Newsletter for the 2011 securityzone conference.

1. Intitle: «Search Engine Hacking»
Die Indexierarbeit von Suchmaschinen birgt eine Reihe von versteckten
Gefahren und Sicherheitsrisiken, welche missbräuchlich genutzt, grossen
Schaden anrichten können. Mit einfachen Grundtechniken und erweiterten
Operatoren ist man nur einen kleinen Schritt von Underground Hacking
entfernt.
Suchmaschinen finden fast alles schaffen. Die Suchmaschine
oder zumindest alles, was sie im indiziert das Web sehr aggressiv
Internet zu fassen bekommen. und spürt praktisch jede Datei
Oft genug werden Inhalte inde- auf – ausser sie steht in einem
xiert, die gar nicht für die Öf- durch Passwort oder anderwei-
fentlichkeit bestimmt sind. Aus tig geschützten Bereich einer
Sicht der Unternehmen (und Website. Indiziert werden so
Benutzer) sind sie ein latentes unter anderem Passwortdateien,
Sicherheitsrisiko. Millionen indi- Kreditberichte, Gesundheitsda-
zierter Seiten offerieren eine ten usw.
Vielzahl von Schwachstellen.
Wer schon einmal seinen eige- Theorie, Praxis, Beispiele
nen Namen gegoogelt1 hat,
Dominique C. Brack wundert sich nicht selten, was
Prinzipal Consultant, er alles über sich erfährt. Wer Search Engine
nach Hinweisen oder Referenzen
Reputelligence™
zu seinem eigenen Namen im
Hacking
Internet sucht wird auch als
sogenannter Egosurfer bezeich- So missbrauchen Hacker
net. Suchmaschinen als Späh-
werkzeug!
Mehr dazu im Referat von
Dominique C. Brack am
Montag 10. Oktober um
12.00 Uhr.
Details & Anmeldung hier
…
In Fällen, in denen die Dateien
nicht ausreichend vor der Inde-
Manche Administratoren konfi- xierung geschützt sind, hat die
gurieren ihre Sites so schlecht, Suchmaschine im Grunde schon
dass man nicht einmal einen den Angriff stellvertretend
Exploit benötigt, um sich den ausgeführt. Diese Daten lassen
Zugriff auf das System zu ver- sich als Rohdatenmaterial für
gezieltes Phishing und
1 gegoogelt: Google rät von der Verwendung
verschiedene Betrugsversuche
des Wortes Google als ein Verb ab. Die erste nutzen. Die Eintrittsbarriere für
aufgezeichnete Nutzung von Google als ein das Suchmaschinen-Hacking ist
Verb war am 8. Juli 1998, durch den Google-
Gründer Larry Page selbst, der in einer Mai-
gering, so dass sich in diesem
lingliste schrieb: Have fun and keep googling! Bereich vor allem «Skript-
Kiddies» tummeln, die unterste
1

2. tummeln, die unterste Stufe in Selbstverständlich können Ya- | Mit dem Pipe Symbol können
der Hacker-Hierachie. hoo! und Bing in der gleichen Begriffe getrennt werden (ent-
Weise wie Google miss- oder weder das eine oder das ande-
gebraucht werden, um ein- re), z.B. "Security + Zone | Zü-
schlägige Informationen aufzu- rich".
spüren. Um bei der grössten "" Mit Anführungszeichen wird
Suchmaschine zu bleiben, neh- die exakte Phrase gesucht, z.B.
me ich Google als Basis, um ein "John Kennedy" ! John Fitzge-
wenig tiefer in das Thema ein- rald Kennedy würde nicht an-
zutauchen. gezeigt, da das Fitzgerald stört.
Grundregeln: ~ Mit der Wellenlinie kann nach
ähnlichen Begriffen oder Sy-
Die Hacker Hierarchie Standardmässig übergeht die nonymen gesucht werden, z.B.
Suchmaschine aus Geschwin- “~hacking”
Skript-Kiddies und Security- digkeitsgründen die Stopp-
Experten haben verschiedene Wörter, weil sie in der Regel für * Der Stern wird auch Wildcard
Vorgehensweisen, Tools und die Suche unwichtig sind. Suche genannt, damit kann
Werkzeuge zur Erfüllung ihrer Stoppwörter sind kleine, kurze man Begriffe ersetzen, die nicht
Aufgaben. Eines der Werkzeuge, Wörter wie beispielsweise Arti- bekannt sind, z.B. "Pizza ohne
das wahrscheinlich beide ver- kel. Sie werden von Google in *"
wenden, ist die Suchmaschine. der Einzelwörtersuche ignoriert.
