Google Hacks
Beschreibung
Google Hacking oder auch Google Hacks genannt, hat nichts damit zu tun die Suchmaschine oder andere Dienste von Google (Alphabet) zu hacken. Die Suchmaschine von Google ist viel umfangreicher als die meisten Leute glauben. Mit verschiedenen Google Hacks ist es möglich die Suchergebnisse zu optimieren und mehr Informationen aus der Datenbank von Google herausziehen. Nur diese Hacks werden hier beschrieben.
Natürlich gibt es unzählige Google Hacks, die für Hackerangriffe verwendet werden, diese werden hier aus Sicherheitsgründen nicht aufgelistet. Ein einfaches Beispiel ist, ein nicht korrekt gesichertes DB-Backup (*.sql, *.dump) herunterzuladen. Anschließend muss nur der Benutzer mit Administratorenrechte und das dazugehörige Passwort ausgelesen werden (siehe Verschlüsselung).
Mit Hilfe von Google Hacks kann man z. B. folgende Dinge gezielter suchen und finden:
- Zugangsdaten
- Backups
- Mitgliederdaten von Organisationen und Vereinen
- Dokumente die nicht direkt verlinkt sind bzw. auch vertrauliche Dokumente
- Informationen über eingesetzte Serverbetriebssysteme oder Softwareversionen
- Daten über Personen, Firmen usw.
Googlebot
Liefert den Index für die Webseite: technikwiki.org
Liefert den Cache für die Webseite: technikwiki.org
Dateien
Liefert die Suchergebnisse von der Suche "Klimaschutz" und nur Dateien (Adobe Acrobat Reader) mit der Erweiterung pdf.
Liefert die Suchergebnisse von der Suche "Klimaschutz" und nur Dateien (Microsoft Excel) mit der
Erweiterung xls.
Liefert die Suchergebnisse von der Webseite "ec.europa.eu" und nur Dateien mit der
Erweiterung pdf.
Webserver
Apache
Hier werden die Inhalte direkt von dem Webserver wiedergegeben. Er ist in diesem Fall "fehlerhaft" konfiguriert, ansonsten hätte man keinen Zugriff auf den Index. Dieser sollte im Normalfall aus Sicherheitsgründen nicht angezeigt werden! Der Index ist dafür gedacht, verschiedene Dokumente für die Öffentlichkeit zum Download bereitzustellen. Es sollte jedoch keine Webseite darauf laufen (eigenen VirtualHost konfigurieren).
Diese Fehlkonfiguration des Webservers machte sich damals auch Mark Zuckerberg zu nutzen. Er konnte damit die gesamten Fotos von Studentinnen innerhalb kurzer Zeit, mit eigenen geschriebenen Shell-Scripts (CURL) herunterladen. Dadurch war es erst möglich, die Webseite FACEMASH innerhalb einer Nacht online zu stellen. Alles was online zur Verfügung steht, kann logischerweise heruntergeladen werden. Abhängig von der Konfiguration des Webservers und der Webseite, ist dies mit einem unterschiedlichen Zeitaufwand verbunden (Film: The social network).
Liefert die Suchergebnisse bzw. den Index verschiedener Webserver.
Liefert den Index verschiedener Webserver die Musikdateien (*.mp3) enthalten.
Liefert den Index verschiedener Webserver die Videodateien (*.mp4) enthalten.
Tomcat
Liefert die Suchergebnisse wo ein Tomcat Webserver läuft.
Webseiten
Liefert viele Suchergebnisse die mit der CMS-Software Typo3 laufen.
Liefert viele Suchergebnisse die mit der CMS-Software Joomla laufen.
Liefert viele Suchergebnisse die mit der Software MediaWiki laufen.
Datenbanken
Liefert viele Suchergebnisse wo PhpMyAdmin (freie Webanwendung zur Administration von MySQL-Datenbanken) läuft.
Webcams
Liefert zum Teil öffentliche oder auch ungeschützte Webcams.
Logindaten
Hier die Liste der der Standard Logindaten.
