You are on page 1of 13

Gefährliches Google – Suche

nach sensiblen Daten
Michał Piotrowski

Der Artikel wurde in der Ausgabe 4/2005 des Magazins hakin9 publieziert.
Alle Rechte vorbehalten. Kostenlose Vervielfältigung und Verbreiten des Artikles ist unvaränderter Form gestattet.
Das hakin9 Magazin, Wydawnictwo Software, ul. Piaskowa 3, 01-067 Warschau, Polen de@hakin9.org

Das sind nur einige Beispiele – durch er Spezialist für die Sicherheit einer der größten eine geschickt gestellte Anfrage an Google Finanzinstitutionen Polens. und Was Sie vorher wissen/können gleichzeitig viele ähnliche durch den Goog- lebot nicht besucht wurden (Script-Automat. weshalb die. die geschützt sein sollten. dass das Internet ein Systeme und Web Dienste erhält. in- klusive ihrer Beschreibung und ihrem Effekt.hakin9. Seit über drei Jahren ar- des Magazins hakin9). erfahren Sie. • wie man mit Google öffentlich zugängliche durch Google gelieferten. gewinnen. Grundlagen Operatoren zur Verfeinerung der Suche. Netzgeräte findet. Der Effekt ist. Es kommt vor. indexiert). Ergebnisse nicht im. der die WWW-Ressourcen durchkämmt und • wie man einen Internet-Browser benutzt.org hakin9 Nr. 80% aller An- fragen im Netz. Gefährliches Google – Suche nach sensiblen Daten Michał Piotrowski Daten. dass manche gefundenen Webseiten sehr veraltet sind. 4/2005 .und sourcen beziehen (am Beispiel der Webseite Systemadministrator. dete Suchmaschine. Möglichkeiten der Anfragenstellung. Im Moment ist dar. sehr dynamisches Medium ist. mer aktuell sind... stellt Abbildung 1 beitet er als Sicherheitsinspektor. Es reicht Google zu verwenden.. und ist damit die am In diesem Artikel häufigsten und am liebsten verwen. 14 www. sondern auch den sehr komplexen ken mit personenbezogenen Informationen und nach anderen sensiblen Daten sucht. während der Durchsuchung der Netz-Res- Er besitzt langjährige Erfahrung als Netz. die sie unbewusst – aufgrund von Vernachlässigung oder Unwissenheit – veröffentlichen. Die Stellen in Dokumenten. Es sind die Nutzer selbst. dass die sensiblen Daten im Internet zum Greifen nahe sind. Es verdankt dies nicht nur dem außergewöhnlich effektiven Suchal. Seine Leidenschaft ist kann man viel interessantere Informationen Freie Software. • man sollte Grundwissen über das HTTP-Proto- Die wichtigsten und gebräuchlichsten koll besitzen.. wurden in Tabelle 1 aufgelistet. G oogle beantwortet ca. • wie man mit Hilfe von Google nach Datenban- gorithmus. Wir sollten • wie man Informationen über angriffsanfällige jedoch nicht vergessen. werden sehr oft öffentlich zugänglich gemacht. auf die sich jene Operatoren Über den Autor Michał Piotrowski ist Magister der Informatik. sollten.

