Google als Vehikel für Web-Attacken

Eine der vielen bizarren Internet-Welten baut sich vor einem auf, wenn man sich mit Google als Hilfsmittel für Angriffe auf Web-Seiten beschäftigt. Das scheint so gut zu funktionieren, dass selbst die McAfee-Tochter Foundstone vor wenigen Wochen die Version 2.0 ihres so genannten Sitedigger vorgestellt hat. Das kostenlose Tool durchsucht den Google-Cache nach sicherheitsrelevanten Informationen auf beliebigen Websites und gilt deshalb bereits als aktuelles Lieblings-Tool der von jedem verabscheuten Skript-Kiddies.

Laut McAfee kann der Sitedigger selbst vertrauliche Firmendaten wie Gehaltsauszüge, Passwörter und Konfigurationsseiten für diverse CMS aufspüren. Das hilft zum einen den Leuten mit den weißen Hüten Sicherheitslücken zu finden und zu stopfen, zum anderen auch böswilligeren oder schlicht vehement neugierigen Menschen.

Neben Programmen wie Sitedigger gibt es mittlerweile auch zahlreiche Viren und Würmer, die den Google-Cache als nützliche Informationsquelle über schlecht konfigurierte oder veraltete Websites benutzen. Ein typisches Beispiel für dieses Phänomen ist der Wurm Santy.I, der im vergangenen Dezember zum ersten Mal auftauchte. Santy.I durchsucht Google und Yahoo nach Websites, die das kostenlose Forensystem phpBB benutzen. Hat er ein potenzielles Ziel gefunden, versucht er die Sicherheitslücke PHPBB Remote URLDecode Input Validation vulnerability auszunutzen und die entspreche Site zu manipulieren. Anmerkung: phpBB ab Version 2.0.11 enthält die Sicherheitslücke nicht mehr.

Wie sich Google gegen automatisierte Abfragen schützt, kann man selbst sehen, indem man zum Beispiel den Suchbegriff „inurl:admin.php“ eingibt. Die erste Ergebnisseite sieht noch ganz normal aus, auf Seite zwei gibt Google jedoch dann folgende Warnmeldung aus:

Der Hinweis auf eine Infektion mit einem Virus oder Wurm ist natürlich Quatsch, weil wir die Seite ja selbst angefordert haben. Dass Google hier nur ein relativ simples Skript einsetzt, lässt sich leicht überprüfen, indem man zum Beispiel nach „inurl:admin.PHP“ sucht. Dieser Suchbegriff funktioniert nämlich (derzeit) tadellos.

So weit, so gut. Deutlich ausführlicher hat sich Johnny Long (der heißt nicht wirklich so, oder?) in dem vor kurzem bei O’Reilly erschienenen Buch „Google Hacking for Penetration Testers“ mit der Thematik auseinandergesetzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.