GOOGLE HACKING - ANGRIFF UND ABWEHR, (C) MARIA MODLY, 2009

Google Hacking Angriff und Abwehr

Maria Modly
AbstractIn diesem Paper werden Angriffstechniken, sowie Abwehrmoglichkeiten gegen Google Hack-Angriffe beschrieben. Zum grossten Teil wird das Hauptmerkmal auf verschiedene Aspekte von Google Hacks gelegt, danach wird der Teil Abwehrmoglichkeiten gezielt behandelt und Vorkehrungsmassnahmen ausgearbeitet. Dieses Paper soll dem Verstandnis von einfachen Hackangriffen durch Suchmaschinen dienen, und das immer aktueller werdende Thema GOOGLE naher bringen. Index TermsGoogle Hacking, Hacking, Security, Internet Security, Abwehr, Hacker.

E INF UHRUNG
IESES

Kapitel besch ftigt sich mit der a Einfuhrung in Google Hacks: wie sie verstanden werden sollen, welche Informationen mit solchen Hacks gefunden werden konnen und wie die Suchmaschine Google grundle gend funktioniert. Es wird ein kurzer Uberblick uber die Funktionsweise von Suchmaschinen, so auch Google, gegeben und, wie erweiterte Operatoren in Such-Queries funktionieren. Es soll gezeigt werden, welche Schwachstellen sich mit Google Hacks nden lassen und, wie man diese Lucken schliesst und sich davor in Zukunft schutzen kann. 1.1 Funktionsweise von Suchmaschinen Um sich gegen einen Angriff zu schutzen, sollte man Kenntnis uber die Angriffstechniken haben. Um Angriffstechniken anwen den zu konnen, ist wiederum ein Grundwis sen uber die Anatomie und Funktionsweise der konkreten Sache, in diesem Fall sind es Suchmaschinen, notwendig. In diesem Kapitel wird deshalb kurz auf die Funktionsweise von moderneren Suchmaschinen eingegangen. Die g ngigen Suchmaschinen, die es heute a am Markt gibt, so auch Google, bestehen unter anderem aus Komponenten wie der Schnittstelle zum Benutzer (GUI), Algorithmen, Datenbank(en), Indexer, Robot (Spider, Crawler, Bot...) und noch weiteren.

Der Robot ist ein automatischer Webbrowser, der Webseiten aufruft und deren Inhalt analysiert und diese nach bestimmten Kriterien ablegt. Dieser bestimmt auch die Listenposition (Eintr ge, die Google als Suchergebnis a pr sentiert). a Das System des Indexer hat die Aufgabe, die vom Robot gesammelten Daten, nach bestimmten Schlusselwortern zu durchsuchen. Sollte es Links von der Seite zu anderen geben, wird der Spider angewiesen, auch diese zu erfassen, gibt es keine mehr, so ist der Crawlvorgang beendet. Bei einer Suchanfrage wird der inverse In dex nach Schlusselwortern durchforstet und diejenigen Seiten zuruckgegeben, in denen es einen Treffer gibt. Es werden unter anderem fur das Ranking Algorithmen verwendet, das dann dem Benutzer nach Beendung des Suchvorgangs pr sentiert a wird [2]. 1.1.1 Googles wichtigste Elemente Zu Googles wichtigsten Elemente zhlen: der Google Bot, der Google Index, der Google Cache und die Google API. Hier ein kurzer Uberblick, welcher zum Verst ndnis der a weiteren Kapitel beitragen soll [1]: Google Bots: Dies sind Programme, die auf den Servern von Google laufen, welche das Internet