Modell | Benutzername | Passwort |
---|---|---|
ACTi | admin | 123456 |
ACTi | Admin | 123456 |
Axis | root | pass |
Grandstream | admin | admin |
IQinVision | root | system |
Mobotix | admin | meinsm |
Panasonic | admin | 12345 |
Samsung Electronics | root | root |
Samsung Electronics | admin | 4321 |
Samsung Techwin (old) | admin | 1111111 |
Samsung Techwin (new) | admin | 4321 |
Sony | admin | admin |
TRENDnet | admin | admin |
Toshiba | root | ikwd |
Vivotek | root | <blank> |
WebcamXP | admin | <blank> |
Aus diesem Grund ist es wichtig, dass die Standard Logindaten (Benutzername/Passwort) geändert werden, auch bei Routern, Netzwerkdruckern, WLAN usw.
Dies gilt nur, wenn das Gerät direkt im Internet steht, dies ist bei einer IP-Kamera meistens der Fall. Ist eine Firewall vorhanden, muss der Port geöffnet werden und beim Router muss die Port-Weiterleitung konfiguriert werden.
Google (Aktien)
Bei Google findet man ebenso alle aktuellen Aktienkurse.
Google (Rechner)
Google ist auch eine hochwertige Rechenmaschine, man kann Einheiten Wechselkurse und vieles mehr umrechnen.
Wie man im letzten Beispiel sehen kann, setzt der Rechner die Klammern selbst. Eine der wichtigsten Regel in der Mathematik ist die Punktrechnung vor Strichrechnung.
Verschiedenes
- intitle:"index of" inurl:/privat
- intitle:"index of" inurl:/backup
- allintitle:secret filetype:doc
- allintitle:secret filetype:odt
- inurl:gov
Verschlüsselung
Ein Backup sollte nicht online zur Verfügung stehen. Trotzdem ist es ratsam, die Passwörter sowie die gesamte Datenbank zu verschlüsseln. Zusätzlich kann man auch das komprimierte Backup mit einem Passwort absichern. Da Google bereits über gigantische Hashtabellen verfügt, gilt der MD5-Hash nicht mehr als sicher! Deshalb sollte der Nachfolger SHA-2 verwendet werden.
Nur wenn selbst der Administrator die Passwörter nicht entschlüsseln kann, gilt die Datenbank als sicher. Wird die gesamte TW-Datenbank kopiert, kann der Hacker trotzdem mit diesen Daten nichts anfangen.
Das gleiche Prinzip gilt auch bei Bankomatkarten. Es muss eine neue Karte beantragt werden, wenn der PIN verloren geht. Der IT-Administrator der Bank, kann den verschlüsselten PIN in der Datenbank auch nicht entschlüsseln.
Zum besseren Verständnis drei Beispiele aus der Praxis.
- Die Einwegverschlüsselung ist wie ein Papier-Telefonbuch, kennt man den Namen, findet man schnell die dazugehörige Telefonnummer. Kennt man jedoch nur die Nummer, findet man nur mit gigantischem Zeitaufwand den dazugehörigen Namen.
- Ein Einbrecher der die Marke sowie den Typ des Türschlosses kennt, kann nicht den dazu passenden Schlüssel nachmachen.
- Ein Haustürschlüssel der irgendwo auf der Welt verloren geht, ist kein Sicherheitsrisiko. Derjenige der ihn findet, kennt nicht das passende Türschloss.
Tipp
Wird eine Webseite mit einer Open-source Software (OSS) wie z. B. MediaWiki, Typo3, Joomla usw. verwendet, ist es ratsam die aktuell installierte Version nicht anzuzeigen. Typo3 verlor wegen einer schweren Sicherheitslücke (Exploit) an Beliebtheit. Mit diesem Exploit konnte man bei älteren Versionen die Konfigurationsdatei "LocalConfiguration.php" herunterladen, mit den darin enthaltenen Datenbankverbindungen.
Auch wenn die Datenbank nur über "localhost" erreichbar ist, ist es trotzdem möglich Zugriff zu erhalten. Da meistens auf demselben Server viele Webseiten laufen, ist es wahrscheinlich, dass auch ein phpMyAdmin darauf läuft. Eine zusätzliche Sicherheit bietet direkt der Apache Webserver an. Dort ist es möglich eine Authentifizierung mit Hilfe einer sogenannten ".htaccess Datei" einzurichten (Technik Wiki - Validation).
Einen Bot zu erstellen, der die gelieferten Typo3-Webseiten von den Suchergebnisse parst, und die Meta-Tags herausliest ist für einen Informatiker ein Kinderspiel. Man erhält eine Liste mit Webseiten, die diese Sicherheitslücke beinhalten.