Google-Hacking

Hacken mit Suchmaschinen

29.9.2011 von Wolf Hosbach

Passwortlisten, Kontolisten, Businesspläne und geheime Blaupausen - vieles steht im Web, was nicht dort hingehört. Mit Google lässt es sich finden.

ca. 2:10 Min
Ratgeber
VG Wort Pixel
  1. Hacken mit Suchmaschinen
  2. Interview mit Sicherheitsexperte Boris Koch
google, hacks
google, hacks
© Archiv

Kein Hacker kommt ohne Suchmaschine aus. Das gilt zum einen für gezielte Angriffe, bei denen er Informationen über eine Person oder Firma sucht, um ihm das Eindringen in ein System zu erleichtern.

Auf diese Weise finden heutzutage die meisten professionellen Angriffe statt: Der Hacker nimmt eine Person ins Visier, versucht so viel über sie herauszubekommen, wie es nur geht, und schickt ihr dann gezielt eine persönliche Mail, beispielsweise mit einem vertrauten, aber vermeintlichen Facebook-Link, der einen Trojaner lädt.

Über die Suchmaschine findet er Durchwahlen, Firmen-Organigramme, Personennetze und bestenfalls interne Dokumente, die ins Web durchgesickert sind.

Auf Suchmaschinen greifen zum auch Skript-Kiddies zurück, die ziellos nach Opfern und Ressourcen suchen, bis sie auf etwas Interessantes stoßen. Für diese Taktik hat sich der Begriff Google-Hacking eingebürgert, obwohl nicht immer Google zum Zuge kommt, spannende Ergebnisse liefern auch FTP-Suchmaschinen wie Napalm.

Viele Dinge finden sich im Web, die eigentlich nicht für die Öffentlichkeit bestimmt sind, aber aufgrund von Konfigurationsfehlern oder menschlicher Unachtsamkeit einen Link erhalten haben. Ist der Link einmal da, gehen die Roboter der Suchmaschinen hinterher und indizieren alles ohne Rücksicht auf Verluste.

Nicht nur Web-Server sind erwartungsgemäß betroffen, sondern auch Web-Cams, WLANs oder private NAS-Laufwerke, die oft mehr Dienste laufen haben, als der unerfahrene Besitzer erwartet, und zwar offen oder nur mit Standard-Passwort gesichert (siehe Interview).

Ein beliebtes Beispiel ist die Suche nach Verzeichnissen. Normalerweise zeigt ein Webserver diese nicht an, aber oft ist er falsch konfiguriert und veröffentlich eine Seite Index of /xyz. Das lässt sich finden. Mit einer gezielten Erweiterung des Suchbegriffs kommt man vielen Schätzen sehr nahe:

intitle:"index of" +austra +mp3

ähnlich wirkt:

intitle:"FTP root at"
Napalm
Die Suchmaschine Napalm ist auf freiwillig oder unfreiwillig geöffnete FTP-Server spezialisiert.
© PC Magazin

Interessant ist auch die Suche nach bestimmten Dateien, die ins Web geschlüpft sind, zum Beispiel Admin.xls, Passwd.txt etc. So lassen sich auch Formulare und Dokumente mit immer wiederkehrenden Elementen wie medizinische Berichte finden.

Das gleiche gilt für Fehler- oder Konfigurationsseiten von Web-Programmen wie MySQL, die auf Sicherheitslücken schließen lassen ("Host Vulnerability Summary Report").

Hier muss der Anwender aber aufpassen, denn das Eindringen in fremde Computersysteme ist nach deutschem Recht verboten und wird bestraft. Aufpassen muss er auch mit Spam, Trojanern und bösen Scripten, denn auch die Internetmafia hat Google-Hacking-Suchen für sich entdeckt und stellt bösartige Seiten unter diesen Begriffen bereit.

Ferner gibt es Tools, die die Sucharbeit erleichtern: Das Google Hacking Diggity Project (www.stachliu.com/resources/tools/google-hacking-diggity-project/), McAfee Site Digger (www.mcafee.com/us/downloads/free-tools/sitedigger.aspx) oder der Goolag Scanner von Cult of the Dead Cow (www.goo lag.org). Weitere Informationen und Beispiele finden sich in der Google Hacking Database: www.hackersforcharity.org/ghdb/ .

Download: Tabelle

Google und andere Suchmaschinen arbeiten mit Suchparametern, die die meisten Anwender nicht kennen, die für das Hacken aber unerlässlich sind. Mit ge-schickten Kombinationen kommt man am besten zum Ziel. Auf unserer Heft-DVD finden Sie eine lange Liste mit weiteren Beispielen.

Mehr lesen

Chronologische Liste und Netflix-Links

Marvel-Filme- und -Serien: Das ist die richtige Reihenfolge

Neuerscheinungen in der Übersicht

Netflix: Neue Filme und Serien

Vorschau auf Film- und Serien-Highlights

Amazon Prime Video: Neuheiten

Weiter zur Startseite  

Mehr zum Thema

Software Installation

Computer ohne Werbung

Adware vermeiden: Mit diesen 5 Tipps bleibt Ihr PC sauber

Wer unachtsam Programme installiert, kann sich schnell unerwünschte Software-Parasiten einfangen. Wir geben 5 Tipps, wie Sie Adware vermeiden.

Spam-Mails

Sicherheit

Phishing-Mails erkennen: 6 Tipps gegen E-Mail Betrug

Betrüger versenden E-Mails, die es auf Ihre Daten und Ihr Geld abgesehen haben. Wie Sie Phishing-E-Mails erkennen und sich schützen.

Sicherheit im Urlaub

Sicherheit im Urlaub

Diebstahlschutz, offene WLANs & Co.: 8 unverzichtbare…

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.

Mann kommt aus dem Laptop und ballt die Faust

Trolle im Internet

Strategien gegen Störenfriede im Netz

Trolle vergiften die Diskussionskultur im Internet - Mit diesen Strategien entledigt man sich der Störenfriede endgültig.

Facebook-Betrug mit Fake-Profilen

Gefälschte Facebook-Konten

Facebook-Betrug mit Fake-Profilen - wie Sie sich und Ihre…

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…