fire1fox. 4/2005 www.google.fox und fire im Titel enthalten. die die Phrase Dokumente.hakin9.com. die eine Zahl aus dem Dokumente. die die in der Wort fire in der Beschreibung (nicht in der URL-Adres- Beschreibung gegebene Phrase se.foxliefert Dokumente. die die Wörter fox und Seiten. fire fox nur im Text enthalten ne Phrase enthalten und gleichzeitig diese Phrase im Titel. erzwingt das Nichtauftreten der ge.google. die die Wörter Dokumente. filetype:xls fox liefert die das Wort fox enthaltenden Excel-Dokumente numrange beschränkt die Ergebnisse auf die numrange:1-100 fireliefert Seiten. funktioniert ähnlich wie nen Phrasen enthalten intitle:fox intitle:fire inurl beschränkt die Ergebnisse auf die inurl:fox fire findet Seiten. ext beschränkt die Ergebnisse auf die liefert die das Wort fire enthaltenden filetype:pdf fire Dokumente vom gewünschten Typ PDF-Dokumente.. enthalten * wird mit einem einzelnen Wort fire * fox liefert Dokumente.de liefert Dokumente. fire in fox.google. Abfrageoperatoren in Google Operator Bestimmung Beispiel der Verwendung site beschränkt die Ergebnisse auf die site:google. fire-fox etc. sondern in dem unterstriche- enthalten nen Teil des Textes) enthalten allintext beschränkt die Ergebnisse auf die allintext:"fire fox" liefertDokumente. die die Phrasen fire the ersetzt fox. ersetzt fireAfox. die die Phrase fire fox Phrasen. die mindestens Seiten. und fire im Text enthalten ne Phrase enthalten allintitle beschränkt die Ergebnisse auf die allintitle:fox fire findet alle Seiten. die das Wort fire im Text Seiten. zurück "" erlaubt die Suche nach den ganzen "fire fox" liefert Dokumente. Dassel- gegebenen Zahlenbereich in ihrem be Ergebnis erreicht man mit der Anfrage: 1. die in ihrem Text das Wort fox enthalten Domain befinden intitle beschränkt die Ergebnisse auf die intitle:fox fire findet Seiten. die die in der URL-Adresse und fox in der URL-Adresse enthalten gegebene Phrase enthalten allinurl beschränkt die Ergebnisse auf die allinurl:fox firefindet Seiten.de enthalten Lokalisierung enthalten inanchor beschränkt die Ergebnisse auf die inanchor:fire liefert Dokumente. die das Wort fire nicht enthal- gebenen Phrase in den Ergebnissen ten. wird mit einem einzelnen Zeichen fire. die die Phrase "fire fox" | firefox fire fox oder das Wort firefox enthalten hakin9 Nr.org 15 . die die im Text gegebe. die die Phrasen fire fox. die alle in der URL-Adresse fire in der URL-Adresse enthalten. die das Wort fox im Titel Dokumente.com fox findet alle Seiten aus der Domain Seiten.100 fire Content enthalten link beschränkt die Ergebnisse auf die link:www. die eine Zahl aus dem Bereich 1 bis 100 und das Wort fire enthalten. die alle im Titel gegebe. fire or fox etc. Google hacking Tabelle 1. die die Links zur gegebenen einen Link zur Seite www. die sich in einer bestimmten *. die die im Titel gegebe. enthalten | logisches OR liefert Dokumente. tens vom Wort fire nissen . nicht nur nach Wörtern enthalten . auf die sie hinweisen. den Links und den URL-Adressen nicht enthalten + erzwingt das häufige Auftreten der +fireordnet die Ergebnisse nach der Anzahl des Auftre- gegebenen Phrase in den Ergeb. funktioniert ähnlich gegebenen Phrasen enthalten wie inurl:fox inurl:fire filetype. -fireliefert Dokumente. die die Links mit dem Seiten mit den Links.

dass die Software IIS (und viele andere) in der Standardkonfiguration zu man- chen dynamisch generierten Web- seiten Banner hinzufügen. bekommen wir oft wirklich erstaunliche Ergebnisse. tionen verwenden. Schaufensters des Magazins hakin9 Google zu verwenden – er tippt also die folgende Abfrage ein: "Microsoft- IIS/5. in denen Fehler suchen. der 16 www. Der Grund hierfür ist. Wenn wir eine entsprechende Suchanfrage stellen. indem gefunden und von faulen Adminis- nach der erfolgreichen Konfigura. dass in einem allgemein verwendeten Programm eine Lücke entdeckt wurde. die unter gewissen Bedingungen für den Angreifer eine wesentliche Bedeutung haben kann. die an sich nicht gefährlich ist. 4/2005 .of und bekommt als Resultat Links zu den gesuchten Servern.0 Server at" intitle:index. dass sie den Server Microsoft IIS Version 5. Als tion zugänglich gemacht werden.hakin9. deren Default-Inhalt Hilfe bekommt man den Zugang Das erste Programm ist ein nach der Installation nicht geändert zu einer immensen Anzahl von webbasierter Dateimanager. Fangen wir mit etwas Einfachem an.0 wird mit Hilfe vom Operator intitle gefunden Grundlagen enthält Tabelle 2. Das ist ein Beispiel einer Informa- tion. Nehmen wir weiterhin an. aus diesem Grund wird sie sehr häu- fig ignoriert und in der Standardkonfi- guration gelassen. die mit ihnen geliefert und stellen. Server IIS 5. Mehr Beispiele für Suchanfragen an Google nach anderen Servertypen Abbildung 2. aber er bevorzugt es. verschiedenen Netzservern oder konkreten Version der WWW-Ser. sondern auch zu denjenigen. Selbstverständlich könnte er zu diesem Zweck einen Scanner Abbildung 1. Man kann sie finden. Beispiel nehmen wir zwei ziemlich Es mag seltsam erscheinen. Anfragen anwendet. Verwendung der Operatoren in der Suche – am Beispiel des benutzen.org hakin9 Nr. von Servern. die sich auf diesen Servern befinden. die ei- gene Namen und Version enthalten (man sieht dies auf Abbildung 2). die ein Betriebssystemen. man die in der Tabelle 3 aufgelisteten tratoren nicht beseitigt wurden. Leider ist sie auch eine Information. aber Diese Methode ist sehr einfach populäre Programme: WebJeff File- im Netz befindet sich eine Menge und gleichzeitig nützlich. um sie zu at- tackieren. Dies sind oft schwach gesi. Andere Methode zum Finden der wurde. vergessene Geräte. cherte.0 betrifft und ein Angreifer ein paar Server mit die- ser Software finden will. die unbekannt bleiben sollten. genauer zu aufgelisteten Inhalten der Verzeich- nisse. Mit ihrer manager und Advanced Guestbook. Stellen wir uns vor. die die Applika- ver: man kann nach Standardseiten einfaches Ziel für die Einbrecher dar. Wir suchen nach einem Opfer Dank der Google-Suchmaschine kann man nicht nur zu öffentlich zu- gänglichen Internet-Ressourcen ge- langen.