GOOGLE HACKING - ANGRIFF UND ABWEHR, (C) MARIA MODLY, 2009

durchforsten und als W chter bzw. Sp her a a von Google gelten. Sie durchsuchen Websites und folgen deren Links zu anderen Websites, die sie wiederum durchforsten, um so zu den Daten zu kommen, die Google sp ter sammelt a und indexiert. Google Index: Die Daten, die durch die Google Bots gefunden werden, werden hier mit Indexes versehen. Jede Website wird einem (bestehenden) Index zugewiesen. Wenn man also eine Google Suche ausfuhrt, entsprich diese Query dem Index. Man sucht also immer nach dem Index. Hier gibt es auch den Begriff PageRank, dies ist ein Algorithmus indem Google ahnliche bzw. gleiche Websites miteinander verbindet und diese wiederum mit anderen, ahnlichen Suchbegriffen, assoziiert. Google Cache: Die Google Bots bringen als Resultat eine Kopie der Websites, die sie gefunden bzw. durchforstet haben. Diese Kopie beinhaltet den Text der jeweiligen Website im Index (auch HTML, DOC, PDF, PPT usw.) jedoch in einer Grosse von 101k. Grossere Dokumente werden zwar auch indexiert, jedoch nur die ersten 101k deren Texts. Bilder, Style Sheets, Skripts und Code, werden nicht in den Cache aufgenommen.

G OOGLE H ACKING

In diesem Kapitel wird beschrieben, was den Unterschied zwischen einer einfachen und erweiterten Suche ausmacht und warum die erweiterte Suche fur angreifbare Webserver gef hrlich ist. a 2.1 Warum Google-Hacks Wenn man einen Suchbegriff eingibt, fur den es zB. 3.000 Ergebnisse gibt, kann man dennoch nur die ersten 1.000 einsehen, sollte sich das gewunschte Ergebnis an Stelle 1.001 benden, muss man die Query fur die Suche neu gestalten, da man nur bis zum 1.000sten Ergebnis Zugriff hat. [1] Aus diesem Grund wird versucht, die Suche mittels spezieller Such-Anweisungen zu pr zisieren, um auf bessere Ergebnisse bzw. a pr zisiere Ergebnisse zu kommen. a

2.2 Googles erweiterte Operatoren Fur diese pr zisiere Suche werden so genannte a Search Directives verwenden, diese werden auch als Google Hacks bezeichnet. Es gibt eine Vielzahl dieser Anweisungen und man ndet diese mittlerweile schon uberall nicht nur in guter Lekture fur Penetration Tests, sondern es gibt schon etliche Websites, in denen sich grossartige Sammlungen von GoogleHacks nden lassen. Eine davon ist von Johnny Long, welche eine enorme Liste an solchen Google API: Dies ist ein zus tzlicher Dienst zur Google-Hacks beinhaltet, diese Liste wird auch a kommerziellen bzw. normalen Google Google Hacking DataBase (GHDB) genannt. [3] Suche uber das Webform. Es wird fur computergesteuerte Suchen verwendet, in 2.2.1 Ausgewahlte Operatoren denen man mittels XML-Requests uber SOAP, Beispiel: Der Standard site:mobilkom.at diesem Beispiel wird die Seite Queries absetzen kann. Jedoch gibt es hier In Einschr nkungen - man braucht hierfur einen www.mobilkom.at nach Pressemitteilungen a Google API Key, welcher dann mit jeder des Standards durchsucht. Der Operator Query, die abgesetzt werden soll, mitgeschickt site wird durch einen Doppelpunkt vom werden muss (hierfur ist auch ein Google- Parameter mobilkom.at getrennt, was die Account notwendig). Die Suche beschr nkt Funktionsweise der erweiterten Operatoren a sich auf 1.000 Suchanfragen pro Tag und jeder n her bringen soll. a User (also Google-Account) bekommt nur 1 Nun eine kurze Ubersicht, uber die wichtigsten Key zugewiesen. [5] Operatoren [4]: Intitle / Allintitle: Hier werden Seiten als Ergebnis geliefert,

GOOGLE HACKING - ANGRIFF UND ABWEHR, (C) MARIA MODLY, 2009

die den Parameter im Seitentitel enthalten. Beispiel.: intitle:index of cong les hier erh lt man alle Seiten, die im Titel a den Text index of und zus tzlich cong a les irgendwo auf der Seite enthalten. Beim Operator allintitle mussen beide Begriffe im Titel der Seite vorhanden sein.

Ein nicht zu verachtender Punkt stellt zB Social Engineering dar, denn hat man einmal den Jargon einer Firma uber ihre Website erforscht und ndet man dann noch Partner oder sogar Angestellte mit Kontaktdaten, konnte man somit auch leicht einen Social Engineering Angriff starten [1].

