirbt einen Router oder Überwachungs-Kamera und betreibt diese Geräte mit den Standardeinstellungen im LAN (lokales Netzwerk), d.h. mit Default-Zugangspasswort (z.B. “0000” oder “admin”) und aktiviertem Web-Interface. Eine Suchmaschine wird diesen Web-Zugang irgendwann finden und indizieren. Fortan schaut ihm die Hacker-Welt zu oder manipuliert bzw. sabotiert.....

Google-Hacking erfreut sich zunehmender Popularität und ist extrem gefährlich, da es das Auffinden und Sammeln von Informationen “interessanter” oder verwundbarer Ziele auf schnelle und einfache Weise ermöglicht und grossen Schaden anrichten kann. Allein das obige Beispiel des Missbrauch von nicht ausreichend gesicherten Web-basierenden Konsolen für die Konfiguration und Wartung von Routern und Webcams verdeutlicht die Möglichkeiten.


Gegenmassnahmen

Anwender sollten beim Einrichten und der Konfiguration eines Webservers sehr gründlich und gewissenhaft vorgehen, um einen sicheren Betrieb zu gewährleisten. Dazu gehört unbedingt, nicht benötigte Informationen und Scripts zu löschen und alle von den Herstellern vorgegebenen Default-Zugriffe auf Webadministration entweder zu deaktivieren oder zumindest zu ändern und den Webserver auf dem neusten Stand zu halten. Ein ganz wichtiger Punkt ist die Sicherung aller Configuration-Files wie Datenbankzugänge mittels Vergabe von Berechtigungen und Gruppenrichtlinien über CMOD (Attribute) und/oder .htaccess sowiegenereller Vergabe bzw. Änderung (default) eines Passwort für Webzugänge (z.B. phpMyAdmin).

Der Administrator sollte anschliessend selbst auf den Webserver “losgehen” und mit entsprechenden Penetrationstests die Wirksamkeit der getroffenen Massnahmen überprüfen. Auch können über Google selbst Scans auf den eigenen Webserver vorgenommen oder über den Google-Cache ein Hack durchgeführt werden.

Auch Privat-Anwender von Routern oder anderen Geräten mit Web-basierenden Konsolen müssen sich mit der sicheren Konfiguration* auseinandersetzen oder sich von kompetenten Dritten helfen lassen. Dazu gehört das Deaktivieren eines evtl. vorhandenen FTP-Zugangs (keinesfalls darf ein Anonymous-Zugang erlaubt sein) sowie der Möglichkeit der Konfiguration über das Internet (Web-Zugang) und der Internet-Druckerfreigabe. Selbst wenn für diese Dienste ein Passwort vergeben wird, halten diese einer Brute-Force-Attack nicht stand. Auch eine Antwort auf einen Ping-Request aus dem Web sollte der Router/Computer nicht zulassen, da hier die Gefahr eines Ping to Death Angriffes besteht (siehe Infos zu ICMP). Eine weitere Gefahr besteht bei offenen Remote-Ports (z.B. Windows Remoteunterstützung oder VNC), deshalb sind diese nur in Verbindung mit Passwörtern und einer richtig konfigurierten Firewall zu verwenden oder diese Dienste nur bei Bedarf manuell zu starten bzw. auf das LAN zu begrenzen.

Selbstverständlich helfen wir Ihnen gerne, denn dies gehört mit zu unseren Aufgabenbereichen.

Siehe auch unseren Beitrag zu den Gefahren sozialer Netzwerke (sog. Social Networking Sites) wie YouTube, MySpace, Facebook, StayFriends, SchülerVZ oder StudiVZ. Wir empfehlen diesen vor allem Jugendlichen und deren Eltern zu lesen, um verantwortungsvoll damit umgehen zu können. Ansonsten kann auch hierzu der möglicherweise zu zahlende Preis sehr hoch sein, weil ein sog. “ausgoogeln” registrierter Mitglieder ein Leichtes ist.

Kommentieren