Generell sollten Anwender nicht allzu sehr auf das Motto „Security by Obscurity“ (Sicherheit-durch-Unklarheit-Prinzip) vertrauen. Dieses bezeichnet eine kontrovers diskutierte Grundregel in der Computer- und Netzwerksicherheit, nach der versucht wird, Sicherheit durch absolute Geheimhaltung zu erreichen. Auf den ersten Blick scheint dies zu funktionieren: Oftmals werden Dateien auf einem Webserver abgelegt, ohne dass darauf verlinkt wird. Die URL wird natürlich nur vertrauenswürdigen Personen per Email mitgeteilt.
Normalerweise sollte es zwar für Google & Co. unmöglich sein, diese Seite zu finden. Aber fast überall werden Webserver-Statistiken geführt, etwa die Top Ten der meistbesuchten Dateien oder die Top Ten der Dateien, die aufgrund ihrer Größe den meisten Traffic verursachen. Im schlechtesten Fall landet genau die versteckte Datei in dieser Statistik, inklusive Link zu der Seite. Über diesen Umweg finden auch Suchmaschinen wieder die „geheime“ Datei.
Eine andere offene Türe besteht in der Suche nach Applikationen mit bekannten Schwachstellen. Weltweit setzen Unternehmen eine Vielzahl von Anwendungen ein, die sich bequem über das Web-Frontend nutzen lassen. Dabei sind auch Webserver im Spiel, die von den Suchmaschinen infiziert werden. Für Angreifer sind alle Dienste interessant, die zur Verwaltung von Servern und Webseiten dienen und dokumentierte Schwachstellen aufweisen.
Alte Versionen der Frontpage-Extensions legen Passwörter in verschiedenen Dateien auf dem Webserver ab. Die entsprechenden Standard-Verzeichnisse sind frei zugänglich, wenn sie nicht manuell geändert werden. Daher werden sie natürlich auch von Suchmaschinen gefunden. Der Angreifer muss dann nur noch einen Passwortknacker einsetzen.
Ob Hacker mithilfe eines solchen Tricks wirklich in den Kern des Systems eindringen können, ist umstritten. Sind veraltete Applikationsversionen im Einsatz und über Google auffindbar, so lässt dies zumindest auf eine mangelhafte Gesamtsicherheit des IT-Systems schließen. Für welche Zwecke das Suchmaschinen-Hacking zukünftig noch einsetzbar ist, bleibt abzuwarten.
In erster Linie wird Suchmaschinen-Hacking aber wohl ein Werkzeug zur einfachen Identifikation besonders argloser Ziele bleiben. Denkbar ist zum Beispiel auch die gezielte Suche nach veralteten Software-Versionen durch den Hersteller, um so den eigenen Vertrieb bei der Kundenansprache zu unterstützen. Auf diesem Wege könnten auch nicht-lizenzierte Produkte identifiziert werden.
Neueste Kommentare
1 Kommentar zu Suchmaschinen-Hacking: Wenn Google zu viel verrät
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
search-query projekt
hi,
auf http://cdp.doomed-reality.org/home/www/ gibt es ein search-query projekt von mir, dass ‚google hacking‘ versuche protokolliert.
–steffen