“Legales Hacken dank Google” (synergetic.ag)

Ein paar einfache Beispiele zeigen, wie dies möglich ist. Mit dem Parameter „filetype:xls” in Kombination mit dem Schlüsselwort „Mail” lässt sich bei Google z. B. gezielt nach Excel-Dokumenten suchen, die das Wort „Mail” beinhalten. So erscheint mit nur einem Mausklick bei Google eine Vielzahl von Excel-Dokumenten, in denen sich E-Mail-Adressen verbergen: Insgesamt bekam die synergetic AG mit dieser Testeingabe 641.000 Treffer angezeigt.

Ich will der synergetic AG ja nicht den Spaß verderben, aber “641.000 Treffer” bedeutet nicht das in allen Dokumenten wirklich verwertbare E-Mail-Adressen zu finden sind.

Etwas sinnvoller wären Anfragen wie z.B.:

• ext:xls gmx | web.de | gmail | t-online (50.900 Ergebnisse)
• ext:xls gmx | web.de | gmail | t-online handy | mobil (2.480 Ergebnisse)
• ext:xls gmx | web.de | gmail | t-online frankfurt (5.450 Ergebnisse)

Das sind zum einen nicht so monstermäßig viele Ergebnisse und die Wahrscheinlichkeit das etwas brauchbares dabei ist ist sehr hoch – denn Quantität != Qualität.

Jeder sollte mal nach seiner eigenen E-Mail-Adresse oder anderen persönlichen Daten per Suchmaschine suchen und schauen ob auch seine Daten irgendwo für alle Welt bereitgehalten werden.


Die synergetic AG schreibt zwar von “Hobby-Webmastern” aber sehr sehr viele Dokumente, die nicht wirklich für die Öffentlichkeit bestimmt sind, werden von Firmen öffentlich zugänglich auf WebServern gespeichert…

“Ergebnisse 1 – 100 von ungefähr 34.400 für allintitle:index-of intranet.”

Ein Intranet ist ein organisations- oder unternehmensinternes, nicht-öffentliches Rechnernetzwerk, das auf den gleichen Techniken (TCP/IP, HTTP) und Anwendungen wie das Internet basiert und den Mitarbeitern einer Unternehmung oder Organisation als Informations-, Kommunikations- und Anwendungsplattform zur Verfügung steht.

Quelle: de.wikipedia.org


Weiter in der Pressemitteilung:

Sehr beliebt ist auch die Kombination mit Schlüsselwörtern wie „vertraulich”, „geheim” oder „intern” – denn dadurch werden als streng geheim deklarierte Dokumente für jedermann sichtbar.

streng geheim != vertraulich
streng geheim != geheim
streng geheim != intern
streng geheim == streng geheim

Auch hier gilt das weitere Einschränkungen in Form von intitle, inurl, site, etc. sehr hilfreich sind, denn es gibt z.B. unzählige Blanko-Fragebögen zum Download, auf denen aber nur zu lesen ist das die Daten vertraulich behandelt werden.

Die Abfrage „Lebenslauf filetype:pdf” gibt dem User wiederum Einblicke in tausende von Lebensläufen.

Was aber nicht bedeutet das alle diese Lebensläufe nicht öffentlich zugänglich sein sollen, es gibt ja durchaus Menschen denen es egal ist wer über sie was weiß – außer auf dem Lebenslauf steht überall “vetraulich”. :O)


Diese News Pressemitteilung findet man auf openpr.de, pr-inside.com, news4press.com, prcenter.de, offenes-presseportal.de, presseecho.de, … aber auch auf:
“Gefahren durch sorglose Hobby-Webmaster: …” (sashland.de/portal/)
und
“Daten legal hacken dank Google” (tecchannel.de)

Neu ist das Google-Hacking nun wirklich nicht, also haben sich die beiden für PR einspannen lassen (so wie ich<g>).

