Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Tief graben

Ob Schwachstellen, verwundbare Webanwendungen oder versehentlich ins Netz gestellte sensible Daten – das Sicherheitswerkzeug Goolag hilft durch automatisierte Tests bei der Suche danach.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Lesezeit: 8 Min.
iX Magazin
Von
  • Michael Hamm
Inhaltsverzeichnis

Innerhalb weniger Jahre entwickelte sich das sogenannte Google-Hacking – populär geworden durch die Recherchen von Johnny (I hack stuff) Long zu einer beeindruckenden Hacking-Disziplin [1]. Es war daher nur eine Frage der Zeit, bis jemand auf die Idee kam, diese Technik zu automatisieren und mit einer bequemen Benutzeroberfläche zu versehen. Seit Kurzem steht Interessierten für Sicherheitstests das unter der Affero GPL [2] verfügbare Werkzeug Goolag zur Verfügung, das nach Schwachstellen und verräterischen Informationen in Webauftritten sucht.

Es stammt von „Cult of the Dead Cow“ (cDc; www.cultdeadcow.com), einer Hackergruppe, die 1998 durch die Veröffentlichung des „Fernwartungswerkzeuges“ Back Orifice – das häufig missbräuchlich eingesetzt wurde – weltweite Berühmtheit erlangte. Und genau wie damals pocht heute ein Sprecher der Gruppe darauf, dass Goolag nicht als Hacker-Tool, sondern als Werkzeug zum Sensibilisieren der Verantwortlichen und Überprüfen der eigenen Sicherheit gedacht ist.

Goolag ist eine Windows-Anwendung, die man kostenlos auf der Webseite www.goolag.org herunterladen kann. Genauer gesagt, befinden sich im Download-Bereich Verweise zu den offiziellen Mirrors. Für Interessierte stellen die Anbieter ebenfalls die Sourcen bereit.

Starten, aber mit Gefühl

Nach dem Installieren blendet Goolag beim ersten Programmstart den „About“-Dialog als Willkommensnachricht ein. Der dort vorhandene Text „… popular search engines“ lässt vermuten, dass dieses Tool nicht nur Google, sondern auch alternative Suchmaschinen in seine Queries einbezieht.

Zurzeit ist das aber nicht der Fall. Beim Überwachen des Netzwerkverkehrs lassen sich lediglich Anfragen bei Google beobachten. Ein Blick in die mitgelieferte Google-Hack-Datenbank „gdorks.xml“ legt die Vermutung nahe, dass Goolag in dieser Version noch nicht fähig ist, andere Suchmaschinen anzusprechen.

Nicht alles, was geht, ist auch erlaubt

Weiter findet sich im Begrüßungsdialog ein Verweis auf Google’s Terms of Service, die Nutzungsbedingungen. Ihnen zufolge ist das, was das Werkzeug macht – das automatisierte Senden von Suchanfragen –, nicht erlaubt.

So ist beim ersten Experimentieren mit Goolag äußerste Vorsicht geboten, vor allem wenn man es von der eigenen Firma aus startet. Dann könnte Google schon nach wenigen Sekunden die lokale IP-Adresse sperren, was je nach Netzwerk-Topologie schnell zu Verstimmungen bei Kollegen, Managern und Systemadministratoren führen kann.

Bei Durchführung eines der links aufgeführten, thematisch gruppierten Hacks sieht der Sicherheitstester in der rechten Hälfte die Ergebnisse seines Scans sowie weitere Informationen (Abb. 1)

Die Bedienung des Werkzeugs ist intuitiv. Binnen weniger Minuten kann der Anwender den Funktionsumfang erfassen und verstehen. Das Hauptfenster (Abb. 1) unterteilt sich vertikal in zwei Bereiche. Linker Hand findet sich eine baumartig sortierte Liste der aktuell verfügbaren Google-Hacks, auch Google-Dorks genannt, zurzeit sind es 1418.

Die Google-Hacks sind je nach Thema in 14 Gruppen zusammengefasst, darunter Kategorien wie „Files Containing Passwords“, „Sensitive Directories“, „Vulnerable Servers“. Sowohl die Gruppierung als auch die Hacks selbst haben die Goolag-Programmierer offensichtlich 1:1 aus der Google Hacking Database von Johnny Long (johnny.ihackstuff.com/ghdb.php) übernommen. In ihr sind die Hacks nach dem Erscheinungsdatum sortiert, während Goolag sie alphabetisch auflistet.

Auf der rechten Seite der Anwendung befinden sich Informationen zum laufenden Scan. Dazu ist diese Bildschirmseite in die Bereiche „Dork Info“ „Results“ und „Console“ unterteilt. Der Erste zeigt den aktuell ausgeführten Google-Hack sowie Hintergrundinformationen an. Diese variieren von Hack zu Hack und beinhalten beispielsweise eine Beschreibung, den Namen des Autors oder gar Verweise zu existierenden Advisories und Exploits.

Im Results-Bereich erscheint eine Liste der bisher durchgeführten Google-Anfragen sowie deren Status und gegebenenfalls gefundene URLs. Der Status eines Google-Hacks kann sein:

  • clean, in dem Fall hat Goolag keine verwundbaren Ziele gefunden;
  • failed, was bedeutet, Google hat die Suchanfrage eventuell als Sicherheitsproblem erkannt und nicht beantwortet;
  • success, Goolag hat Schwachstellen gefunden.