9 ked!" "this Web site!" intitle:"Test Page for Apache Installation" "Seeing Apache 1. Anzeigen.2.0–1.0 "Microsoft-IIS/* Server at" intitle:index. dass der Eindringling im anfälligen In April 2004 wurde eine Information Unser Angreifer kann an Google ei- System die Adresse /index.0 Server at" intitle:index. der das Ablesen jeder vanced Guestbook – ist ein in PHP Feld username leer lässt und im Feld beliebigen Datei aus dem Server.0 Server at" intitle:index. Apache im Fedora-System dora Core" intitle:"Welcome to Your New Home Page!" Debian Apache im Debian-System intitle:"Welcome to IIS 4.of Apache 2. Apache 1. vanced Guestbook 2. wobei man das nen Fehler.3.6 free" intitle:"Test Page for Apache Installation" "It wor.0 vices" das Hochladen der Dateien an den dung 3). sich da einzulogen. on=telecharger&fichier=/etc/passwd von diesem Programm veröffentlicht.hakin9. IIS 6.of beliebige Version eines Red Hat Secure-Servers "HP Apache-based Web Server/*" intitle:index. Google – Suchanfragen nach verschiedenen Typen von WWW-Servern Suchanfrage Server "Apache/1.28S "Apache/2.of Microsoft Internet Information Services 5.0 intitle:"Welcome to Windows XP Server Internet Ser.6" Login stellt. Apache SSL/TLS stallation" "Hey.org 17 .0 "Microsoft-IIS/5. Hilfe man die Gästebücher in die password leer und schreibt im Feld sitzen. mit derer oder umgekehrt – man lässt das Feld startenden Benutzer den Zugang be.0 "Microsoft-IIS/6.php3?acti über eine Lücke in der Version 2. Google hacking Tabelle 2.0!" IIS 4.0 Server at" intitle:index. – siehe Artikel SQL Injection Angrif.0 this instead" intitle:"Test Page for the SSL/TLS-aware Apache In.of beliebige Version von Apache "Microsoft-IIS/4.0 intitle:"Welcome to Windows 2000 Internet Services" IIS 5. reicht die Login-Seite vom Paneel ermöglicht.0 "Apache/* Server at" intitle:index.3. Die zweite Applikation – Ad. möglich macht.of beliebige Version eines Oracle-Servers "IBM _ HTTP _ Server/* * Server at" intitle:index. Leider enthält WebJeff manager 1.3.11–1. 4/2005 www.of Apache 1. Es auf dem Server befindenden Dateien indem er die Abfrage: "WebJeff-File. Angreifer die Google-Suchmaschine 3/2005) ermöglicht den Zugang Löschen und Modifizieren der sich um den anfälligen Server zu finden.of beliebige Version eines Netscape-Servers "Red Hat Secure/*" intitle:index. WWW-Services hinzufügen kann. Abfragen nach Standardseiten von WWW-Servern nach der Installation Abfrage Server intitle:"Test Page for Apache Installation" "You are Apache 1.33. geschriebenes Programm. username schreibt ? or 1=1 – hinein.6 ei. Selbstverständlich nutzt der fe mit PHP und MySQL in hakin9 Server und das Erstellen.3. Es reicht also.0 Server at" intitle:index. das die password ') OR ('a' = 'a eintippt zu welchem die den WWW-Dämon SQL-Datenbank benutzt.3. 2. um anfällige Schaufenster im Netz eintippt und den Inhalt der Datei Diese Lücke (dank des SQL-Codes zu finden: intitle:Guestbook "Ad- /etc/passwd bekommt (siehe Abbil. it worked!" intitle:"Test Page for the Apache Web Server on Red Apache im Red Hat-System Hat Linux" intitle:"Test Page for the Apache Http Server on Fe.of beliebige Version eines HP-Servers Tabelle 3.28 Server at" intitle:index.of beliebige Version eines IBM Servers "Netscape/* Server at" intitle:index.of beliebige Version von Microsoft Internet Information Services "Oracle HTTP Server/* Server at" intitle:index.of Microsoft Internet Information Services 6. zum Administrationspaneel.3.2 ne der folgenden Anfragen stellen.of Microsoft Internet Information Services 4. zu finden (siehe Abbildung 4) und Filemanager in der Version 1.2 Powered" oder hakin9 Nr.

