Konkrete Kritik an CVSS4
Marc Ruef
Die verschiedenen Massenmedien und IT-Fachzeitschriften brachten in den letzten Wochen Meldungen mit Titeln wie Google als Hacker-Tool und Hacker kamen durch Google an Kreditkartennummern. In den Artikeln wird darauf verwiesen, dass Google eine Indizierung von Seiten durchführt, die selbst sensitive Informationen enthalten oder gar direkt auf bestehende Sicherheitslücken in einem Webauftritt hinweisen.
Ich war ein bisschen verdutzt über diese Meldungen, denn die besagte Problematik ist keineswegs neu. Schon seit Jahren ist in einschlägigen Kreisen bekannt, dass man bei Google mit Eingaben wie Index of /etc
zum Beispiel Seiten findet, deren Konfigurations-Verzeichnis /etc öffentlich durch das World Wide Web einsehbar ist. Selbst im Buch Hacking Exposed, dessen Erstauflage im Jahr 2000 erschienen ist, sind entsprechende Kapitel enthalten.
Den Stein erneut ins Rollen gebracht hat Johnny Long des amerikanischen Sicherheitsunternehmens Computer Security. Bei seiner Präsentation an der diesjährigen Black Hat USA 2004 zeigte er die Möglichkeiten des Google Hackings, wie dieses Vorgehen nun neu genannt wird (obwohl auch andere Suchmaschinen für entsprechende Abfragen herangezogen werden können).
Es fragt sich, wieso nun einmal mehr plötzlich alle zu einem Problem aufschreien, das schon längst bekannt und akzeptiert ist, sowie zudem auf die technischen Grundgegebenheiten von Index-Suchmaschinen zurückzuführen sind. Das wäre so, wie wenn die Tageszeitungen auf einmal darüber berichten würden, dass man in Autos nach einem schweren Verkehrsunfall eingeklemmt sein könnte. Alex von gray-world.net betreibt seit dem 14. August 2003 ein öffentliches Projekt, das sich mit der statistischen Auswertung dieses Google Hackings beschäftigt.
Forscht man ein bisschen nach, kommt man zu verschiedenen Lösungen der plötzlich aufflammenden Popularität des Google Hackings. Als erstes ist auffällig, dass Johnny Long im Dezember dieses Jahres ein Buch mit dem Titel Penetration Testing with Google veröffentlichen wird (bei Amazon ist jedoch noch keine Ankündigung vorhanden). Sein Vortrag und die daraus resultierenden Medienberichte fördern natürlich die Chancen des erfolgreichen Verkaufs des besagten Buches. Im Security-Bereich war indirekte Werbung schon immer die beliebteste Methode, ein Produkt anzupreisen und dadurch unters Volk zu bringen (z.B. Advisories oder Exploits).
Dies ist aber voraussichtlich nur ein Grund für das scheinbar erhöhte Interesse an der vermeintlich neuen Google-Sicherheitsproblematik. Google will dieses Jahr an die Börse. Mit viel Getöse setzte sich die Kapital-Maschinerie in Bewegung – Natürlich nicht nur zur Freude aller. Auch Google hat seine Feinde und so versuchen diese natürlich mit allen Mitteln die Möglichkeit eines erfolgreichen Börsengangs der populärsten Inernet-Suchmaschine zu verhindern. Der Vortrag von Johnny Long – dessen Webseite übrigens Anfangs August verunstaltet wurde – kam da gerade Recht, die Gegenpropaganda ins Rollen zu bringen.
Tja, an diesem Beispiel sehen wir, dass auch der Internet-Bereich ein für alle mal erwachsen geworden ist. Und besonders dreckige Spielchen spielen die Erwachsenen: Lug und Betrug, das Aufbringen von Anlegern und das Verunsichern von Kunden ist im Zeitalter von offenen Betriebssystemen und dem Börsen-Gang von grossen Internet-Firmen keine Neuheit mehr (siehe den Gerichtsfall von SCO gegen IBM).
Man sollte also in allen Lebenslagen vorsichtig und kritisch sein. Jede Pressemeldung verfolgt ein mehr oder weniger offensichtliches Ziel. Im Fall des Google Hackings geht es aber eher zweitrangig um den Schutz der potentiellen oder betroffenen Opfer. Das ist vor allem deshalb auffällig, weil in praktisch keinem einzigen Artikel darauf hingewiesen wird, welche Gegenmassnahmen, egal ob Anbieter, Kunde oder auf der Seite von Google, angestrebt werden könnten.
Empfehlenswert ist es, auf über das Internet direkt ansprechbaren Systemen nach Möglichkeit überhaupt keine sensitiven Daten zu lagern. Müssen diese über das Internet gewissen Personenkreisen zugänglich sein, gilt es die Informationen mittels Zugangsberechtigungen zu schützen. Einfache und effektive Methode bei Webservern ist der Schutz über htaccess, bei dem eine Limitierung anhand von IP-Adressen sowie die Authentisierung mittels Benutzername/Passwort umgesetzt werden kann. Um bei problematischen Webdokumenten eine Indizierung durch die Robots der Suchmaschinen zu verhindern, kann auf den HTML-Tag <META NAME=ROBOTS CONTENT=NONE>
zurückgegriffen werden. Dies ist jedoch nur ein simpler Schutz, da sich die Betreiber von Suchmaschinen nicht zwingend an diesen Meta-Tag zu halten haben.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!