Ein paar geschickte Eingaben in Google, ein anschließender Klick auf eines der daraufhin angezeigten Suchergebnisse - und schon zeigt mein Browser das Web-Interface eines Netzdruckers. Das ist im Prinzip nichts besonderes, abgesehen davon, dass mein Schreibtisch in München und der Drucker in einer Universität in den USA steht. Ich bin zwar nicht der Administrator, kann mir jedoch den Status des Druckers anzeigen lassen oder - weniger spannend - den Zustand des Toners überprüfen. Ich könnte das Gerät aber auch einfach stoppen, was den Angestellten auf der anderen Seite des Atlantiks sicher nicht recht wäre.

Weiter geht’s: Eine neue Eingabe führt nach wenigen Klicks zu einer IP-basierenden Überwachungskamera, die ich über meinen Browser nach Belieben steuern kann. Möglich wird dies alles und noch einiges mehr durch eine Technik, die in letzter Zeit unter dem Schlagwort Google-Hacking bekannt geworden ist.

Es geht darum, mit Hilfe von Suchmaschinen - nicht nur Google ist davon betroffen - solche Informationen im Internet aufzustöbern, die normalerweise nicht zu sehen oder nicht frei beziehungsweise direkt zugänglich sind. Das können, wie beschrieben, Web-Interfaces von vernetzten Geräten sein. Es ist mit dieser Methode aber auch möglich, verwundbare Programme zu finden: So geschehen etwa im Fall des Internet-Wurms "Santy.A", der mit Hilfe von Google nach Rechnern suchte, auf denen in PHP geschriebene Online-Bulletin-Boards gehostet wurden. Unter den mit Hilfe der Zeichenfolge "viewtopic.php" aufgestöberten Servern suchte Santy.A nach denjenigen, die das kostenlose Tool "php BB" für ihre Bulletin Boards einsetzten und griff diese an.

Manche Suchen über Google oder Yahoo können Hackern aber auch auf andere Weise dienen: Mit ein wenig Geschick und der Hilfe fortgeschrittener Operatoren, die sie bei der Anfrage mit eintippen, lenken sie die Suche in eine ganz bestimmte Richtung. Ein einfaches und recht harmloses Beispiel, wie das funktioniert, kann jeder selbst ausprobieren. Im Google-Eingabefeld tippt man ein: site:bsi.de "robots.txt". Diese Suche führt zu einem PDF-Dokument auf der Seite des Bundesamts für Sicherheit in der Informationstechnik, das den Einsatz der Datei "robots.txt" erklärt und beschreibt, wie sich damit Suchroboter steuern lassen. Per "disallow"-Einträgen können Administratoren die Crawler anweisen, bestimmten Verzeichnissen des Web-Servers fern zu bleiben.

Auf dem Silbertablett

Gibt man im Suchfeld nun den String filetype:txt "robots.txt" ein, so bietet Google Links, die direkt zu diesen Steuerdateien führen, unter anderem der des Weißen Hauses in Washington. Die darin enthaltenen Hinweise können für einen Angreifer deswegen interessant sein, weil sie ihm sagen, in welchen Verzeichnissen sich möglicherweise interessante Ziele verbergen, die er bei einem späteren Besuch direkt ins Visier nehmen kann.

Tipps gegen Google-Hacking

• bei der Installation von Web-Servern sorgfältig vorgehen, nicht benötigte Informationen, Anwendungen und Skripte löschen; • Default-Zugriffe auf Web-Konsolen von Geräten ändern; • regelmäßig patchen, um Server immer auf dem aktuellsten Stand zu halten; • Tools wie Sitedigger verwenden, um mögliche Lecks aufzudecken; • selbst Scans mit Google auf die eigenen Server vornehmen; • mit Penetrationstests Wirksamkeit der getroffenen Maßnahmen überprüfen.

