Google für Hacker

Mit Google finden Hacker auch Infos, die Google eigentlich gar nicht haben sollte.

Wer Informationen über bestimmte Personen oder Unternehmen sucht oder angreifbare Netzwerke finden will, hat mit Google ein wertvolles Werkzeug. Man muss nur wissen, wie man es einzusetzen ist. Die "Google Hacking Database" von Johnny Long ist eine Sammlung von Tipps und Tricks, wie man Google benutzen kann, um an interessante Informationen zu gelangen.

Long, der sich auch gerne "Johnny Hax" nennt, begann seine Sammlung von "Google-Hacks" ursprünglich als reine Spaßveranstaltung. Er dachte zunächst, das sei nichts, was jemand ernst nehmen könnte. Im Laufe der Zeit kamen jedoch immer mehr Tricks und weitere Leute hinzu. So wuchs ein Projekt heran, das heute über 60.000 Mitglieder und 1500 Einträge in der Datenbank zählt.

Die Sammlung enthält eine bunte Mischung von Tipps, wie man mit der Hilfe von Google an Informationen kommen kann, die man über die normalen Suchfunktionen nicht findet. Einiges davon kann sich sogar zur Vorbereitung gezielter Angriffe oder für Sicherheitstests eignen - wenn man weiß, wonach man suchen muss. Long ist auch Autor des Buchs "Google Hacking for Penetration Testers".

Oftmals besteht das Puzzle zunächst aus scheinbar sinnlosen Informationskrümeln. So liefert die an sich unsinnige Suchanfrage "site:nasa" eine ganze Reihe von internen URLs der NASA, die nicht öffentlich zugänglich sind, wie etwa "www.nasajobs.nasa". Für einen Hacker, der weiß, wie man in das interne Netz eindringt, können solche Informationen jedoch hilfreich sein.

Ein andere beliebter Trick ist der Versuch, mit Hilfe von Google Zugriff auf öffentlich erreichbare Websites zu erhalten, deren Inhalte nur mit Benutzername und Passwort zugänglich sind. Dazu werden Seiten ins Web gestellt, die viele Links zu einer solchen Site enthalten, mit unterschiedlichen Kombinationen von Benutzernamen und Passwörtern. Folgt Google diesen Links, wird es nur diejenigen in seinen Index aufnehmen, bei denen eine gültige Kombination den Zugang ermöglicht.

Auch andere Suchmaschinen eignen sich für die Ausforschung möglicher Ziele, ohne dass ein potenzielles Opfer etwas davon mitbekommt. Mikko Hypponen, Forschungsleiter bei F-Secure, sieht Suchmaschinen als ein wichtiges Werkzeug von Hackern an. Gezielte Angriffe begännen oft mit einer Websuche. Unklar bleibt, wie Google sich dazu verhält - auf Sicherheitskonferenzen ist von Google meist nichts zu sehen und zu hören, auch wenn zweifellos Google-Mitarbeiter anwesend sind. Und immerhin zählt auch der Sicherheitschef von Google zu den Mitgliedern in Johnny Longs Community.

Update: Das genannte Buch "Google Hacking for Penetration Testers" ist unter dem Titel "Google Hacking" auch in deutscher Sprache erschienen. (PC-Welt/mec)