| Google - eine Fundgrube für Hacker | |
| Auf dem Silbertablett | |
| Die Sicht der Profis | |
| Schutzmechanismen | |
| Seite 5 | |
| Seite 6 |
Unternehmen haben demnach keine andere Wahl, als selbst aktiv zu werden und sich rechtzeitig gegen die Gefahr des Suchmaschinen-Hackings zu schützen. Dazu empfiehlt Long vor allem, sensible Informationen gar nicht erst ins Web zu stellen. "Was nicht publik werden soll, hat nichts in der Nähe eines Web-Servers zu suchen", mahnt der Spezialist. Ehlert stimmt zu: Bereits vor dem Einrichten eines Web-Servers sei zu überlegen, welche Informationen überhaupt angeboten werden sollen. Nach Ansicht von H+BEDV-Vertreter Hacker sollten sich Administratoren auch fragen, "ob es grundsätzlich eine gute Idee ist, seine Passwörter auf einem Web-Server abzulegen - egal ob die betreffende Seite geschützt ist oder nicht."
Ehlert ergänzt, dass Anwender beim Einrichten und Konfigurieren eines Web-Servers systematisch und sehr gründlich vorgehen sollten, um ihn in einen sicheren Zustand zu versetzen. Anhand einer Liste ist zu überprüfen, dass Voreinstellungen und Beispielskripte geändert beziehungsweise entfernt wurden. "Wer seinen Web-Server sauber installiert und konfiguriert, muss sich nicht vor Google-Hacking fürchten", resümmiert der Sicherheitsberater.
Zur Überprüfung der gesamten Maßnahmen ist ein Penetrationstest geeignet. Die IT-Spezialisten eines Unternehmens können aber auch versuchen, die eigenen Systeme selbst über eine Suchmaschine zu scannen. Nützliche Tipps hierzu bietet das Dokument "The Google Hacker’s Guide - Understanding and Defending against the Google Hacker", das Anwender sich nach einer kostenlosen Registrierung von der Homepage von Johnny Long herunterladen können.
Hilfe im Kampf gegen Google Hacking bietet zudem auch ein kleines Tool des McAfee-Tochterunternehmens Foundstone. "Sitedigger" ist kostenlos verfügbar und soll laut Anbieter herausfinden, welche möglicherweise gefährlichen Informationen Google auf einer Webseite entdeckt und in seinem Cache zwischenspeichert. Damit dies gelingt, benötigt das Tool allerdings Zugriff auf die Programmierschnittstellen der Suchmaschine. Dazu müssen Anwender, die die Software einsetzen wollen, bei Google einen speziellen Account eröffnen und einen (für nichtkommerzielle Zwecke kostenlosen) Lizenzschlüssel erwerben.