In der bekannten “Google Hacking Database” (johnny.ihackstuff.com) findet man einige hundert Beispiele. Leider wird die Datenbank nicht mehr gepflegt. Die letzten Einträge sind aus dem Jahr 2006, was bedeutet das viele Queries nicht mehr funktionieren und angepasst werden müssen, aber sie helfen zu verstehen wie man Google dazu bringt etwas brauchbares zu finden und – was viel wichtiger ist, man bekommt eine Ahnung davon was man unternehmen sollte um keine wertvollen Infos an BlackHat-Hacker weiterzugeben.

Wer zu exzessiv Google zum Hacking missbraucht bekommt ein Sorry von Google.


Als Faustregel kann man sagen:
Speichere niemals vertrauliche Daten auf einem WebServer!
…denn Suchmaschinen durchforsten (wenn möglich) auch alle Unterverzeichnisse.

Es gibt zwar die robots.txt (de.wikipedia.org) mit der man Suchmaschinen auffordern kann bestimmte Bereiche nicht in den Index aufzunehmen, aber dies ist nur als Hinweis an den Suchmaschinen-Robot zu verstehen, denn er ist nicht gezwungen sich daran zu halten.

Einem BlackHat-Hacker gibt diese Datei Hinweise auf Bereiche die evtl. für ihn interessant sein könnten. Eine der längsten robots.txt-Dateien hat wohl das Weiße Haus, mit knapp 2300 Einträgen – das ist Para pur. :O)

Und der Bund hat speziell etwas gegen die Bayern…

(…)
User-agent: Bayernsuche
Disallow: /SiteGlobals/
Disallow: /DE/BuB/__Service/
Disallow: /DE/WuW/__Service/
Disallow: /DE/VuI/__Service/
Disallow: /DE/BuB/Behoerden/Kommune/SKG/
Disallow: /DE/WuW/Behoerden/Kommune/SKG/
Disallow: /DE/VuI/Behoerden/Kommune/SKG/
Crawl-delay: 180

User-agent: *
Disallow: /SiteGlobals/
Disallow: /DE/BuB/__Service/
Disallow: /DE/WuW/__Service/
Disallow: /DE/VuI/__Service/
Disallow: /DE/BuB/Behoerden/Kommune/SKG/
Disallow: /DE/WuW/Behoerden/Kommune/SKG/
Disallow: /DE/VuI/Behoerden/Kommune/SKG/
Crawl-delay: 180

Das “User-agent: *” bedeutet das die folgenden Regeln für alle Suchmaschinen gelten, warum die “Bayernsuche” einen eigenen identischen Eintrag bekommen hat bleibt das Geheimnis des WebFuzzis des Bundes. ;O)


Was auch wichtig ist um unerwünschte Blicke in die Verzeichnisse zu unterbinden ist das deaktivieren von Directory Listing, also die Auflistung aller Dateien und Verzeichnisse, wenn keine index-Datei vorhanden ist.

Ist eine Datei im folgenden Pfad gespeichert
www.domain.tld/crm/inhalte/kunden/preisliste/2008/p12.pdf
so wird eine Suchmaschine versuchen alle Verzeichnisse zu durchsuchen:

• www.domain.tld/crm/inhalte/kunden/preisliste/2008/
• www.domain.tld/crm/inhalte/kunden/preisliste/
• www.domain.tld/crm/inhalte/kunden/
• www.domain.tld/crm/inhalte/
• www.domain.tld/crm/
• www.domain.tld/

Wenn das Directory Listing aktiviert ist, eine index-Datei fehlt und auch sonst kein Schutz (z.B. Passwortschutz per htaccess) im Verzeichnis
www.domain.tld/crm/inhalte/kunden/rechnungen/
definiert wurde, so wird die Suchmaschine auch alle Dokumente aus diesem Verzeichnis in den Index aufnehmen. Sollten sich in diesem Verzeichnis nun wirklich Rechnungen befinden, so ist der Daten-GAU und Ärger mit Kunden und/oder Datenschützern vorprogrammiert.

Also nochmal:
Speichere niemals vertrauliche Daten auf einem WebServer!