Natürlich lässt sich Suchma- Auch Satz- und Sonderzeichen .. Mit zwei Punkten kann eine
schinen-Hacking auch zu Zwec- wie @#$%^&*()=+] werden «von – bis»-Suche gestartet
ken der Datenspionage (natio- in der Regel ignoriert, sofern es werden, z.B. "Laptop CHF
nale Interessen) oder Angriffs- sich nicht um bekannte Begriffe, 400..600".
vorbereitung einsetzen. Dies die eine bestimmte Bedeutung
setzt aber ein höheres Mass an haben, handelt wie etwa C++
technischem Know-how (Exper- oder C#. Sucht man beispiels-
ten) voraus. weise nach Die Ärzte so wird
der Artikel Die ignoriert. Möchte
Hierbei geht es nicht mehr um man also nach der Musikgruppe
eine normale Suchabfrage, son- Die Ärzte suchen kann der
dern um das Generieren von Suchbegriff entweder in Anfüh-
mehr oder weniger komplexen rungszeichen geschrieben wer-
«Queries» mit Hilfe von Such- den, also "Die Ärzte", oder man
operatoren. Durch die gezielte setzt ein Plus-Zeichen vor den
Lenkung gelangt man sehr Artikel, also +Die Ärzte.
schnell an sicherheitsrelevante
Informationen. Mit bestimmten Basis Operatoren:
Befehlen lässt sich zum Beispiel
nach Software-Lizenzcodes, Mit dem Plus-Zeichen können
Passwortdateien oder aber auch mehrere Begriffe miteinander Advanced Operatoren
MP3-Files suchen. Für das ge- verbunden werden um gezielter
zielte Aufspüren von sensiblen zu suchen (entspricht der Stan- filetype:
Informationen mit Hilfe von dardsuche bei Google), z.B. Mit filetype lassen sich be-
Suchmaschinen hat sich sowohl "Blog+Kommentare". stimmte Dateitypen finden. Bsp:
in der Hacker-Szene als auch in „filetype:pdf“
der IT-Sicherheitsindustrie der - Mit dem Minus-Zeichen wer-
Begriff «Google-Hacking» eta- den Suchbegriffe ausgeschlos- intitle:
bliert. sen, z.B. "Security –Zone" gibt Per Intitle: lässt sich das <title>
nur Ergebnisse mit Security, tag durchsuchen.
aber ohne Zone aus. Bsp: “intitle:index“
2

3. intext: Informationen. Eine vorschnelle rüstet er noch mit einem NAS
Mit intext: findet man bestimm- Kriminalisierung ist nicht ange- auf (Personal Cloud). Nach dem
te Wörter auf einer Webseite. bracht. Strafbar ist jedoch der Urlaub bekommt er plötzlich
Bsp: “intext:Hacker“ auf Basis einer Suchmaschinen- Fotos von seinen Kollegen zuge-
Recherche mit Hilfe von techni- schickt mit Bemerkungen wie:
inurl: schen Angriffswerkzeugen initi- «Hey, habe gar nicht gewusst
Über inurl: lassen sich Wörter in ierte Einbruchsversuch. dass deine Frau einen so tollen
einer URL festlegen. Zusätzlich zum Wissen über die Bikini hat.» Auf dem Drucker zu
Bsp : “inurl:etc“ or “inurl:bin“ Suchmaschinen-Bedienung be- Hause werden plötzlich Bilder
nötigt man noch das Hinter- ausgespuckt, welche er lieber
site: grundwissen über die Standard- nicht seinen Kindern zeigen
Mit site: kann man auf be- passwörter und Standard- möchte.
stimmten Domains suchen. Installationspfade und Verhalten
Bsp: “site:com“ or “site:ch“ von Applikationen. Jede Appli- Das «Spielkamarädli» seiner
kation, jeder Drucker oder jede Tochter darf nicht mehr in den
cache: andere Komponente identifiziert Pool kommen, weil Sie auf dem
Mit cache: wird die Seite ange- sich in einer bestimmten Form Internet gezeigt wird. Der Secu-
zeigt, so wie sie bei Google im gegenüber den Suchmaschinen. rity Officer in Peter F’s Firma
Cache ist. lädt zu einem Termin ein. Kun-
Bsp: "cache:www.blick.ch" Man stelle sich das folgende dendaten über das Projekt an
Szenario vor: Peter F. kauft eine dem Peter F. arbeitet sind im
related: Wireless Webkamera, welche Internet aufgetaucht. Es stellte
Mit related: werden Seiten an- über einen FTP-Server verfügt. sich heraus, dass die «Back-
gezeigt welche ähnliche Seiten Peter F. will diese im Garten up»-Kopie der Daten, die Peter
sind. Bsp: „related:pizza“ aufstellen, so dass er seinen F. zu Hause im NAS für alle Fäl-
Swimmingpool bequem vom le abgelegt hat, gehackt worden
safesearch: Büro aus beobachten kann. Die ist.