Es bedarf keiner großen Anstrengung, um sich vorzustellen, dass sich mit Kreativität und ein wenig Glück auf diese Weise sogar Dateien mit Logins und den dazugehörigen Passwörtern aufstöbern lassen. Diese müssen nicht absichtlich hinterlegt sein - vielleicht hat sie jemand auf dem Web-Server zwischengespeichert, aber später zu löschen vergessen. Kleiner Tipp: Man muss in der Suchanfrage bloß robots.txt durch passwort.txt oder eine ähnliche Formulierung ersetzen. Eine Liste sämtlicher Operatoren für Google-Suchen und wie sie zu gebrauchen sind, findet sich unter Google.com/help/operators.html.

Wer sich mit den fortgeschrittenen Möglichkeiten der Suche auskennt, kann großen Schaden anrichten. Wie Alexander Ehlert, Security Consultant bei der Tübinger Syss GmbH, weiß, "finden sich ohne weiteres Web-basierende Konfigurations- und Wartungskonsolen von Routern, die nicht ausreichend gegen Fremdzugriffe geschützt sind." Hat ein Angreifer diese erst einmal entdeckt, kann er sie ohne Probleme manipulieren oder sabotieren.

Der Experte warnt außerdem, dass Angreifer mit Hilfe des Suchmaschinen-Hacking auch in der Lage sind, Softwareversionen mit Schwachstellen oder Fehlkonfigurationen aufzuspüren. Diese können daher rühren, dass ein Systemadministrator nach dem Aufsetzen eines Web-Servers vergessen hat, vom Hersteller mitgelieferte und möglicherweise fehlerbehaftete Beispiel-Scripte zu entfernen. "Ist auf einem Web-Server ‘Directory Browsing’ aktiviert, kann sich Google durch den gesamten Rechner hangeln und registriert alle Inhalte", erklärt Ehlert.

Die Sicht der Profis

Wer sich einen umfassenderen Überblick über die Möglichkeiten des Einsatzes von Google Hacking verschaffen will, sollte ein wenig Zeit investieren und auf der Site johnny.ihackstuff.com rumstöbern. Diese betreibt der sich selbst als "Christ, Familienmensch und professioneller Hacker" bezeichnende Security-Spezialist Johnny Long. Mit dem von ihm gesammelten Material versucht er, auf die Problematik des Themas aufmerksam zu machen. Speziell unter dem Link "Google Hacking Database" finden sich auf seiner Site einige beeindruckende beziehungsweise beängstigende (je nach Standpunkt) Beispiele, was sich mit Hilfe von Google alles anstellen lässt.

Long, der unter anderem auf Veranstaltungen wie der "Blackhat Europe" Vorträge hält, bezeichnet das Suchmaschinen-Hacking als "extrem gefährlich, besonders in den Händen derer, die sich damit auskennen." Er warnt, dass Neugierige Google nutzen können, um Informationen über interessante Ziele zu sammeln oder aber nach verwundbaren Zielen zu suchen.

Google-Cache als Info-Fundus

Besonders interessant ist in diesem Zusammenhang die Tatsache, dass Google die indizierten Dateien in einem Cache zwischenspeichert. Dieser Umstand ermöglicht es einem Angreifer, ein potenzielles Opfer erst einmal "geräuschlos" unter die Lupe zu nehmen. Während die Dateien im Google-Cache auf Informationen durchsucht werden, die bei einem späteren Angriff hilfreich sein können, merkt das eigentliche Ziel davon überhaupt nichts. Und bleibt ahnungslos. In aller Ruhe kann ein Angreifer sich so seine Strategie zurechtlegen, nach der er später zuschlägt.

Das bestätigt Syss-Mann Ehlert. Wenn der Experte für Anwender Penetrationstests vornimmt, gehören dazu so genannte "Black-Box"-Tests. "Wir versuchen im Vorfeld so viel wie möglich über das jeweilige Unternehmen herauszufinden. Dabei nutzen wir natürlich auch Suchmaschinen, um Informationen zu sammeln, ohne direkt die Systeme zu berühren. Das gleiche tun auch Angreifer." Dabei spielt auch der Google-Cache eine wichtige Rolle: "Selbst wenn ein Anwender das Problem bereits erkannt und gefährliche Inhalte von seinem Web-Server entfernt oder geschützt hat, so kann ein Angreifer unter Umständen diese noch im Cache von Google finden."