Für einen Einbrecher sind das sehr wertvolle Informationen. Die zweite Sache. Viele Administratoren installieren Abbildung 4. die kontinu- ierlich Statistiken über die System- arbeit erstellen. falls ein Fehler in einem von ihnen auf- getreten ist. die zur auf Abbildung 5 dargestellten Seite ähn- lich sind. dass er Google nach Statis- tiken des phpSystem–Programms fragt: "Generated by phpSystem". Statistiken über phpSystem erstellt wurden. dass die Rechner gescannt werden – es wird versucht die funktionierenden Dienste. die viel mehr Informationen über das System enthalten (Abbildung 6). so bekommt er Seiten.".2" Username inurl:admin. in denen sie vorkommen. Es reicht. aber es existiert noch eine andere Option. Gewöhnlich beruht das darauf. den Typ vom Betriebssystem und die Ver- sion der Provisioning-Software zu bestimmen. Informationen über Netze und Systeme Fast jeder Angriff auf ein Rechner- system wird durch eine Zielklärung eingeleitet. enthält Tabelle 4). ist das Entfernen von Banner. 18 www. Am häufigsten werden zu diesem Zweck Scanner vom Typ Nmap oder amap verwendet. Es gibt ganz viele Möglichkeiten (Beispiele für die Anfragen nach Statistiken und Informationen. Man kann auch nach den Grundlagen durch das Sysinfo-Script generierten Seiten fragen intitle:"Sysinfo * " intext:"Generated by Sysinfo * written by The Gamblers.org hakin9 Nr.hakin9. die Listen mit den gestarteten Prozessen oder sogar System-Logfiles enthalten. "Advanced Guestbook 2. die durch die populärsten Programme Abbildung 5. wenn ein Administrator kontinuierlich die Informationen über alle Programme. überwacht und die Pro- gramm-Updates durchführt. Der oben beschriebene Daten- klau lässt sich verhindern. um die man sich kümmern sollte. die er in von ihm betreuten Service verwendet. Programm- namen und Programmversions- nummern aus allen Webseiten oder Abbildung 3. Anfällige Version des Programms WebJeff Filemanager Dateien. Advanced Guestbook – Login-Seite WWW-Applikationen. 4/2005 . über die Belegung der Festplatte informieren.

die das Monitoring unserer Rechner-Ressourcen er- möglichen. die solche Fehler ausnutzen. Aus diesem Grund müssen wir dafür sorgen. die die Informationen über die Konfiguration der Datenbanken. enthalten. Dateistruktur im System und manch- mal auch die Passwörter (siehe Abbildung 7). 4/2005 www. Ebenso interessante Informa- tionen kann man aus den Fehlern der MySQL-Datenbanken gewin- nen. Fehler der MySQL-Datenbank hakin9 Nr.hakin9. reicht es an die Suchmaschine die folgende Anfrage zu stellen: "A syntax error has oc- curred" filetype:ihtml. Google hacking Der Erwerb solcher Erkenntnisse kann den Eindringling zur Durch- führung eines Angriffs auf ein ge- fundenes System ermutigen und ihm dann bei der Wahl der entspre- chenden Tools oder Exploits helfen. Wir suchen nach Fehlern Die HTTP-Fehler-Meldungen kön- nen für einen Einbrecher äußerst wertvoll sein – gerade aus diesen In- formationen kann man eine Vielzahl von Daten bezüglich des Systems sowie bezüglich der Konfiguration Abbildung 6. befinden sich in Tabelle 5. Statistiken über Sysinfo und des Aufbaus der Datenbanken gewinnen. Andere Bei- spiele für die Anfragen.org 19 . Um die Su- Abbildung 7. Weiterhin ist es sehr Abbildung 8. Verwendung von Fehlern der Informix-Datenbanken chergebnisse auf die Seiten mit den Passwörtern einzuschränken. Im Resultat findet der Einbrecher die Meldun- gen. Man sieht das am Beispiel der Anfrage "Access denied for user" "Using password" – Abbildung 8 stellt eine der auf diese Weise gefundenen Seiten dar. Zum Beispiel. um durch die Informix-Datenbank generierte Fehler zu finden. Die einzelne Methode zum Schutz unserer Systeme vor der Veröffentlichung der Fehler ist vor allem die schnelle Beseitigung von Anomalien. wenn wir diejenigen Program- me verwenden. kann man die Anfrage "A syntax error has occurred" filetype:ihtml intext:LO- GIN ein wenig modifizieren. dass der Zugang zu den Programmen geschützt bleibt und eine Kennworteingabe verlangt wird.

