Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Nachrichten IT/Computer Wenn Google sensible Daten offenlegt

Wenn Google sensible Daten offenlegt

Archivmeldung vom 16.05.2008

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 16.05.2008 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Thorsten Schmitt

Ob Schwachstellen, verwundbare Webanwendungen oder versehentlich ins Netz gestellte persönliche Daten: Mit dem Programm Goolag können Systemverantwortliche Sicherheitslücken aufspüren, schreibt das IT-Profimagazin iX in der aktuellen Ausgabe 6/08.

Für das gezielte Aufspüren sensibler Informationen und bekannter Applikations- oder Konfigurationsschwachstellen hat sich sowohl in der Hacker-Szene als auch in der IT-Sicherheitsindustrie das sogenannte "Google-Hacking" etabliert. Die Kunst besteht darin, passende Suchanfragen zu formulieren, um die relevanten Seiten aufzuspüren.

Mit der Windows-Anwendung Goolag, die man kostenlos auf der Webseite www.goolag.org herunterladen kann, können Systemverantwortliche das Google-Hacking auf ihren eigenen Webseiten automatisiert durchführen und sehen, welche Informationen oder Einfallstore ein Angreifer vorfinden würde. Das .net-Programm durchforstet knapp 1500 vorkonfigurierte Google-Suchanfragen, die in 14 Kategorien wie "Files Containing Passwords" oder "Sensitive Directories" unterteilt sind. Die Bedienung des Werkzeugs ist intuitiv. Binnen weniger Minuten kann der Anwender den Funktionsumfang erfassen und verstehen. Wie bei allen Schwachstellen-Scans ist es auch bei Goolag unerlässlich, alle Treffer manuell zu validieren, um die Fehlmeldungen zu beseitigen. Das ist zwar lästig, aber nicht so sicherheitskritisch wie False Negatives, also nicht identifizierte Schwachstellen, die man andernfalls vielleicht übersehen würde. Leider können die Scan-Ergebnisse in keiner Weise exportiert, ausgedruckt oder zu einem Report aufbereitet werden. Hier besteht noch reichlich Optimierungspotenzial für Weiterentwicklungen oder neue Anwendungen.

Beim Experimentieren mit Goolag ist allerdings Vorsicht geboten, vor allem wenn man es von der eigenen Firma aus startet. Dann könnte Google Wurmaktivitäten vermuten und schon nach wenigen Sekunden die lokale IP-Adresse sperren, was je nach Netzwerk-Topologie schnell zu Verstimmungen bei Kollegen, Managern und Systemadministratoren führen kann.

"Mit Goolag hat nun jeder die Möglichkeit, eigene Netzwerke zumindest auf die gröbsten Sicherheitsrisiken durch Google-Hacking zu untersuchen und sich gleichzeitig in die Materie einzuarbeiten", urteilt iX-Redakteurin Ute Roos. "Womit Goolag genau das tut, was es soll: aufklären, sensibilisieren und eine erste Übersicht schaffen."

Quelle: IT-Profimagazin iX

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte pumpen in folgendes Feld um den Spam-Filter zu umgehen

Anzeige