Allintext: 3.1 Verzeichnisse Hier kann man nach Wortern suchen, die nur Durch die Suchanfrage intitle:index of ndet im Seitentext selber vorkommen sollen. man etliche Verzeichnislisten, die zum grossten Teil schlecht bis gar nichtgesichert sind, da Weitere Operatoren:: in deren Titel zumeist Index of steht. Viele Site, Filetype, Link, Inanchor, Cache, Numrange, Administratoren berucksichtigen hier nur sehr Daterange, Info, Related, Author, Group, Insubject, schlecht oder teils gar nicht die Rechtevergabe Msgid, Stocks, Phonebook, rphonebook, bphonebook an anonyme Besucher, oder haben teilweise usw. Dateien auf ihren Webservern liegen, die nicht fur die breite Offentlichkeit gedacht sind. So ist Weiters kann man Verknupfungen von es ein Kinderspiel, solche Verzeichnisse nach Parametern mittels logischen Operatoren nutzlichen Daten zu durchforsten. Oft nden wie +, OR, AND, -, . , * oder einer Pipe sich in den Verzeichnissen sogar Passwortvornehmen. [4] dateien oder sonstige User- und Firmeninformationen. Man konnte hier gezielt nach Passwortdateien 3 H ACKER S TOOL G OOGLE suchen oder, gezielt nach Kongurations Google kann zwar nicht fur einen direkten dateien fur bekannte Dienste und diese dann Angriff auf eine Website verwendet werden, auswerten, um nach moglichen Angriffslucken jedoch bietet es sehr gute Moglichkeiten fur das zu suchen. Erkunden und Erforschen von Opfern (WebEin weiterer Schwachpunkt sind Backupsites, Webserver usw.). Dateien. Sucht man nach intitle:index of conMit Hilfe von Google kann man ganz le g.php konnte man zwar Datei nden, in degal durch das Benutzen des Google Caches, nen Verbindungspassworter und globale Vari wichtige Informationen uber sein Opfer nden, ablen gespeichert sind, oft aber erh lt man a dies erfolgt zumindest einigermassen anonym, beim Aufruf solcher Dateien weder Passworter es gibt jedoch gewisse Punkte, in denen kein noch hilfreiche Infos. Eine Abhilfe hierbei Garant fur die Anonymit t mehr gegeben wera schafft die Suche nach deren zugehorigen .bak den kann, zB. beim Laden von Bildern, wird Dateien. Sucht man nach solchen (intitle:index man auf die externen Referenzen, sprich of +cong.php.bak), erfolgt eine Textbasierte originale Website verwiesen. Dem kann man Darstellung durch den Webbrowser, so konnen wiederum durch einen kleinen Trick auswe dann teilweise sogar Passworter im Klartext ichen, indem man die URL kopiert, diese dann ausgelesen werden. in einem neuen Browser-Fenster offnet und einen weiteren Parameter &strip=1 der URL am 3.2 Standardbezeichnungen Ende hinzufugt [6]. Man kann durch Google somit Serverver- Ein Angreifer kann nach Textpassagen wie sionen aufspuren, die bekannte Schwach- Test Page for the Appache Web Server, Welstellen aufweisen, um diese dann sp ter aus- come to Windows 2000 Internet Services oder a a nutzen zu konnen. Auch konnen Usernamen, auch nach Ger tebezeichnungen von nicht au a Passworter, Kreditkartennummern, Sozialver- torisierten Ger ten im Netzwerk wie Web sicherungsnummern usw. aufgespurt werden. cams und der gleichen suchen. Fuhrt man

GOOGLE HACKING - ANGRIFF UND ABWEHR, (C) MARIA MODLY, 2009

eine solche Suchabfrage aus, kommt man zu unz hligen Webservern, die noch immer solche a Standardbezeichnungen bzw. Standardeinstellungen beinhalten [1]. In diesem Fall kann man darauf schliessen, dass vielleicht sogar noch Standardpassworter oder sonstige An greifbare Sicherheitslucken bestehen und diese ausnutzen. Eine Angriffsmoglichkeit w re das a Fernsteuern einer Webcam, die als Konguration noch immer die Standard-Login-Daten hat oder einfach als unautorisiertes Ger t im a Netzwerk vorhanden ist. Ein Beispiel w re a folgende Google-Suche: inurl:indexFrame.shtml Axis [6].