pl" –script Statistiken über die Arbeit des WWW-Servers. Programme. 4/2005 . Liste der Tochterprozesse ver-status | inurl:status. Be- legung der Speicher und der Festplatten.html) intitle:"ASP Stats Generator *. gehalten. dass die via Google Passwörtern Betrachten wir das Beispiel von gezeigten Seiten nicht mehr aktuell Im Netz kann man eine Vielzahl von WS_FTP – vom gut bekannten sind). sich der Eindringling dennoch Passwörtern zu Ressourcen aller Art und allgemein verwendeten FTP- eine Kopie der Webseite ansehen finden – E-Mail-Konten. Dateistruktur im System intext:"Tobias Oetiker" "traffic analysis" Statistiken über die Systemarbeit in Form von MRTG-Diagrammen. Mount-Punkte "This summary was generated by wwwstat" Statistiken über die Arbeit des WWW-Servers. die Kopien der Webseiten die Benutzerdaten nicht angemes- schickt werden. oder sogar Shell-Konten. hauptsächlich aus der Unwissen- verfügen. viele Informationen über die Besucher Stats Generator" "2003-2004 weppos" intitle:"Multimon UPS status page" Statistiken über die Arbeit der UPS-Geräte intitle:"statistics of" "advanced web Statistiken über die Arbeit des WWW-Servers. die Statistiken über die Systemarbeit erstellen Anfrage Informationstyp "Generated by phpSystem" Typ und Version des Betriebssystems. Typ des Betriebssystems. dass er auf der Liste heit der Benutzer. Informationen über die Besucher inurl:"/axs/ax-admin. ein- geloggte Benutzer. eingeloggte Benutzer. dass die Stan- dass selbst wenn wir die Fehler dardkonfiguration ihrer Produkte ziemlich schnell beseitigen (und da. Informationen über by Webalizer" die Besucher. Network Information Center" Hardware-Konfiguration. die in dem Cache der Goog.hakin9. sourcen. der ähnlich zu den meisten kann. Dateistruktur im tats" System "This report was generated by WebLog" Statistiken über die Arbeit des WWW-Servers. Dies folgt Provisioning-Softwares das Mer- 20 www. Informationen über die Besucher inurl:"/cricket/grapher. geöffnete Verbindungen. Informationen über statistics" die Besucher intitle:"System Statistics" +"System and Statistiken über die Systemarbeit in Form von MRTG-Diagrammen. wenn wir über Möglichkeiten le-Suchmaschine gespeichert wird. dass der Suchergebnisse einen Link ihre Kennwörter in den öffentlich die Informationen über Fehler in den zur Schaufensterkopie anklickt. Dateistruktur im System "Output produced by SysWatch *" Typ und Version des Betriebssystems. Mount-Punkte. die entweder Benutzer zugänglichen Seiten ge. funktionierende Dienste intitle:"Usage Statistics for" "Generated Statistiken über die Arbeit des WWW-Servers. Software-Hersteller. Statistiken über die Arbeit des WWW-Servers. Version und Konfiguration des WWW-Servers. mit erreichen. FTP-Server Client. Hardware-Konfiguration. Dateistruktur im System intitle:"Web Server Statistics for ****" Statistiken über die Arbeit des WWW-Servers. Serverversion. nur für kurze Zeit im Google-Cache sen bewahren oder die Nutzer nicht Wir sollten nicht vergessen. die unbewusst Software auf solche Weise.html | inurl: und aktuelle Verbindungen apache. Netzkonfiguration intitle:"Apache::Status" (inurl:ser. das Konfigurieren der Es reicht. Belegung der Speicher und der Festplatten. Typ des Betriebssys- mation" tems. Dateistruktur im System "These statistics were produced by gets.*" "ASP Aktivität des WWW-Servers.cgi" MRTG-Diagramme von der Arbeit der Netzinterfaces inurl:server-info "Apache Server Infor.org hakin9 Nr. Wir suchen nach modifiziert werden muss. Tabelle 4. zugänglichen Stellen anlegen oder speziell dafür bestimmtem Dateien Zum Glück werden. System-Logfiles gut. aufgrund der auch aus der Nachlässigkeit der Grundlagen gespeichert und nicht an die für die immensen Anzahl an Internet-Res. aktivierte Prozesse. darüber informieren.

Zwar sind die in der WS_FTP.ini–Datei. 4/2005 www.ini–Datei gelager- ten Passwörter verschlüsselt. Fehlermeldungen Anfrage Resultat "A syntax error has occurred" Fehler der Informix-Datenbank – sie können Funktionsnamen. Infor- "Using password" mationen über die Dateistruktur und Fragmente des SQL-Codes enthalten "The script whose uid is " "is PHP-Fehler. dass jeder. die mit der Zugangskontrolle verbunden sind – sie können Dateina- not allowed to access" men." systems und der Software-Version. gleichzeitig den Zugang zu unseren Ressourcen besitzt. WS_FTP speichert die Konfiguration und die Informa- tionen über die Benutzerkonten in der WS_FTP. Konfigurationsdatei des WS_FTP-Programms Tabelle 5.hakin9. valid query" Dateinamen und Informationen über die Dateistruktur enthalten "Error Message : Error loading Fehler des CGI-Scripts – sie können Informationen über den Typ des Betriebs- required libraries. Fragmente des SQL-Codes und Passwörter enthalten "Access denied for user" Fehler bei Autorisierung – sie können Benutzernamen. dann kann er die Tools. quest" cocoon filetype:xml Dateinamen. Dateinamen. Funktionsnamen.ini" oder filetype:ini WS _ Abbildung 9. Google hacking ken der Passwörter zu den Konten ermöglicht. Fehler des Cocoon-Programms – sie können die Versionsnummer von Cocoon. Informationen über die Dateistruktur enthalten "ORA-00921: unexpected end of Fehler der Oracle-Datenbank – sie können Dateinamen. Benutzernamen. In- filetype:ihtml formationen über die Dateistruktur. Fehler der MySQL-Datenbank – sie können Benutzernamen. Dateinamen. Funktionsnamen und Informationen über die Dateistruktur enthalten "Invision Power Board Database Fehler des Invision Power Board – Diskussionsforums – sie können Funkti- Error" onsnamen.org 21 . Dateinamen und Informatio- nen über die Dateistruktur im System enthalten "#mysql dump" filetype:sql Fehler der MySQL-Datenbank – sie können Informationen über die Struktur und den Inhalt der Datenbank enthalten hakin9 Nr. Funktionsnamen. die die Entschlüsselung der Passwörter ermöglichen. Leider ist es nicht uns allen bewusst. der den Zugang zur Konfi- guration des FTP-Clients erreicht. verwenden oder das WS_FTP-Programm einfach instal- lieren und es mit unserer Konfigura- tion starten. Dank der Anfra- gen "Index of/" "Parent Directory" "WS _ FTP. Funktionsnamen. Funktionsnamen und SQL command" Informationen über die Dateistruktur enthalten "error found handling the re. Informationen über die Dateistruktur im System und Fragmente des SQL-Codes enthalten "Warning: mysql _ query()" "in. Und auf welche Weise kann ein Einbrecher zu Tausenden von Konfigurationsdateien des WS_ FTP-Clients gelangen? Via Google selbstverständlich. aber das sind nicht die ausreichenden Schutzmaßnahmen – hat ein Ein- brecher die Konfigurationsdatei.