Im Eingabefeld „Host“ kann der Sicherheitstester einen zu überprüfenden Host- oder Domainnamen eintragen. Will er wahllos nach verwundbaren Zielen suchen, braucht er nichts einzutragen. Der eingetragene Host- oder Domainname wird unter der Haube in der Form +site:foo.com an den Google-Dork angefügt.

In der Praxis zeigt sich, dass ein kompletter Scan über alle 1418 Queries mindestens sechs Stunden dauern sollte. So kann man eine Blockade der eigenen IP-Adresse bei Google vermeiden. Beim Setzen der entsprechenden Werte für die Scan-Geschwindigkeit in den Optionen ist also Zurückhaltung geboten.

Scan-Fortschritt plus die jeweiligen Ergebnisse kann man live in der Anwendung beobachten. Am Ende des Scans präsentiert ein kleines Popup-Fenster überdies eine kurze Zusammenfassung der Resultate.

Landet man einen Treffer (Success), und das Werkzeug hat eventuelle Schwachstellen gefunden, braucht der Anwender nur durch einfaches Anklicken der Zeile seinen Browser zu starten, der die entsprechende Webseite lädt. Nun kann man die Seite genauer untersuchen.

Wie bei allen Schwachstellen-Scannern ist es unerlässlich, alle Treffer manuell zu validieren, um die Fehlmeldungen – False Positives – zu eliminieren. Das ist zwar lästig, bei Weitem aber nicht so sicherheitskritisch wie False Negatives, also nicht identifizierte Schwachstellen.

Mehr Suchmaschinen gewünscht

Die Scan-Ergebnisse können leider in keiner Weise exportiert, ausgedruckt oder zu einem Report aufbereitet werden. Hier besteht noch reichlich Optimierungspotenzial für Weiterentwicklungen oder neue Anwendungen.

Auch beim Umgang mit den Google-Dorks sind Verbesserungen möglich. Wünschenswert wäre es auf jeden Fall, andere Suchmaschinen in die Abfragen einbeziehen zu können. Das ließe sich durch das Erstellen einer neuen Abstraktionsebene für eine suchmaschinenunabhängige Abfragesprache realisieren.

Eine Online-Update-Funktion für neu verfügbare Google-Dorks gibt es momentan nicht. Eigene Google-Hacks lassen sich zurzeit nicht über die Anwendung verwalten. Das bedeutet, man muss sie entweder via Texteditor in die Datei gdorks.xml oder gar in eine eigene Datei einpflegen.

Überdies wäre eine Funktion zum Verfeinern der gerade laufenden Suchanfragen eine sinnvolle Erweiterung. Von einem Werkzeug für ein umfangreiches Security Auditing ist Goolag noch ein ganzes Stück entfernt – allerdings war das vermutlich nicht die Intention der Entwickler.

Denen ging es offensichtlich viel mehr um ein gewisses Maß an Aufmerksamkeit und darum, für die Gefahren durch das stark unterschätzte Google-Hacking zu sensibilisieren. Zurzeit ist es einfach immer noch zu leicht, Zugangsdaten wie Passwörter, vertrauliche Informationen und verwundbare Webserver via einfacher Suchmaschinenanfragen zu finden. Hier bedarf es dringend der Aufklärung der Verantwortlichen.

Mit Goolag hat nun jeder die Möglichkeit, eigene Netzwerke zumindest auf die gröbsten Sicherheitsrisiken durch Google-Hacking zu untersuchen und sich gleichzeitig in die Materie einzuarbeiten. Womit Goolag genau das tut, was es soll: aufklären, sensibilisieren und eine erste Übersicht verschaffen.

Nach Aussagen von cDc (www.goolag.org/factsheet.txt) hatten die Gruppe sowie einige Testpartner Goolag intern bereits drei Jahre lang vor seiner Veröffentlichung eingesetzt – vorrangig um militärische und staatliche Netzwerke in den USA, Kanada, England, Frankreich, der Türkei und Saudi Arabien zu überprüfen. Angeblich entdeckten sie dabei so gravierende Lücken, dass sie die gefundenen Daten auch teilweise an das „Department of Homeland Security“ weitergaben.

Jedem Systemverantwortlichen kann man nur wärmstens empfehlen, das eigene Netzwerk mit Goolag auf offene Sicherheitslücken hin zu überprüfen – bevor es jemand anderes tut.

Michael Hamm
ist Ingénieur Sécurité am Centre de Recherche Public Henri Tudor in Luxemburg.

[1] Michael Hamm; Netzsicherheit; Fein beobachtet; Suchmaschinen-Hacking: Was Google & Co verraten; iX 5/2006, S. 136

[2] Tobias Haar; Affero GPL Version 3; iX 2/2008, S. 26

iX-Link

Mehr Infos

Daten und iX-Wertung Goolag

  • Produkt: Sicherheitsscanner für Webseiten
  • Lizenz: Affero GPL
  • Betriebssystem: Windows
  • [+] bedienungsfreundliches Werkzeug
  • [+] zahlreiche, nach Themen gruppierte Hacks
  • [+] sensibilisiert für Suchmaschinen-Hacks
  • [-] keine alternativen Suchmaschinen
  • [-] keine Export- oder Berichtsfunktion für Ergebnisse
  • [-] keine Online-Update-Funktion

(ur)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten