Generell sollten Anwender nicht allzu sehr auf das Motto „Security by Obscurity“ (Sicherheit-durch-Unklarheit-Prinzip) vertrauen. Dieses bezeichnet eine kontrovers diskutierte Grundregel in der Computer- und Netzwerksicherheit, nach der versucht wird, Sicherheit durch absolute Geheimhaltung zu erreichen. Auf den ersten Blick scheint dies zu funktionieren: Oftmals werden Dateien auf einem Webserver abgelegt, ohne dass darauf verlinkt wird. Die URL wird natürlich nur vertrauenswürdigen Personen per Email mitgeteilt.
Normalerweise sollte es zwar für Google & Co. unmöglich sein, diese Seite zu finden. Aber fast überall werden Webserver-Statistiken geführt, etwa die Top Ten der meistbesuchten Dateien oder die Top Ten der Dateien, die aufgrund ihrer Größe den meisten Traffic verursachen. Im schlechtesten Fall landet genau die versteckte Datei in dieser Statistik, inklusive Link zu der Seite. Über diesen Umweg finden auch Suchmaschinen wieder die „geheime“ Datei.
Eine andere offene Türe besteht in der Suche nach Applikationen mit bekannten Schwachstellen. Weltweit setzen Unternehmen eine Vielzahl von Anwendungen ein, die sich bequem über das Web-Frontend nutzen lassen. Dabei sind auch Webserver im Spiel, die von den Suchmaschinen infiziert werden. Für Angreifer sind alle Dienste interessant, die zur Verwaltung von Servern und Webseiten dienen und dokumentierte Schwachstellen aufweisen.
Alte Versionen der Frontpage-Extensions legen Passwörter in verschiedenen Dateien auf dem Webserver ab. Die entsprechenden Standard-Verzeichnisse sind frei zugänglich, wenn sie nicht manuell geändert werden. Daher werden sie natürlich auch von Suchmaschinen gefunden. Der Angreifer muss dann nur noch einen Passwortknacker einsetzen.
Ob Hacker mithilfe eines solchen Tricks wirklich in den Kern des Systems eindringen können, ist umstritten. Sind veraltete Applikationsversionen im Einsatz und über Google auffindbar, so lässt dies zumindest auf eine mangelhafte Gesamtsicherheit des IT-Systems schließen. Für welche Zwecke das Suchmaschinen-Hacking zukünftig noch einsetzbar ist, bleibt abzuwarten.
In erster Linie wird Suchmaschinen-Hacking aber wohl ein Werkzeug zur einfachen Identifikation besonders argloser Ziele bleiben. Denkbar ist zum Beispiel auch die gezielte Suche nach veralteten Software-Versionen durch den Hersteller, um so den eigenen Vertrieb bei der Kundenansprache zu unterstützen. Auf diesem Wege könnten auch nicht-lizenzierte Produkte identifiziert werden.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.
Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…
Es lässt sich um bis zu 50 Prozent dehnen. Allerdings besitzt es eine deutliche geringere…
Allerdings nimmt auch die Resilienz gegenüber Cyberattacken zu. Das BSI hat außerdem die Cybersicherheit anstehender…
Es ist das größte Wachstum in einem Jahr seit 2021. Unter anderem lässt das Interesse…