A BWEHRM OGLICHKEITEN

Da nun gekl rt wurde, welche Moglichkeiten a ein Angreifer hat, um an sensible Daten zu kommen, wird hier auf einige Methoden eingegangen, die Abhilfe in Bezug auf Google Hacks schaffen sollen. Es muss klar sein, dass nicht nur technische Massnahmen alleine fur eine Abhilfe genug sind, man muss auch organisatorische Massnahmen treffen, um wirklich efzient gegen Google-Hacks vorgehen zu konnen. Generell muss ein allgemeines Verst ndnis fur Sicherheit geschaffen werden a und Mitarbeiter sensibilisiert werden. Nur so ist eine gute Abwehrstrategie wirklich von Nutzen. Google Hacks dienen aber auch zum Schutz der eigenen Sicherheit, wenn man diese 3.3 Newsgroups von Anfang an in die jeweiligen Penetration In Newsgroups werden viel zu oft heikle Tests miteinbezieht. Daten von Mitarbeitern preisgegeben, die nach Losungen fur Probleme mit ihren Source Code, oder nach Hilfe bezuglich Kongurationen von 4.1 Interne Policies diversen Softwareprodukten wie Virenscanner Das Erstellen und Verfolgen von Policies ist oder Firewalls uvm. suchen. Weiss man einmal, ein wichtiger Punkt der Sicherheit. Es sollte mit was man es zu tun hat, kann man nach festgelegt werden, welche Informationen am bekannten Sicherheitslucken suchen und diese, Webserver erlaubt sind und welche streng veranhand der Infos dieser Beitr ge, ausnutzen boten sind. a Es soll geregelt werden, wer Daten auf den [1]. Webserver einspielen darf und welche Daten zu sensitiv in Bezug auf Kunden oder die eige3.4 Firmen-Websites nen Firmendaten sind. Eingesetzte SoftwareWebsites enthalten oft mehr Informationen, oder Hardwareprodukte sollten nicht genannt als sie tats chlich preisgeben wollen. Man werden mit eingesetzten Technologien sollte a ndet schnell Kontaktinformationen von ebenfalls gespart werden oder besser noch: auf Mitarbeitern, Firmenjargon, Gesch ftspartner, solche Informationen ganz verzichtet werden. a Fusionspartner, eingesetzte Technologien In den Policies sollte Standpunkt bezuglich und offene Stellenangebote [1]. Zu all den Newsgroups und Mailinglisten bezogen wer Punkten gibt es Schlusselworter wie: Social den, zumindest sollten keine Firmeninternen Engineering und Research for Vulnerabilities. Daten nach aussen getragen werden durfen, sowie heikle Source Code oder TechnoloKennt man einmal Kontaktinformationen und gien Fragen, intern durch Knowledge-Transfer Jargon, kann man durch Social Engineering gelost werden, anstatt sie im Internet so viel erreichen - kennt man die eingesetzten zu posten, dass man leicht Ruckschlusse Technologien, kann man sich nach bekannten auf Sicherheitslucken ziehen konnte, oder sogar Fremdcode durch sogenannte Hilfe einSicherheitslucken erkundigen. Sucht die Firma nach jemanden, der sich mit schleusen kann. einer spezischen Firewall auskennt, kann Nicht nur das Vorhandensein von Security Poliman darauf schliessen, dass die Firma die cies spielt eine Rolle, sondern auch das Ver a Firewall zwar einsetzt, aber zu wenig oder gar folgen dieser. Policies mussen stets vollst ndig kein Personal, mit dem dazu ausreichendem und bekannt sein, sie mussen nicht nur verstanden, sondern auch gelebt werden und es Wissen eingestellt hat [1].

