Suchmaschinen-Hacking: Wenn Google zu viel verrät

Neben softwarebasierten Mustern sind auch Schwachstellen in der Hardware ausnutzbar. Integrierte Webserver verraten zumindest die URL. Ein Zugriff ist beispielsweise über die Webseiten der HP Jetdirect-Printserver möglich (PDF-Download: „Penetrante Suchmaschinen“). Der Angreifer sucht dabei nach den in die Jetdirect-Systeme integrierten Webservern. Sind diese über das Internet erreichbar, so lassen sich auch weitere Clients direkt ansteuern.

Da sich die Operatoren „inurl:“ und „intitle:“ miteinander kombinieren lassen, hat der Angreifer eine große Bandbreite an Kombinationen für diverse Anwendungen und Geräte zur Verfügung. Offene Ports sind eine weitere unfreiwillige Zielscheibe, da sie ebenfalls Teil der URL sind. VVNC-Server ermöglichen über den Java-Client den Zugriff auf den TCP-Port 5800.

Ein größeres Risiko als technische Schwachstellen stellt aber das Social Engineering dar. User hinterlassen nicht selten auf Websites komplette Anschriften, Geburtsdaten oder Bankverbindungen. Diese Daten lassen sich als Rohdatenmaterial für gezielte Phishing-Betrugsversuche nutzen. Dennoch gilt es publikumswirksame Google-Hacks nicht zu überschätzen. Die Eintrittsbarriere für das Suchmaschinen-Hacking ist gering, so dass sich in diesem grauen Markt vor allem unzählige sogenannte „Skript-Kiddies“ tummeln, die unterste Stufe in der Hacker-Hierachie.

Denkbare Motive sind hier ein gewisser sportlicher Ehrgeiz, Lust an der Zerstörung, Geltungsdrang oder einfach nur Langeweile. „Mit bestimmten Suchanfragen ein Passwort aufzuspüren und dann an gegebener Stelle auszuprobieren, setzt weder besonderen Elan noch großes Know-how voraus“, sagt Raimund Genes, CTO Anti-Malware bei Trend Micro.