Sensitive Informationen mit Google aufspüren

Google zählt zu der bekanntesten Suchmaschine weltweit und dürfte uns daher allen ein Begriff sein ;-) Ein interessantes "Feature" von google ist das verwenden von erweiterten Parametern um die Suche zu optimieren, um noch gezieltere Ergebnisse zu erhalten.

Solche Parameter sind z.B:

intitle: Webseiten, die einen oder merere Suchbegriffe im Titel haben

inurl: Webseiten, die einen odere mehrere Suchbegriffe in der Webadresse haben. Diese können auch in Unterverzeichnisen enthalten sein.

filetype: Ergebnisssuche nach bestimmten Dateitypen

Wer sich für weitere Parameter interessiert kann diese gerne in der google Reference Seite nachlesen: http://code.google.com/apis/soapsearch/reference.html

Wesshalb sind diese Parameter nun so interessant? Eine durchaus Berechtigte Frage. Nun ich möchte das ganze anhand eines Beispiels erklären:

Wir stellen uns ein typisches Produkt vor, welches über ein Webinterface verfügt. Nehmen wir als Beispiel eine Netzwerkfähige Kamera welche mit eigenem Webserver ausgestattet ist. Kennen wir die IP Adresse der Kamera, so können wir das Bild der Kamera mit einem Browser an jedem beliebigen Punkt unseres Netzwerkes abrufen. Das Webinterface unserer eben frisch installierten Kamera verfügt nun über typische Eigenschaften und Tags. Damit meine ich z.B. einen eindeutigen Pfad in der URL, welcher bei jeder Kamera gleich ist oder einen Titel Tag, mit der wir das Webinterface identifizieren können.

Nun könnte es sein, dass wir eine einsame Kamera in unserem Netzwerk betreiben die einen Bereich überwacht, der nicht für jedes Auge bestimmt ist. Da es wieder mal etwas schneller gehen musste haben wir einen Konfigurationsfehler gemacht und wie es der Zufall so wollte ist diese Kamera nun auch von ausserhalb ansprechbar. Als nicht paranoide Administratoren denken wir schon gar nicht daran, dass diese Kamera überhaupt gefunden werden könnte, da wir ja mit der Information wo die Kamera zu finden ist äussert vertraulich umgehen. Da wir dazu noch etwas faul sind, lassen wir sogar eine entsprechende authentifizierung weg....

Eines Tages machte sich unsere Kamera selbständig....oder war es nun doch eher ein neugieriger Besucher, der wusste wie man google bedient :D

Natürlich ist das vorher beschriebene Szenario rein fiktiv. Vor ca. 2 Jahren habe ich in langweiligen Momenten auch ein wenig die weiten des Netzes durchsucht und bin nebst dutzenden von langweiligen Cams auch auf einige interessante Entdeckungen gestossen. Einer der Höhepunke war sicherlich, dass ich eine Überwachungskamera der Franzcarl Weber Filiale in Zürich übernehmenen konnte. Es handelte sich dabei um eine 360° Live Cam mit Zoom und man konnte die Personen sehr genau beobachten.

[inspic=18,center,fullscreen,thumb]

Eingang, Rolltreppe, Imbissstand, Kasse.... alles war sehr gut überblickbar :D

[inspic=19,center,fullscreen,thumb]

Die Bilder habe ich vor ca. einem Jahr mit Screenshot festgehalten. Heute ist die Kamera unter der von mir damals gefundenen Adresse nicht mehr erreichbar.

Wer sich dafür interessiert wie sich solche Informationen finden lassen können, dem empfehle ich einen Besuch der "Google Hacking Database" des Sicherheitsspezialisten Johny Long. Nebst Cams sind da noch einige andere Interessante Dinge rauszuholen. Die Adresse zu seiner Webpage lautet: http://johnny.ihackstuff.com/

Weiterhin hänge ich euch ein Tutorial an, welches beschreibt wie ihr Netzwerkkameras der Firma Axis aufspüren könnt. Das ganze ist aber nicht mehr so spektakulär wie es einmal war, daraus unter gewissen Leuten eine Sportart entwickelt hat.

Indemfall viel Spass beim Suchen und bis zum nächsten Blog :)

Copyright © www.hack2learn.org
Dieser Beitrag ist für den persönlichen, nicht-kommerziellen Gebrauch bestimmt. Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung ausserhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers.
(Digital Fingerprint: d3d3LmhhY2sybGVhcm4ub3Jn)

Hinterlasse eine Antwort

Du musst angemeldet sein, um einen Kommentar schreiben zu können.