Suchmaschinen-Hacking: Wenn Google zu viel verrät

Google dient dabei zunächst nur zum Auskundschaften von Schwachstellen, nicht zwangsläufig zum unmittelbaren Ausnutzen eines Exploits. Insofern sind „Google-Hacker“ zunächst einmal keine „Täter“, sondern lediglich die „Finder“ von Informationen. Eine voreilige Kriminalisierung ist nicht angebracht. Strafbar ist jedoch der auf Basis einer Google-Recherche mit Hilfe von technischen Angriffswerkzeugen initiierte Einbruchsversuch.

Grundsätzlich auslesen lassen sich Passwortdateien, Konfigurationsseiten und andere sensitive Daten sowie Services. So stellte ein deutsches Grossunternehmen versehentlich ein ganzes Firewall-Regelwerk ins Internet, eine Art Steilvorlage für einen gezielten Einbruchsversuch.

Eine der unterschiedlichen Varianten besteht darin, dass Angreifer mit Suchmaschinen gezielt nach Servern suchen, die etwa ein spezifisches Softwareprodukt einsetzen wie „phpbb2“, ein auf PHP und zumeist MySQl basierendes Open Source-Forensystem. „Identifizierte Systeme kann ein Angreifer leicht in seine Gewalt bringen“, gibt Sebastian Schreiber zu bedenken.

Ein weiteres Beispiel: Ein Angreifer sucht nach Diensten, die zur Verwaltung von Servern und Webseiten dienen. Findet er einen solchen Dienst, der beispielsweise nicht mit einem Passwort geschützt ist, so benötigt er nur noch den entsprechenden Client, um darauf zuzugreifen, etwa via Dateierweiterungen beim Frontpage-Server.

In der Vergangenheit lief dieses Angriffsmuster meist so ab: Sehr alte Versionen der Erweiterungen legen die gehashten Passworte der Anwender und Administratoren in verschiedenen Dateien auf dem jeweiligen Webserver ab. Ohne entsprechende manuelle Änderungen vorzunehmen, sind die entsprechenden Verzeichnisse für jeden zugänglich, da von den Dateierweiterungen selbst nach der Installation keine einschränkenden Berechtigungen gesetzt werden konnten.

Der Angreifer benötigt für seine Versuche dabei nur ein rudimentäres professionelles Wissen, es genügen erweiterte Suchoperatoren. Beliebt ist die Variante, ganze Passwortlisten über Suchmaschinen auszulesen. Beispielsweise bringen folgende Suchanfragen Passwortlisten zutage:

• inurl:/_vti_pvt/user.pwd
• inurl:/_vti_pvt/administrators.pwd
• inurl:/_vti_pvt/service.pwd

Suchparameter wie „inurl:“, die für das Hacking benötigt werden, werden nicht nur von Google, sondern auch von nahezu allen anderen Suchmaschinen unterstützt. Mit diesen Informationen alleine kann der Angreifer zwar noch nicht viel anfangen, doch ermöglichen diese kombiniert mit illegalen Passwortknackern wie Openwall einen Erfolg versprechenden Angriff. Genau an dieser Stelle endet der Spieltrieb der Script Kiddies. Es beginnt die kriminelle Grauzone.