1

Intitle: «Search Engine Hacking» Die Indexierarbeit von Suchmaschinen birgt eine Reihe von versteckten Gefahren und Sicherheitsrisiken, welche missbräuchlich genutzt, grossen Schaden anrichten können. Mit einfachen Grundtechniken und erweiterten Operatoren ist man nur einen kleinen Schritt von Underground Hacking entfernt.

Dominique C. Brack Prinzipal Consultant, Reputelligence™

Suchmaschinen finden fast alles oder zumindest alles, was sie im Internet zu fassen bekommen. Oft genug werden Inhalte inde-xiert, die gar nicht für die Öf-fentlichkeit bestimmt sind. Aus Sicht der Unternehmen (und Benutzer) sind sie ein latentes Sicherheitsrisiko. Millionen indi-zierter Seiten offerieren eine Vielzahl von Schwachstellen. Wer schon einmal seinen eige-nen Namen gegoogelt1 hat, wundert sich nicht selten, was er alles über sich erfährt. Wer nach Hinweisen oder Referenzen zu seinem eigenen Namen im Internet sucht wird auch als sogenannter Egosurfer bezeich-net.

Manche Administratoren konfi-gurieren ihre Sites so schlecht, dass man nicht einmal einen Exploit benötigt, um sich den Zugriff auf das System zu ver- 1 gegoogelt: Google rät von der Verwendung des Wortes Google als ein Verb ab. Die erste aufgezeichnete Nutzung von Google als ein Verb war am 8. Juli 1998, durch den Google-Gründer Larry Page selbst, der in einer Mai-lingliste schrieb: Have fun and keep googling!

schaffen. Die Suchmaschine indiziert das Web sehr aggressiv und spürt praktisch jede Datei auf – ausser sie steht in einem durch Passwort oder anderwei-tig geschützten Bereich einer Website. Indiziert werden so unter anderem Passwortdateien, Kreditberichte, Gesundheitsda-ten usw.

In Fällen, in denen die Dateien nicht ausreichend vor der Inde-xierung geschützt sind, hat die Suchmaschine im Grunde schon den Angriff stellvertretend ausgeführt. Diese Daten lassen sich als Rohdatenmaterial für gezieltes Phishing und verschiedene Betrugsversuche nutzen. Die Eintrittsbarriere für das Suchmaschinen-Hacking ist gering, so dass sich in diesem Bereich vor allem «Skript-Kiddies» tummeln, die unterste

Theorie, Praxis, Beispiele

Search Engine Hacking So missbrauchen Hacker Suchmaschinen als Späh-werkzeug! Mehr dazu im Referat von Dominique C. Brack am Montag 10. Oktober um 12.00 Uhr. Details & Anmeldung hier …

2

tummeln, die unterste Stufe in der Hacker-Hierachie.

Die Hacker Hierarchie Skript-Kiddies und Security-Experten haben verschiedene Vorgehensweisen, Tools und Werkzeuge zur Erfüllung ihrer Aufgaben. Eines der Werkzeuge, das wahrscheinlich beide ver-wenden, ist die Suchmaschine. Natürlich lässt sich Suchma-schinen-Hacking auch zu Zwec-ken der Datenspionage (natio-nale Interessen) oder Angriffs-vorbereitung einsetzen. Dies setzt aber ein höheres Mass an technischem Know-how (Exper-ten) voraus. Hierbei geht es nicht mehr um eine normale Suchabfrage, son-dern um das Generieren von mehr oder weniger komplexen «Queries» mit Hilfe von Such-operatoren. Durch die gezielte Lenkung gelangt man sehr schnell an sicherheitsrelevante Informationen. Mit bestimmten Befehlen lässt sich zum Beispiel nach Software-Lizenzcodes, Passwortdateien oder aber auch MP3-Files suchen. Für das ge-zielte Aufspüren von sensiblen Informationen mit Hilfe von Suchmaschinen hat sich sowohl in der Hacker-Szene als auch in der IT-Sicherheitsindustrie der Begriff «Google-Hacking» eta-bliert.

