Google-Hacking Deluxe
Mit Goolag Scan will cDc erneut den Finger in eine offene Wunde legen: "Privatleute, Firmen und auch Regierungen verlagern immer mehr ins Web, und keiner schert sich darum, was das für die Sicherheit bedeutet", erläutert cDc-Mitglied Oxblood Ruffin gegenüber heise Security. Deshalb veröffentliche cDc jetzt dieses Tool, damit jeder seine eigenen Web-Seiten überprüfen könne, wo er mit "runtergelassenen Hosen" erwischt werden kann und die Möglichkeit hat, diese Probleme zu beseitigen.
Goolag Scan ist ein kleines .Net-Programm, das knapp 1500 vorkonfigurierte Google-Suchanfragen in Kategorien wie "Vulnerable Servers", "Sensitive Online Shopping Info" und "Files containing juicy info" präsentiert. Der Anwender kann einzelne Suchen oder beliebige Untermengen auswählen und dann Google nach passenden Ergebnissen durchforsten lassen. Er kann die Suche dabei auf seinen eigenen Server einschränken, aber auch gleich ganze Top-Level Domains wie ".de" durchsuchen. Wer dabei zu gierig ist, läuft Gefahr, dass Google Wurmaktivitäten vermutet und die IP-Adresse sperrt.
Als Ergebnis präsentiert Goolag Scan eine Liste von URLs, die ein Mausklick direkt im Browser öffnet. Oft finden sich dort dann Zugangsdaten, verräterische Fehlermeldungen oder Java-Applets zur Fernsteuerung von Überwachungskameras.
Rechtlich ist daran zumindest in Deutschland noch nichts bedenklich, schließlich sind die Daten ja öffentlich zugänglich. Erst in Kombination mit einer geplanten oder real durchgeführten Straftat nach Paragraph 202a, also dem Ausspähen speziell gesicherter Daten, oder 202b, dem Abfangen von Daten, kann der schwammige Hackerparagraph 202c zur Anwendung kommen. Sprich: Wer Goolag Scan aus reiner Neugier einsetzt und die damit gewonnenen Erkenntnisse nicht für Straftaten nutzt, macht sich nicht strafbar.
Das sieht beispielsweise in Großbritannien schon ganz anders aus. Hier bedeutet unter Umständen bereits der nicht-autorisierte Zugriff auf eine URL eine Straftat – zumindest wenn man sich dabei bewusst ist, dass die Daten nicht für einen gedacht sind (siehe Google scanning – is it legal?. Deshalb konnten beispielsweise unsere Kollegen von heise online UK Goolag Scan nicht selbst testen.
Labels: Google Hacking DeLuxe
0 Kommentare:
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite