Generell sollten Anwender nicht allzu sehr auf das Motto „Security by Obscurity“ (Sicherheit-durch-Unklarheit-Prinzip) vertrauen. Dieses bezeichnet eine kontrovers diskutierte Grundregel in der Computer- und Netzwerksicherheit, nach der versucht wird, Sicherheit durch absolute Geheimhaltung zu erreichen. Auf den ersten Blick scheint dies zu funktionieren: Oftmals werden Dateien auf einem Webserver abgelegt, ohne dass darauf verlinkt wird. Die URL wird natürlich nur vertrauenswürdigen Personen per Email mitgeteilt.
Normalerweise sollte es zwar für Google & Co. unmöglich sein, diese Seite zu finden. Aber fast überall werden Webserver-Statistiken geführt, etwa die Top Ten der meistbesuchten Dateien oder die Top Ten der Dateien, die aufgrund ihrer Größe den meisten Traffic verursachen. Im schlechtesten Fall landet genau die versteckte Datei in dieser Statistik, inklusive Link zu der Seite. Über diesen Umweg finden auch Suchmaschinen wieder die „geheime“ Datei.
Eine andere offene Türe besteht in der Suche nach Applikationen mit bekannten Schwachstellen. Weltweit setzen Unternehmen eine Vielzahl von Anwendungen ein, die sich bequem über das Web-Frontend nutzen lassen. Dabei sind auch Webserver im Spiel, die von den Suchmaschinen infiziert werden. Für Angreifer sind alle Dienste interessant, die zur Verwaltung von Servern und Webseiten dienen und dokumentierte Schwachstellen aufweisen.
Alte Versionen der Frontpage-Extensions legen Passwörter in verschiedenen Dateien auf dem Webserver ab. Die entsprechenden Standard-Verzeichnisse sind frei zugänglich, wenn sie nicht manuell geändert werden. Daher werden sie natürlich auch von Suchmaschinen gefunden. Der Angreifer muss dann nur noch einen Passwortknacker einsetzen.
Ob Hacker mithilfe eines solchen Tricks wirklich in den Kern des Systems eindringen können, ist umstritten. Sind veraltete Applikationsversionen im Einsatz und über Google auffindbar, so lässt dies zumindest auf eine mangelhafte Gesamtsicherheit des IT-Systems schließen. Für welche Zwecke das Suchmaschinen-Hacking zukünftig noch einsetzbar ist, bleibt abzuwarten.
In erster Linie wird Suchmaschinen-Hacking aber wohl ein Werkzeug zur einfachen Identifikation besonders argloser Ziele bleiben. Denkbar ist zum Beispiel auch die gezielte Suche nach veralteten Software-Versionen durch den Hersteller, um so den eigenen Vertrieb bei der Kundenansprache zu unterstützen. Auf diesem Wege könnten auch nicht-lizenzierte Produkte identifiziert werden.
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…
Seine Trainingsdaten umfassen 3,8 Milliarden Parameter. Laut Microsoft bietet es eine ähnliche Leistung wie OpenAIs…
Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…
Die Einladung zeigt einen zeichnenden Apple Pencil. Der wiederum deutet auf neue iPads hin. Es…
Die Richtlinie erhält 584 Ja-Stimmen und 3 Gegenstimmen. Das „Recht auf Reparatur“ beinhaltet unter bestimmten…