Mit safesearch: wird verhindert Webkamera konfiguriert sich
dass nicht jugendfreie Websei- mit ein paar Klicks. Dasselbe
ten angezeigt werden. gilt auch für die Option, dass
Bsp: „safesearch:Pamela Ander- gleich ein Dyndns-Account ein-
son“ gerichtet werden kann, worüber
man jederzeit, sich bequem
Die dunkle Seite: ohne Probleme mit der Kamera
Wo liegt denn jetzt eigentlich verbinden kann, ohne das lästi-
die Bedrohung? Wenn man sich ge Problem mit der wechseln-
die Grundla- den, öffentlichen IP-Adresse. Es
gen des er- ist Montag und Peter F. ist stolz,
folgreichen dass er jetzt seinen Swimming-
Suchens pool von jedem Browser aus,
angeeignet jederzeit und von überall, anse-
hat ist es ein hen kann. Alles erfunden? Vielleicht. Die-
kleiner ses Szenario liefert einen Quer-
Schritt dieses Weil das so gut funktioniert hat, schnitt über die Problematik und
Know-how unethisch einzuset- will er auch gleich die Druck- das Schadenspotential, welches
zen. Funktion über das Internet sich bietet, wenn mittels Such-
Das Auskundschaften von installieren. Damit kann Peter F. maschinen die Fehleranfälligkeit
Schwachstellen führt nicht nämlich seine Urlaubsfotos di- von Standardkonfigurationen
zwangsläufig zur Kriminalisie- rekt auf dem Printer zu Hause von Komponenten gefunden
rung oder einer Straftat. Inso- ausdrucken, während er noch werden können. Die für den
fern sind «Google-Hacker» zu- im Urlaub ist. Tolle Sache, alles Endanwender vermeintlich ein-
nächst einmal keine Täter, son- funktioniert prima. Da er jetzt fache Handhabung stellt sich als
dern lediglich Entdecker von mehr Speicherplatz benötigt das grösste Problem heraus.
3

4. Wer schon länger im IT- Umrechnen von Einheiten: Bsp: Anfrage erstellt kann ich einfach
Geschäft ist, erinnert sich: In „25 Miles in km“ oder „0xFF - den URL oder QR-Code versen-
den Anfangszeiten von Microsoft 0b11010101 in dezimal“ den. Dadurch, dass einem die
hatten wir das doch schon ein- Suchanfrage wiederholt wird,
mal mal: Damals wurden auch Währungsumrechnung: lernt man selber auch sehr
die Einfachheit und der Komfort Bsp: „50 Euro in CHF“ schnell.
für die zu konfigurierenden
Komponenten vor die Sicherheit Wörterbuchdefinitionen:
gestellt. Bsp: „definiere:nomophobie“
Wer sich in Stimmung bringen Befindet man sich in der Bilder-
will kann sich gleich mit Google suche kann man zum Beispiel
verbinden und ein paar Suchan- ein gescanntes Diplom nehmen
fragen austesten. und dieses mit drag and drop in Link zu der Website
die Suchleiste ziehen. Es wer- http://ssg.reputelligence.com
Jemanden auf Xing finden mit den dann Bilder von der glei-
Name und Land. chen Grösse, Farbe etc. gefun-
„site:www.xing.com/ cruz ch“ den aber erstaunlicherweise Wer sich eigene QR-Codes er-
auch der Inhalt wird abgesucht. stellen möchte findet unter die-
Jemanden auf Xing finden mit Konkret wenn man sein CISSP- sem URL einen Webservice wo
spezifischen Skills. „si- Zertifikat in die Suchleiste zieht man diese kostenlos generieren
te:www.xing.com/ cissp cisa findet Google Bilder von ande- kann(http://jb.404whylo.com/).
mct„ ren CISSP Zertifikaten.
Bestimmt Dokumente finden. Folgende Website bietet einem
PDF’s auf der Security Zone die Möglichkeit sich eigene
Website. Suchanfragen auf einfachste
„site:www.security-zone.info Weise zusammenzustellen:
inurl:pdf“
Nur die PDF’s von einem be-
stimmten Benutzer.
„site:www.security-zone.info
inurl:pdf brack“
Was wird bei Facebook über die
SuisseID gesprochen?
„site:facebook.com SuisseID“ Printscreen der Website Reputelligence
Oder dasselbe bei Twitter. Die Suchanfrage kann anschlie-
„site:twitter.com SuisseID“ ssend in der Form einer URL
oder eines QR-Codes abgespei-
Was Google sonst noch Hilfrei- chert werden. Dies hat den Vor-
ches leisten kann. teil, dass man komplexe, wie-
Wetter: derkehrende Suchanfragen per
Liefert Angaben über das lokale Klick immer wieder aufrufen
Wetter Bsp.: „Wetter Zürich“ kann ohne sich alles neu zu
konfigurieren.
Rechner:
Google kann als Rechner ver- Ich persönlich nutze diese Web-
wendet werden. site, wenn ich für jemanden
Bsp: „(5*9+3)^3“ oder „20% of eine Suchanfrage erstelle die
500“ etwas komplexer ist. Ist die
4