Google selbst hält sich zu den genannten Problemen bedeckt. Eine Anfrage der computerwoche hat die deutsche Dependance zwar entgegengenommen, bis zum Redaktionsschluss jedoch nicht beantwortet. Gernot Hacker, Director Corporate Communications beim Tettnanger Sicherheitsspezialisten H+BEDV Datentechnik GmbH, sieht die Betreiber von Suchmaschinen zumindest teilweise selbst als Opfer. Deren Suchmaschinen täten letztlich genau das, was man von ihnen erwartet, nämlich Informationen zu finden. Dass damit Schindluder getrieben werde, sei nicht Schuld von Google, Yahoo oder anderen.

Schutzmechanismen

Unternehmen haben demnach keine andere Wahl, als selbst aktiv zu werden und sich rechtzeitig gegen die Gefahr des Suchmaschinen-Hackings zu schützen. Dazu empfiehlt Long vor allem, sensible Informationen gar nicht erst ins Web zu stellen. "Was nicht publik werden soll, hat nichts in der Nähe eines Web-Servers zu suchen", mahnt der Spezialist. Ehlert stimmt zu: Bereits vor dem Einrichten eines Web-Servers sei zu überlegen, welche Informationen überhaupt angeboten werden sollen. Nach Ansicht von H+BEDV-Vertreter Hacker sollten sich Administratoren auch fragen, "ob es grundsätzlich eine gute Idee ist, seine Passwörter auf einem Web-Server abzulegen - egal ob die betreffende Seite geschützt ist oder nicht."

Ehlert ergänzt, dass Anwender beim Einrichten und Konfigurieren eines Web-Servers systematisch und sehr gründlich vorgehen sollten, um ihn in einen sicheren Zustand zu versetzen. Anhand einer Liste ist zu überprüfen, dass Voreinstellungen und Beispielskripte geändert beziehungsweise entfernt wurden. "Wer seinen Web-Server sauber installiert und konfiguriert, muss sich nicht vor Google-Hacking fürchten", resümmiert der Sicherheitsberater.

Zur Überprüfung der gesamten Maßnahmen ist ein Penetrationstest geeignet. Die IT-Spezialisten eines Unternehmens können aber auch versuchen, die eigenen Systeme selbst über eine Suchmaschine zu scannen. Nützliche Tipps hierzu bietet das Dokument "The Google Hacker’s Guide - Understanding and Defending against the Google Hacker", das Anwender sich nach einer kostenlosen Registrierung von der Homepage von Johnny Long herunterladen können.

Hilfe im Kampf gegen Google Hacking bietet zudem auch ein kleines Tool des McAfee-Tochterunternehmens Foundstone. "Sitedigger" ist kostenlos verfügbar und soll laut Anbieter herausfinden, welche möglicherweise gefährlichen Informationen Google auf einer Webseite entdeckt und in seinem Cache zwischenspeichert. Damit dies gelingt, benötigt das Tool allerdings Zugriff auf die Programmierschnittstellen der Suchmaschine. Dazu müssen Anwender, die die Software einsetzen wollen, bei Google einen speziellen Account eröffnen und einen (für nichtkommerzielle Zwecke kostenlosen) Lizenzschlüssel erwerben.

Im Gegensatz zur Vorgängerversion soll Sitedigger 2.0 anschließend in der Lage sein, über 800 Informationstypen aufzustöbern. Bei der im August 2004 erstmals bereitgestellten Fassung beschränkte sich diese Zahl noch auf 150. Mit Hilfe spezieller Signaturen sei es beispielsweise auch möglich, für Unbefugte frei zugängliche Web-Cams herauszufinden.