anstelle der Default-Adresse http://<host>/journal/ schreibt man http://<host>/journal/ journal. DUclassmate. die Informationen über Benutzernamen ers" und Passwörter enthalten können filetype:mdb inurl:"account|users|admin|administ Dateien vom Typ mdb.asp | voting.mdb hinein intitle:dupics inurl:(add.conf" intext:"password" Konfigurationsdateien des WV Dial-Programms ext:ini eudora.hakin9.com duClassified/ schreibt man http://<host>/duClassified/_private/ "Powered by DUforum" -site:duware. DUdirectory. Dienst mit der Adresse z. 4/2005 .ini Konfigurationsdateien des Eudora-Mailprogramms filetype:mdb inurl:users. die Informationen über die Konten enthalten können intext:"powered by Web Wiz Journal" WWW-Dienste.. die Passwörter des Microsoft FrontPage ers) "# -FrontPage-" – Programms enthalten filetype:sql ("passwd values ****" | "password Dateien. die Board" in der Standardkonfiguration das Herunterladen der Datei mit dem Passwort ermöglicht.dat hinein FTP PWD bekommt er eine Vielzahl zufügen und die Verwaltung der verzeichnis befindet.com WWW-Dienste. die SQL-Code und in Datenbanken enthaltene Pass- values ****" | "pass values ****" ) wörter enthalten intitle:index.asp | default.0" "BiTSHiFTERS Bulletin WWW-Dienste.com das Herunterladen der Datei mit dem Passwort ermöglichen.mdb hinein "Powered by DUclassified" -site:duware.conf Konfigurationsdateien der OpenLDAP-Applikation inurl:"wvdial.db – Dateien können Benutzernamen und verschlüsselte Passwörter enthalten inurl:admin inurl:backup intitle:index. webbasierte Applikation mit dem gelagert – in einer Datei. die in ihrem Namen die Wörter admin und back- up enthalten können "Index of/" "Parent Directory" "WS _ FTP. Passwörter und an. geschrieben in der Form: http://username:password@www. die die Web Wiz Journal-Applikation benutzen.mdb _private/duclassified. zu erhalten und damit einen unbe- 22 www.mdb Microsoft Access-Dateien.com anstelle der Default-Adresse (für DUclassified) http://<host>/ "Powered by DUpaypal" -site:duware.com intext:"BiTBOARD v2. die das Hin.com duclassified.db pwd. die Passwör- filetype:ini WS _ FTP PWD ter zu den FTP-Servern enthalten können ext:pwd inurl:(service|authors|administrators|us Dateien. "Powered by DUdownload" -site:duware. die sich im um die Dateien mit den Passwörtern Namen DUclassified.ini" Konfigurationsdateien des WS_FTP-Programms.of Verzeichnisse. die in der Standardkonfiguration das Herunterladen der Datei mit dem Passwort ermöglichen. die die Bitboard2–Applikation verwenden. DUpaypal.php schreibt man http://<host>/forum/ admin/data_passwd. Tabelle 6.asp) -site:duware.mdb zu ändern. nicht geschützten _private – Unter.B. die wir ihm selbst aufgrund ermöglicht. die die Applikationen DUclassified. filetype:bak inurl:"htaccess|passwd|shadow|htus Backups der Dateien. Passwörter – Beispiele für die Anfragen an Google Anfrage Resultat "http://*:*@www" site Passwörter zur Seite site.asp | view. DUcalen- "Powered by DUcalendar" -site:duware. DUfo- "Powered by DUdirectory" -site:duware.of trillian. DUdownload. die Informationen über Passwörter rators|passwd|password" enthalten können intitle:"Index of" pwd. http:// unserer Unwissenheit in die Hände ration dieses Programms werden <host>/duClassified/ zu finden und legen (Abbildung 9). Es reicht nun von Links zu für ihn interessanten Werbungen in Internet-Services einen DUclassifield verwendenden Daten.org hakin9 Nr. die in der Standardkonfiguration "Powered by DUclassmate" -site:duware. anstelle der Default-Adresse http:// Grundlagen <host>/forum/forum. Benutzernamen..ini Konfigurationsdateien des Trillian-Messengers eggdrop filetype:user user Konfigurationsdateien von Eggdrop-IRCbot filetype:conf slapd.com dar. In der Standardkonfigu. sie auf http://<host>/duClassified/ Ein anderes Beispiel ist eine dere Daten in der duclassified.com rum oder DUpics verwenden.

