Google - eine Fundgrube für Hacker

02.06.2005
Von Martin Seiler

Manche Suchen über Google oder Yahoo können Hackern aber auch auf andere Weise dienen: Mit ein wenig Geschick und der Hilfe fortgeschrittener Operatoren, die sie bei der Anfrage mit eintippen, lenken sie die Suche in eine ganz bestimmte Richtung. Ein einfaches und recht harmloses Beispiel, wie das funktioniert, kann jeder selbst ausprobieren. Im Google-Eingabefeld tippt man ein: site:bsi.de "robots.txt". Diese Suche führt zu einem PDF-Dokument auf der Seite des Bundesamts für Sicherheit in der Informationstechnik, das den Einsatz der Datei "robots.txt" erklärt und beschreibt, wie sich damit Suchroboter steuern lassen. Per "disallow"-Einträgen können Administratoren die Crawler anweisen, bestimmten Verzeichnissen des Web-Servers fern zu bleiben.

Auf dem Silbertablett

Gibt man im Suchfeld nun den String filetype:txt "robots.txt" ein, so bietet Google Links, die direkt zu diesen Steuerdateien führen, unter anderem der des Weißen Hauses in Washington. Die darin enthaltenen Hinweise können für einen Angreifer deswegen interessant sein, weil sie ihm sagen, in welchen Verzeichnissen sich möglicherweise interessante Ziele verbergen, die er bei einem späteren Besuch direkt ins Visier nehmen kann.

Tipps gegen Google-Hacking

• bei der Installation von Web-Servern sorgfältig vorgehen, nicht benötigte Informationen, Anwendungen und Skripte löschen;

• Default-Zugriffe auf Web-Konsolen von Geräten ändern;

• regelmäßig patchen, um Server immer auf dem aktuellsten Stand zu halten;

• Tools wie Sitedigger verwenden, um mögliche Lecks aufzudecken;

• selbst Scans mit Google auf die eigenen Server vornehmen;

• mit Penetrationstests Wirksamkeit der getroffenen Maßnahmen überprüfen.

Es bedarf keiner großen Anstrengung, um sich vorzustellen, dass sich mit Kreativität und ein wenig Glück auf diese Weise sogar Dateien mit Logins und den dazugehörigen Passwörtern aufstöbern lassen. Diese müssen nicht absichtlich hinterlegt sein - vielleicht hat sie jemand auf dem Web-Server zwischengespeichert, aber später zu löschen vergessen. Kleiner Tipp: Man muss in der Suchanfrage bloß robots.txt durch passwort.txt oder eine ähnliche Formulierung ersetzen. Eine Liste sämtlicher Operatoren für Google-Suchen und wie sie zu gebrauchen sind, findet sich unter Google.com/help/operators.html.