Selbstverständlich können Ya-hoo! und Bing in der gleichen Weise wie Google miss- oder gebraucht werden, um ein-schlägige Informationen aufzu-spüren. Um bei der grössten Suchmaschine zu bleiben, neh-me ich Google als Basis, um ein wenig tiefer in das Thema ein-zutauchen. Grundregeln: Standardmässig übergeht die Suchmaschine aus Geschwin-digkeitsgründen die Stopp-Wörter, weil sie in der Regel für die Suche unwichtig sind. Stoppwörter sind kleine, kurze Wörter wie beispielsweise Arti-kel. Sie werden von Google in der Einzelwörtersuche ignoriert. Auch Satz- und Sonderzeichen wie @#$%^&*()=+]\ werden in der Regel ignoriert, sofern es sich nicht um bekannte Begriffe, die eine bestimmte Bedeutung haben, handelt wie etwa C++ oder C#. Sucht man beispiels-weise nach Die Ärzte so wird der Artikel Die ignoriert. Möchte man also nach der Musikgruppe Die Ärzte suchen kann der Suchbegriff entweder in Anfüh-rungszeichen geschrieben wer-den, also "Die Ärzte", oder man setzt ein Plus-Zeichen vor den Artikel, also +Die Ärzte. Basis Operatoren: Mit dem Plus-Zeichen können mehrere Begriffe miteinander verbunden werden um gezielter zu suchen (entspricht der Stan-dardsuche bei Google), z.B. "Blog+Kommentare". - Mit dem Minus-Zeichen wer-den Suchbegriffe ausgeschlos-sen, z.B. "Security –Zone" gibt nur Ergebnisse mit Security, aber ohne Zone aus.

| Mit dem Pipe Symbol können Begriffe getrennt werden (ent-weder das eine oder das ande-re), z.B. "Security + Zone | Zü-rich". "" Mit Anführungszeichen wird die exakte Phrase gesucht, z.B. "John Kennedy" ! John Fitzge-rald Kennedy würde nicht an-gezeigt, da das Fitzgerald stört. ~ Mit der Wellenlinie kann nach ähnlichen Begriffen oder Sy-nonymen gesucht werden, z.B. “~hacking” * Der Stern wird auch Wildcard Suche genannt, damit kann man Begriffe ersetzen, die nicht bekannt sind, z.B. "Pizza ohne *" .. Mit zwei Punkten kann eine «von – bis»-Suche gestartet werden, z.B. "Laptop CHF 400..600".

Advanced Operatoren filetype: Mit filetype lassen sich be-stimmte Dateitypen finden. Bsp: „filetype:pdf“ intitle: Per Intitle: lässt sich das <title> tag durchsuchen. Bsp: “intitle:index“

3

intext: Mit intext: findet man bestimm-te Wörter auf einer Webseite. Bsp: “intext:Hacker“ inurl: Über inurl: lassen sich Wörter in einer URL festlegen. Bsp : “inurl:etc“ or “inurl:bin“ site: Mit site: kann man auf be-stimmten Domains suchen. Bsp: “site:com“ or “site:ch“ cache: Mit cache: wird die Seite ange-zeigt, so wie sie bei Google im Cache ist. Bsp: "cache:www.blick.ch" related: Mit related: werden Seiten an-gezeigt welche ähnliche Seiten sind. Bsp: „related:pizza“ safesearch: Mit safesearch: wird verhindert dass nicht jugendfreie Websei-ten angezeigt werden. Bsp: „safesearch:Pamela Ander-son“ Die dunkle Seite: Wo liegt denn jetzt eigentlich die Bedrohung? Wenn man sich

die Grundla-gen des er-

folgreichen Suchens

angeeignet hat ist es ein

kleiner Schritt dieses

Know-how unethisch einzuset-zen. Das Auskundschaften von Schwachstellen führt nicht zwangsläufig zur Kriminalisie-rung oder einer Straftat. Inso-fern sind «Google-Hacker» zu-nächst einmal keine Täter, son-dern lediglich Entdecker von

Informationen. Eine vorschnelle Kriminalisierung ist nicht ange-bracht. Strafbar ist jedoch der auf Basis einer Suchmaschinen-Recherche mit Hilfe von techni-schen Angriffswerkzeugen initi-ierte Einbruchsversuch. Zusätzlich zum Wissen über die Suchmaschinen-Bedienung be-nötigt man noch das Hinter-grundwissen über die Standard-passwörter und Standard-Installationspfade und Verhalten von Applikationen. Jede Appli-kation, jeder Drucker oder jede andere Komponente identifiziert sich in einer bestimmten Form gegenüber den Suchmaschinen. Man stelle sich das folgende Szenario vor: Peter F. kauft eine Wireless Webkamera, welche über einen FTP-Server verfügt. Peter F. will diese im Garten aufstellen, so dass er seinen Swimmingpool bequem vom Büro aus beobachten kann. Die Webkamera konfiguriert sich mit ein paar Klicks. Dasselbe gilt auch für die Option, dass gleich ein Dyndns-Account ein-gerichtet werden kann, worüber man jederzeit, sich bequem ohne Probleme mit der Kamera verbinden kann, ohne das lästi-ge Problem mit der wechseln-den, öffentlichen IP-Adresse. Es ist Montag und Peter F. ist stolz, dass er jetzt seinen Swimming-pool von jedem Browser aus, jederzeit und von überall, anse-hen kann. Weil das so gut funktioniert hat, will er auch gleich die Druck-Funktion über das Internet installieren. Damit kann Peter F. nämlich seine Urlaubsfotos di-rekt auf dem Printer zu Hause ausdrucken, während er noch im Urlaub ist. Tolle Sache, alles funktioniert prima. Da er jetzt mehr Speicherplatz benötigt