. wodurch diese Dateien beachtliche Größen erreichen. dass man die Passwörter weder an den Bildschirm ankleben noch unter der Tastatur verstecken sollte. die auch gegen ähnliche Missbräuche anfällig sind. 4/2005 www. ist nützlich. kann wiederum die folgende an Google gestellte Anfrage helfen: "Powered by DUclassified" -site: duware. users. Daten wieder finden und sie ent- sprechend schützen. trotz unserer Erwartungen. Es lohnt sich auch auf die Ver- zeichnisse mit den Wörtern admin. .mdb und . wie sie aufbewahrt werden und was mit ihnen ge- schieht. Es ist schwer eine konkrete Regel anzugeben. aber die Kombination der Wörter account. müssen wir vor allem daran denken. die. deten Applikationen analysieren. Um den Eindringlingen den Zu- gang zu unseren Passwörtern zu erschweren.org 23 .doc. admin. . Wenn wir uns um einen Im Internet Internet-Dienst kümmern. vom Internet her erreichbar sind.org/thc-amap/ – amap-Scanner. sollten • http://johnny. schwach geschützte oder sensible • http://thc. In der Verbindung mit den Dateitypen .of. • http://insecure. wo und warum wir Abbildung 11. In der Suche nach Schaufenstern. Dazu bekleiden Abbildung 10.org/nmap/ – Nmap-Netzscanner. Standardmäßig konfiguriertes Duclassified-Programm noch viele von ihnen Funktionen wie Netzadministrator oder ähnliche. Theoretisch wissen wir alle. hakin9 Nr.pdf. Dank Google gefundenes elektronisches Adressbuch sie zuweisen.com/ – das größte Kompendium der Informationen über wir die Konfiguration der verwen- Google Hacking.com (um die das Hersteller- schaufenster betreffenden Ergebnis- se zu vermeiden). Was interessant ist. Google hacking schränkten Zugang zur Applikation (dies wird an Abbildung 10 gezeigt).ihackstuff.hakin9. Beispiele für die Anfragen nach den mit Passwör- tern verbundenen Daten kann man in Tabelle 6 finden.txt. nach der man solche Daten wieder findet. die die erwähnte Applikation benut- zen. backup oder mit ähnlichen Namen aufmerksam zu machen: inurl:ad- min intitle:index. Währenddessen schreiben ziemlich viele Leute die Passwörter in die Dateien hinein und legen sie in den Heimverzeichnissen an. password etc.xls. der Hersteller von DUclassified – die Firma DUware – hat einige andere Applikationen erstellt. admi- nistrators. passwd.

dass ein Eindringling den Zugang zu unserer elektronischen Post mit unserem Lebenslauf be- kommt. Dies können Projektpläne. ähnliche enthalten (siehe Abbil- Ähnlich sieht die Situation mit Im Netz kann man auch Doku. die personenbezogene ten aus – nachdem ein Einbrecher also geschützte Informationen ent.xls wiederfindet. Dies folgt aus der Tatsache. Leider kommt es vor. enthalten können. Um sie zu entdecken. wie die Listen mit den Nachnamen. vor allem Abbildung 13. die Grundlagen die alle Kalkulationsbögen mit dem sogar Beschreibungen des Krank. Ziemlich nützlich ist zum Beispiel die Anfra. Wissen und Erfahrung kennen. Phrase Not for distribution oder Namen email. Berichte. Im Internet kann man eine Men- ge von Dokumenten dieses Typs finden. man kann ziemlich Präsentationen und viele andere unserer privaten Informationen zu viele solcher Informationen in Amts. Man kann sie finden. unsere Privatsphäre zu schützen. Beispiele von Anfragen nach Do- in ihnen gespeicherten Kontaktlis. die als Ziel haben. sein. dass fast alle Internet-Benutzer verschiedene elektronische Adressbücher erstel- len – für einen durchschnittlichen Eindringling sind sie von geringer Bedeutung. Es reicht. Dokument Telefonnummer. weil sie ge: filetype:xls inurl:"email.org hakin9 Nr. Ähnlich wie im Falle der Pass- unserer Freunde auszugeben. Ausbildungsverlauf. Personenbezogene Daten und sensible Dokumente Sowohl in der EU als auch in den Vereinigten Staaten existieren ent- sprechende Rechtsregelungen. muss man die folgende Anfrage stellen: intitle:"curriculum vitae" "pho- ne * * *" "address *" "e-mail". das wir während der Suche nach Arbeit abgeschickt haben. Es ist auch einfach die Daten. haltungsklausel versehen wurden. Tele- fonnummern und E-Mail-Adressen zu finden (Abbildung 11). Gerichtsschreiben oder sehr oft das Wort confidential.xls". 4/2005 . Mittels der Suchmaschine gefundenes geschütztes dann lernt er unsere Adresse. dokumenten aller Art finden – Poli. kumenten. heitsverlaufs. dung 12). dass sensible Dokumente aller Art mit unseren Daten an öffentlich zugängliche Orte gelegt oder durch das Netz ohne entsprechende Ver- schlüsselung geschickt werden. um die Bekanntmachung interessant ist. halten. ver. Geburtsdatum. Via Google gefundene Konfigurationsseite eines HP- wenn sie Kontakte im Bereich eines Druckers Unternehmens betreffen. Tabelle 7 enthält ein paar den Instant Messengern und den mente finden. Was schiedene Fragebögen. Dokumente eines Unternehmens verhindern. kann er versuchen. wörter.hakin9. Daten oder sensible Informationen so eine Aufstellung erreicht hat. zeiberichte. Abbildung 12. aber schon ein ge- schickter Soziotechniker wird wis- sen. können wir ausschließ- 24 www. sich als einer technische Dokumentationen. die mit einer Geheim. wie man in ihnen enthaltene Daten verwenden kann.

Finanzaufstellungen und Kreditkartennummer enthalten können intitle:"Index Of" -inurl:maillog maillog size maillog-Dateien. "Host Vulnerability Summary Report" Penetrationstesten etc. Abbildung 13 stellt die im folgung der Vorschriften bearbeiten Systeme innerhalb oder außerhalb Netz gefundene Konfigurationsseite und einführen.xls-Dateien. eines Druckers dar. und dann zur Durchfüh.shtml Axis Axis-Webcams SNC-RZ30 HOME Sony SNC-RZ30-Webcams intitle:"my webcamXP server!" inurl:":8080" über die WebcamXP Server-Applikation verfügbare Webcams allintitle:Brains. Suche nach personenbezogenen Daten und sensiblen Dokumenten Abfrage Resultat filetype:xls inurl:"email.xls finances. eher als Spaß betrachten.xml Kontaktliste des Trillian-Messengers filetype:ctt "msn" Kontaktliste des MSN-Messengers filetype:QDF QDF Datenbank des Finanzprogramms Quicken intitle:index.LCDispatcher HP-Drucker intitle:liveapplet inurl:LvAppl Canon Webview-Webcams intitle:"EvoCam" inurl:"webcam.of mystuff. die Informationen über Bank- konten. Raubüberfall). nach Druckern und Webcams enthält und Konsequenzen für die Nichtbe.html" Evocam-Webcams inurl:"ViewerFrame?Mode=" Panasonic Network Camera-Webcams (intext:"MOBOTIX M1" | intext:"MOBOTIX M10") intext: Mobotix-Webcams "Open Menu" Shift-Reload inurl:indexFrame. Firmen und Institutionen Schutz von Geräten wie Netzdru." "printer status" PhaserLink-Drucker inurl:"printer/main. es nicht schwer sich eine Situation sen) entsprechende Reglements. So kann ein schlecht geschützter vorzustellen. Anfragen Verhaltensweisen. Verantwortung werden.hakin9. Internet. Camera über die mmEye-Applikation verfügbare Webcams intitle:"active webcam page" Webcams mit USB-Interface hakin9 Nr. 4/2005 www. n Tabelle 7. ckern oder Webcams nicht ernst. der Bedeutung sein könnten (Industrie- formationsverkehr bestimmende zuerst von einem Einbrecher erobert spionage. die E-Mails enthalten können "Network Vulnerability Assessment Report" Berichte über die Untersuchung der Netzsicherheit. rung eines Angriffs gegen übrige Tabelle 8. Corp.xls" email.of finances. Charakteristische Zeichenfolgen für Netzgeräte Anfrage Gerät "Copyright (c) Tektronix. Inc. Drucker ein Zufluchtsort sein. filetype:pdf "Assessment Report" "This file was generated by Nessus" Tabelle 8. die die Daten mit Telefonnummern und Adressen enthalten können "phone * * *" "address *" "e-mail" intitle:"curriculum CV-Dokumente vitae" "not for distribution" confidential mit der confidential-Klausel versehene Dokumente buddylist. Google hacking lich Vorsichtsmaßnahmen treffen Netzgeräte Webcams sind selbstverständlich und über die veröffentlichten Daten Viele Administratoren nehmen den nicht so gefährlich. in der solche Daten von Prozeduren und den inneren In.org 25 .html" intext:"settings" Brother HL-Drucker intitle:"Dell Laser Printer" ews Della-Drucker mit der EWS-Technologie intext:centreware inurl:status Drucker Xerox Phaser 4500/6250/8200/8400 inurl:hp/device/this. jedoch ist sollten (in vielen Fällen sogar müs. man kann sie herrschen.blt Kontaktliste des AIM-Messengers intitle:index.xls-Dateien. des Netzes dienen kann.