GOOGLE HACKING - ANGRIFF UND ABWEHR, (C) MARIA MODLY, 2009

sollte regelm ige Uberprufungen geben, die die a Einhaltung dieser uberwachen.

wusstsein geweckt wird. Die Mitarbeiter soll ten fur solche Angriffe sensibilisiert werden, um nicht auf eine Stresssituation herein zu 4.1.1 Technische Sicherheit fallen, obwohl es festgelegte Richtlinien gibt. Eine erfolgreiche Konguration von Firewall, Regelm ige Audits w ren fur die Uberprufung a a Virenscanner und auch Verschlusselung ist der Mitarbeiter von Vorteil. in jedem Fall wichtig. Es sollte ein implementiertes Rollen- und Rechtekonzept au4.4 Security Audits iegen, welches vom Administrator eingehal ten werden muss. Systemh rtung ist auch ein Es gibt eine Vielzahl technischer Moglichkeiten, a um der erweiterten Suche von Google zu enwichtiger Punkt, der in Bezug auf Google a Hacks eine Rolle spielt, denn es sollte auch auf tkommen. Prim r sollte man selbst Penetra tion Tests durchfuhren und in diesen auch diesem Gebiet aufgepasst werden. Findet man durch Google Hacking bestimmte Zug nge, die Google Hacking Angriffe auf seinen eigenen a man im eigentlichen Sinn nicht braucht, wie of- Webserver durchfuhren. Findet man diverse fene Ports zu Services, so ist hier eine Tur weit Schwachstellen kann man verschieden damit offen gelassen worden, die fur einen Hacker als umgehen (siehe Interagieren mit Google und Robot.txt). Security Audits spielen dabei eine Einladung gilt. Ein schones Beispiel dafur ist die Suche nach immer groser werdende Rolle, um sein System a intitle:nessus scan report. Gibt man folgendes effektiv zu h rten und vor solchen Angriffen zu schutzen. Beispiel als Suchtext ein, lassen sich zahlreiche Server nden, die einen Security-Check uber Nessus gemacht haben. Schon beim Betra- 4.5 Interagieren mit Google chten des erstens Suchergebnisses kommt man Wurden Schwachstellen durch Security Audits auf offene Ports und diverse Sicherheitslucken bzw. Penetration Tests gefunden, sind die eines Webservers. Daten zun chst vom Webserver zu entfernen, a Durch das Beispiel Nessus sollte auch hier die der Offentlichkeit nicht zug nglich sein a gezeigt werden, dass nicht jedes Tool, vor allem durfen. Die Sicherheitslucken, die durch Internet-Produkte, mit den Daten vertraulich falsche Rollenvergabe und Rechtezuteilung umgehen deshalb sollte vorher abgewogen entstanden sind, sind unverzuglich werden, welche Tools fur spezielle Penetration auszubessern und zu uberarbeiten, sowie Tests verwendet werden konnen. Softwareprodukte, von denen man weiss, dass sie Sicherheitslucken beinhalten zu patchen 4.2 Policies in Bezug auf Partner und dafur zu sorgen, dass man die Lucken Organisatorische Richtlinien sollten erstellt schliesst. werden, die den Kommunikationsweg mit den Hat man die Sicherheitsprobleme am Server Partnern regeln. Zumindest gibt es in den meis- gelost, so kann man entweder warten bis ten F llen eine IT-Abteilung, welche berechtigt Goolge Bot die Seite wieder besucht oder, a ist, IT-Fragen zu beantworten oder zu bear- was die bessere Methode wegen der Archivbeiten. Sollte es einen Angriff durch Social Funktion von Google ist, Google direkt Engineering geben, bei dem es im Vordergrund anweisen, die URL zu entfernen [1]. steht, ein Passwort zu bekommen, musste die Dies kann man unter der Seite Richtlinie zumindest regeln, dass in Bezug http://www.google.com/support/webmasters auf Passworter, Zugangsdaten und anderen anfordern. Hier ndet sich dann auch ein heiklen Daten, auf die IT-Abteilung zu ver- Unterpunkt, um die URL entfernen zu lassen. weisen ist. Wenn dies erfolgt ist, ist abzuwarten, bis der Google Bot das n chste mal die Seite erfasst, a 4.3 Organisatorisches dann ist man auch wieder unter Google In Bezug auf Social Engineering sollten gezielt vertreten, dies geschieht in der Regel zwischen Schulungen gemacht werden, in denen das Be- 24h und 8 Wochen [2]. Vorsicht ist auch

