Nicht falsch verstehen – hier geht es nicht darum, daß Google selbst gehackt werden kann, sondern darum, daß es immer häufiger wird, daß potentielle Malware Opfer über Google gesucht werden.

Dies nennt sich dann “Google Hacking” und ist soweit auch nichts wirklich Neues, da Hacker schon immer Suchmaschinen genutzt haben, um potentielle Sicherheitslücken zu finden.

Es wird beispielsweise zur Verbreitung von Würmern (z.B. dem Wurm Santy.a) einfach automatisiert über Google nach bestimmten Versionen der Open Source phpbb Forensoftware gesucht, welche die geeignete Angriffsfläche bietet um den Wurm einzuschleusen.

Aufgegriffen wurde das Thema nach der RSA Conference in San Jose. Das Interview mit George Kurtz, dem Senior Vizepresident für Risk-Management bei McAfee, bei vnunet.com unter der Headline:”Worms turn on Google to hunt for victims“.

Wenn nicht klar ist, ob die eigene Website sicherheitsrelevante Daten (wie z.B. Logfiles, CGI´s etc.welche eine mögliche Angriffsfläche für Hacker bieten könnten) offenlegt, sollte die Site mal mit einer Software wie dem Gooscan Google Scanner oder dem Sitedigger überprüfen.

Bitte beachten, daß die Software “Gooscan” den Google-Index automatisiert ohne API abfragt – dies ist von Google in dieser Form nicht erwünscht, bitte die Readme vor der Nutzung dazu lesen.

Das Tool “Sitedigger” ist hier “ungefährlicher” im Bezug auf die Google-Vorgaben, da es die Google-API Abfrage nutzt – allerdings muss man sich die API ggfls. erst besorgen (hier kostenlosen Google Account und API Lizenz-Key beantragen) und für die Installation der Software “Sitedigger” zusätzlich das Microsoft .NET Framework installieren.

Wer sich immer noch nicht richtig vorstellen kann, auf welchem Wege man Passwörter, Sozialversicherungsdaten und sonstige vertrauliche Informationen sehr einfach über Google finden kann, sollte sich unbedingt mal die Beispiele mit Screenshots unter “Things you don´t want Google to find” auf siliconvalleysleuth.com anschauen. Ich hoffe das sensibilisiert den ein oder anderen etwas ;-)

Weil es gerade zum Google Hacking passt, noch etwas anderes, was man auch schon lange über Google finden kann, ohne daß sich besonders viele darüber im Klaren zu sein scheinen: private aber auch Firmen-Webcams. Mögliche aktuelle Suchabfragen werde ich dazu hier nicht posten, sollen die daran interessierten Spanner doch selber rauskriegen … ;-)

Ist zwar schon ein “sehr alter Hut” aber offensichtlich immer noch häufig von Webcam-Betreibern ignoriert und erst kürzlich mal wieder in der PC-Welt Printausgabe unter der reisserischen Titelzeile: “PC-WELT 3/2006 am Kiosk: Alles sehen, was andere treiben” für “potentielle Spanner und Kriminelle” neu aufbereitet.

Um Google Hacking auf eigenen Websites zu verhindern, sollte man auf jeden Fall die Robots.txt (hier ein einfacher online Robots.txt-Generator) nutzen, um Suchmaschinen-Robots auszuschliessen.

Wer bereits eine Robots.txt nutzt, kann in einem Robots.txt Validator die korrekte Funktion & Syntax der Datei überprüfen und dort bei Seachengineworld noch viele weiterführende Infos zur Robots.txt Datei finden.

Hierbei sperrt man einfach die entsprechenden Ordner mit den sensiblen Daten. Da sich leider nicht alle Robots regelmässig an die Robots.txt Vorgaben halten, empfiehlt sich bei wirklich wichtigen Daten, dies in Verbindung mit einem Passwortschutz für die Online-Bereiche einzusetzen, um die Indizierung von vertraulichen Dokumenten durch Google und andere Suchmaschinen komplett zu verhindern.

Andere Beiträge mit ähnlichen Inhalten, die Dich evtl. auch interessieren könnten:

• Google & die robots.txt confusion
• neue Google Sitemaps Funktion, robots.txt Tool imitiert Googlebot
• robots.txt Spam Emails
• Google ignoriert robots.txt & spielt Sprachwirrwarr
• Google Index = Schrottabladestelle oder Panda Update?
• Google unterstützt den noodp-Metatag !
• Suchmaschinen-Robots Besuche auswerten