30.12.2005
Herausgeber: netzeitung.de
Google ist für Hacker ein nützliches Werkzeug. Auf dem 22. Chaos Communication Congress wurde demonstriert, was man mit der Suchmaschine alles finden kann: Von der Schulnote bis zum vermeintlich geheimen Passwort.
Von Oliver VoßGoogeln ist eine der Lieblingsbeschäftigungen aller Internetnutzer. Die bekannteste und meist genutzte Suchmaschine ist längst zum Synonym für eine Suche im Internet geworden. Auf dem Kongress des «Chaos Computer Club» (CCC) in Berlin warnten Experten aber auch vor den Gefahren der Quasi-Monopolstellung von Google.
«Google Hacking» für DummiesWelche privaten Informationen das Internet für Hacker bereithält, führte Frederic Philipp Thiele von der FH Kaiserslautern vor. Das gezielte Durchsuchen der Websites von Universitäten und Hochschulen förderte vertrauliche Daten, darunter sogar Noten, zu Tage. Mit zwei, drei Klicks fand der Entwickler auch Adressen und Telefonnummern der entsprechenden Personen. «Viele Nutzer gehen zu sorglos mit ihren Informationen um», sagte Thiele.
Doch auch vermeintlich geschützte Daten gibt das «Orakel der Informationsgesellschaft», so der Titel seines Vortrages, preis. Auf der Suche nach Dateien, die üblicherweise Passwörter enthalten, wurde Thiele schnell fündig. Problemlos könnte er damit beispielsweise auf den Yahoo-Mailaccount von Scott B. zugreifen.
Für Hacker ist das nichts Neues. Wer keine Ahnung vom «Google Hacking» hat, kann sich im gleichnamigen Buch von Johnny Long informieren, oder er sucht im Internet - bei Google. Auf Platz 1 liegt die Website von Johnny Long, der in seiner «Google Hacking Database» bekannte Sicherheitslücken aufzeigt. So lassen sich Passwörter mit simplen Suchbefehlen wie «passlist.txt» oder «your password is filetyp:log» finden. Mit solchen Techniken sollte man auch die eigene Website auf Schwachstellen überprüfen.
«Man sollte unbedingt verschiedene Passwörter nutzen, um seine Angriffsfläche zu minimieren», rät Thiele. Doch viele Nutzer befolgen selbst einfachste Sicherheitsregeln nicht und behalten beispielsweise voreingestellte Passwörter. Nicht nur Privatanwender handeln derartig leichtsinnig, auch Firmen und Computeradministratoren machen es nicht besser.
So ist es für Thiele auch keine Schwierigkeit, Zugangsdaten zu Online-Shops bei Google zu finden. «Wenn ich jetzt in die Datenbank gehen würde, könnte ich den ganzen Shop löschen oder alle Artikel durcheinander bringen», sagte Thiele. «Ich könnte auch einfach die Preise ändern.» Wenn er dann zahlreiche neue Laptops für je ein Euro bestellen würde, wäre der Anbieter rechtlich eventuell sogar verpflichtet, die Ware zu liefern.
Durch ähnliche Sicherheitslücken in Datenbanken konnten in den letzten Monaten auch die Kreditkarten-Daten von Millionen Kunden in den USA gestohlen werden. «Als einfacher Nutzer hat man bei solchen Lücken keine Chance», sagte Hendrik Speck. Er fordert daher schärfere Gesetze, jedoch nicht gegen Datendiebe, sondern die betroffenen Anbieter. «Datensicherheit muss zum ökonomischen Risiko für Firmen werden», sagte Speck. Nur mit Geldstrafen könne man Firmen dazu bringen, ihre Prioritäten zu ändern.
«Es sollte auch nicht mehr möglich sein, voreingestellte Passwörter bestehen zu lassen», sagte Speck, «programmiertechnisch wäre das eine Kleinigkeit». Vor allem bei vielen Geräten wie Kameras und Druckern könnten somit Gefahren vermieden werden. «Viele elektrische Geräte agieren auch als Server, doch das ist den meisten Nutzern nicht klar», sagte Speck. Auch über die damit verbundenen Risiken seien sich viele nicht bewusst. Speck erzählte, dass die EU einmal einen Handelsstreit mit den USA verloren habe, da kurz vor der entscheidenden Verhandlungsrunde wichtige Dokumente von einem ungeschützten Drucker der EU abgerufen wurden.
Google macht das Hacken leichter