GOOGLE HACKING - ANGRIFF UND ABWEHR, (C) MARIA MODLY, 2009

geboten bei der Internetseite www.archive.org, es kann sein, dass die Firmen-Website noch immer aufscheint, hier gibt es aber ebenfalls die Moglichkeit die Seite entfernen zu lassen. Ein weiterer Tipp w re www.robotstxt.org, um a die Website auch von anderen Archivseiten und Suchmaschinen entfernen zu lassen [1]. 4.6 Robot.txt Robot.txt ist ein File, welches in das RootVerzeichnis des Webservers kopiert werden muss. Dieses File teilt den Webcrawlern mit, welche Verzeichnisse sie durchforsten und speichern durfen und auf welche Verzeichnisse oder Dateien sie keinen Zugriff haben durfen. Die Kehrseite der Medaille ist aber, das boswillige Webcrwaler hinter solch einer Datei erst den richtigen Clou vermuten [1], [2]. Noindex meta tag: Dies weit den Crawler an, die Webpage nicht in den Index aufzunehmen. Nofollow meta tag: Dies weit den Crawler an, nicht den angegebenen Links zu folgen, um neue Webpages zu nden. Noarchive meta tag: Mit diesem Tag kann die Seite zwar auf Google gefunden werden, jedoch wird sie nicht archiviert. Nosnippet meta tag: Dies speziziert, dass Google nicht Auszuge aus der Page im Suchergebnis anzeigen soll [7].

Besorgen von Informationen leicht Wissen und Vertrautheit vorget uscht werden konnen. a Generell sollte mehr Wert auf eine strengere Sicherheitspolitik gesetzt werden und auch Administratoren sollten sich der Gefahr von Google st rker bewusst werden. a Google Hacking sollte immer mehr in das Gebiet von Penetration Testing integriert werden und die eigene Website bzw. Webserver, in regelm igen Abst nden durch Google Hacks a a gepruft werden. Auch sollten Security Audits in Bezug auf Mitarbeiter immer st rker a forciert werden, da manche Administratoren an diverse Rollenkonzepte und Rechtevergaben bei Webservern nicht denken, weil ihnen die Gefahren durch Google nicht bewusst sind. Hier schaffen gezielte Schulungen und Fortbildungen Abhilfe. Google sollte nicht nur als Spionagetool der Hackerszene gesehen werden, sondern auch im eigenen Betrieb als gutes Hilfsmittel fur die Uberprufung der eigenen Sicherheit verwendet werden.

R EFERENCES
[1] Ed Skoudis, Tom Liston, Counter hack reloaded, 2nd ed., Prentice Hall, Upper Saddle River, NJ, USA, 2005. [2] Dirk Chung, Andreas Klnder, SuchmaschinenOptimierung, 1. Au., mitp, Heidelberg, Deutschland, 2007. [3] http://johnny.ihackstuff.com/ [4] http://www.googleguide.com/advanced operators.html [5] http://code.google.com/apis/ajaxsearch/documentation/ [6] Lisa Lancor, Robert Workman, Using google hacking to enhance defense strategies, ACM, New York, USA, 2007. [7] http://www.robotstxt.org/meta.html

C ONCLUSION

Google ermoglicht zwar keinen direkten Angriff, jedoch wird es immer mehr zur Informationsbeschaffung und Planung eines Angriffs durch Hacker genutzt. Man kommt teils durch sehr einfache Art und Weise, legal an Informa tionen, die fur die Sicherheit der Website sehr heikel sein konnen. Anonymit t wird durch die Cache Funka tion von Google ermoglicht, somit kann ein Aussp hen des Systems nicht immer techa nisch hervorgesagt werden. Auch im Bereich des Social Engineering spielt Google eine immer st rker werdende Rolle, da durch das a