Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
26<br />
software<br />
Sicherheit<br />
Hacken mit sucHmascHinen<br />
Google-Hacking<br />
Passwortlisten, Kontolisten, Businesspläne und geheime Blaupausen. Vieles steht im Web, was<br />
nicht dort hingehört. Mit Google lässt es sich finden.<br />
Kein Hacker kommt ohne Suchmaschine<br />
aus. Das gilt zum einen für gezielte Angriffe,<br />
bei denen er Informationen über eine Person<br />
oder Firma sucht, um ihm das Eindringen<br />
in ein System zu erleichtern.<br />
Auf diese Weise finden heutzutage die meisten<br />
professionellen Angriffe statt: Der Hacker<br />
nimmt eine Person ins Visier, versucht<br />
so viel über sie herauszubekommen, wie es<br />
nur geht, und schickt ihr dann gezielt eine<br />
persönliche Mail, beispielsweise mit einem<br />
vertrauten, aber vermeintlichen Facebook<br />
Link, der einen Trojaner lädt. Über die Suchmaschine<br />
findet er Durchwahlen, FirmenOrganigramme,<br />
Personennetze und bestenfalls<br />
interne Dokumente, die ins Web durchgesickert<br />
sind.<br />
Auf Suchmaschinen greifen zum auch Skript<br />
Kiddies zurück, die ziellos nach Opfern und<br />
Ressourcen suchen, bis sie auf etwas Interessantes<br />
stoßen. Für diese Taktik hat sich<br />
der Begriff Google-Hacking eingebürgert, obwohl<br />
nicht immer Google zum Zuge kommt,<br />
spannende Ergebnisse liefern auch FTPSuchmaschinen<br />
wie Napalm.<br />
Viele Dinge finden sich im Web, die eigentlich<br />
nicht für die Öffentlichkeit bestimmt sind,<br />
aber aufgrund von Konfigurationsfehlern oder<br />
<strong>PC</strong> <strong>Magazin</strong> 10/2011 www.pc-magazin.de<br />
menschlicher Unachtsamkeit einen Link erhalten<br />
haben. Ist der Link einmal da, gehen<br />
die Roboter der Suchmaschinen hinterher<br />
und indizieren alles ohne Rücksicht auf Verluste.<br />
Nicht nur WebServer sind erwartungsgemäß<br />
betroffen, sondern auch WebCams,<br />
WLANs oder private NASLaufwerke, die oft<br />
mehr Dienste laufen haben, als der unerfahrene<br />
Besitzer erwartet, und zwar offen oder<br />
nur mit StandardPasswort gesichert (siehe<br />
Interview).<br />
Ein beliebtes Beispiel ist die Suche nach Verzeichnissen.<br />
Normalerweise zeigt ein Webserver<br />
diese nicht an, aber oft ist er falsch konfi<br />
von wolf HosbacH<br />
guriert und veröffentlich eine Seite Index of /<br />
xyz. Das lässt sich finden. Mit einer gezielten<br />
Erweiterung des Suchbegriffs kommt man vielen<br />
Schätzen sehr nahe:<br />
intitle:“index of“ +austra +mp3<br />
ähnlich wirkt:<br />
intitle:“FTP root at“<br />
Interessant ist auch die Suche nach bestimmten<br />
Dateien, die ins Web geschlüpft sind, zum<br />
Beispiel Admin.xls, Passwd.txt etc. So lassen<br />
sich auch Formulare und Dokumente mit immer<br />
wiederkehrenden Elementen wie medizinische<br />
Berichte finden. Das gleiche gilt für<br />
Fehler oder Konfigurationsseiten von Web<br />
Die Suchmaschine<br />
Napalm ist auf freiwillig<br />
oder unfreiwillig<br />
geöffnete FTP-Server<br />
spezialisiert.