rüstet er noch mit einem NAS auf (Personal Cloud). Nach dem Urlaub bekommt er plötzlich Fotos von seinen Kollegen zuge-schickt mit Bemerkungen wie: «Hey, habe gar nicht gewusst dass deine Frau einen so tollen Bikini hat.» Auf dem Drucker zu Hause werden plötzlich Bilder ausgespuckt, welche er lieber nicht seinen Kindern zeigen möchte. Das «Spielkamarädli» seiner Tochter darf nicht mehr in den Pool kommen, weil Sie auf dem Internet gezeigt wird. Der Secu-rity Officer in Peter F’s Firma lädt zu einem Termin ein. Kun-dendaten über das Projekt an dem Peter F. arbeitet sind im Internet aufgetaucht. Es stellte sich heraus, dass die «Back-up»-Kopie der Daten, die Peter F. zu Hause im NAS für alle Fäl-le abgelegt hat, gehackt worden ist.

Alles erfunden? Vielleicht. Die-ses Szenario liefert einen Quer-schnitt über die Problematik und das Schadenspotential, welches sich bietet, wenn mittels Such-maschinen die Fehleranfälligkeit von Standardkonfigurationen von Komponenten gefunden werden können. Die für den Endanwender vermeintlich ein-fache Handhabung stellt sich als das grösste Problem heraus.

4

Wer schon länger im IT-Geschäft ist, erinnert sich: In den Anfangszeiten von Microsoft hatten wir das doch schon ein-mal mal: Damals wurden auch die Einfachheit und der Komfort für die zu konfigurierenden Komponenten vor die Sicherheit gestellt. Wer sich in Stimmung bringen will kann sich gleich mit Google verbinden und ein paar Suchan-fragen austesten. Jemanden auf Xing finden mit Name und Land. „site:www.xing.com/ cruz ch“ Jemanden auf Xing finden mit spezifischen Skills. „si-te:www.xing.com/ cissp cisa mct„ Bestimmt Dokumente finden. PDF’s auf der Security Zone Website. „site:www.security-zone.info inurl:pdf“ Nur die PDF’s von einem be-stimmten Benutzer. „site:www.security-zone.info inurl:pdf brack“ Was wird bei Facebook über die SuisseID gesprochen? „site:facebook.com SuisseID“ Oder dasselbe bei Twitter. „site:twitter.com SuisseID“ Was Google sonst noch Hilfrei- ches leisten kann. Wetter: Liefert Angaben über das lokale Wetter Bsp.: „Wetter Zürich“ Rechner: Google kann als Rechner ver-wendet werden. Bsp: „(5*9+3)^3“ oder „20% of 500“

Umrechnen von Einheiten: Bsp: „25 Miles in km“ oder „0xFF - 0b11010101 in dezimal“ Währungsumrechnung: Bsp: „50 Euro in CHF“ Wörterbuchdefinitionen: Bsp: „definiere:nomophobie“ Befindet man sich in der Bilder-suche kann man zum Beispiel ein gescanntes Diplom nehmen und dieses mit drag and drop in die Suchleiste ziehen. Es wer-den dann Bilder von der glei-chen Grösse, Farbe etc. gefun-den aber erstaunlicherweise auch der Inhalt wird abgesucht. Konkret wenn man sein CISSP-Zertifikat in die Suchleiste zieht findet Google Bilder von ande-ren CISSP Zertifikaten. Folgende Website bietet einem die Möglichkeit sich eigene Suchanfragen auf einfachste Weise zusammenzustellen:

Printscreen der Website Reputelligence

Die Suchanfrage kann anschlie-ssend in der Form einer URL oder eines QR-Codes abgespei-chert werden. Dies hat den Vor-teil, dass man komplexe, wie-derkehrende Suchanfragen per Klick immer wieder aufrufen kann ohne sich alles neu zu konfigurieren. Ich persönlich nutze diese Web-site, wenn ich für jemanden eine Suchanfrage erstelle die etwas komplexer ist. Ist die

Anfrage erstellt kann ich einfach den URL oder QR-Code versen-den. Dadurch, dass einem die Suchanfrage wiederholt wird, lernt man selber auch sehr schnell.

Wer sich eigene QR-Codes er-stellen möchte findet unter die-sem URL einen Webservice wo man diese kostenlos generieren kann(http://jb.404whylo.com/).

Link zu der Website http://ssg.reputelligence.com