Google is watching you

Het wordt beschouwd als de meest bezochte website ter wereld – en een data octopus: Google is de marktleider onder de internet zoekmachines en verwerkt meer dan drie miljard zoekopdrachten per dag. Wat velen niet weten: Google is ook zeer populair in hackerskringen.

Wie de verborgen functies weet te gebruiken, kan niet alleen slecht geconfigureerde webservers bespioneren, maar ook documenten en informatie stelen. Cybercriminelen gaan hier ook specifiek op zoek naar kwetsbare slachtoffers. Inlogpagina’s van een bepaald CMS? Geen probleem. Rechtstreeks toegankelijke webcams? Duizenden van hen zijn slechts een zoekopdracht verwijderd.

En dat niet alleen. Google stelt aanvallers in staat zich te camoufleren en hun toegang te verhullen, verbindingen om te leiden en onopgemerkt op de achtergrond te blijven.

Maar met een paar eenvoudige trucs kunt u de bescherming al aanzienlijk verbeteren en de hackers om de tuin leiden.

Hoe werkt Google-hacking?

Met behulp van zogenaamde crawlers zoekt Google op internet naar websites om deze te indexeren en later via zoekopdrachten toegankelijk te maken. Daarbij worden alle voor het publiek toegankelijke websites of documenten geïndexeerd. Wat veel mensen zich niet realiseren, is dat alle netwerkapparaten die op internet zijn aangesloten, zoals bewakingscamera’s, printers of smart-tv’s, ook worden doorzocht.

Alle pagina’s en bronnen die door Google zijn geïndexeerd, kunnen via de zoekfunctie van Google worden gevonden, zelfs met de eenvoudigste zoekopdrachten, als u weet hoe en waarnaar u moet zoeken.

Ook vertrouwelijke informatie kan onder de resultaten worden gevonden. Om nog specifiekere resultaten te krijgen, kunnen zoekoperatoren zoals “inurl” worden gebruikt om nog preciezere zoekopdrachten te definiëren. Dit maakt het mogelijk te zoeken naar woorden die voorkomen in de tekst op de webpagina of in de URL.

Voor een onschuldig begin is het raadzaam de door Google geboden Geavanceerde zoekfunctie te gebruiken. Hier kunnen gebruikers eenvoudig een formulier invullen om een gerichte zoekopdracht uit te voeren. De zoekopdracht wordt dan dienovereenkomstig aangepast en er wordt een zoekopdracht met verschillende zoekoperatoren verkregen.

Geavanceerd zoeken

De zoekoperatoren

Leestekens, symbolen en zoekoperatoren kunnen worden gebruikt in Google Zoeken. Een overzicht is te vinden op de ondersteuningspagina’s.

Leestekens en symbolen kunnen in de zoekopdracht worden gebruikt, maar leiden niet altijd tot een optimaal resultaat. Daarom beslist Google onafhankelijk of de extra symbolen in de zoekresultaten worden toegepast. De symbolen kunnen bijvoorbeeld een munteenheid (€) voorstellen of een verwijzing naar een hashtag (#) zijn. Hele woorden kunnen uit de zoekresultaten worden geweerd zodra u een koppelteken als symbool voor het woord plaatst. Woordgroepen kunnen worden gecombineerd tot een expliciete woordgroep waarnaar met behulp van aanhalingstekens moet worden gezocht. Ook hier kunnen “wildcards” (*) als plaatshouder voor variabele zoekparameters worden ingevoegd.

Met speciale zoekoperatoren kan de zoekopdracht nog preciezer op het gewenste resultaat worden afgestemd.

De zoekoperatoren komen alle overeen met de syntaxis operator:trefwoord. Manche können gut miteinander kombiniert werden, andere dagegen müssen einzeln verwendet werden.

Folgende Suchoperatoren werden am häufigsten verwendet:

  • cache: Der cache Suchoperator kann eine ältere Seitenversion abrufen, die von Google beim letzten Besuch gespeichert wurde. Syntaxis: cache:
  • info: Mit dem info Suchoperator ist es möglich, nach Cache-Versionen einer Webseite, ähnlichen Webseiten, Links zu der Webseite oder Webseiten, die den Link enthalten zu suchen. Syntaxis: info:
  • site: Über diesen Suchoperator lassen sich die Suchergebnisse auf bestimmte Webadressen einschränken. Das ist sinnvoll, um z. B. gezielt auf einer Webseite nach bestimmten Dokumenten zu suchen. Syntax: site:
  • intitle: Mit Hilfe dieses Suchoperators kann nach Wörtern, die im Titel der Webseite verwendet werden, gesucht werden. Syntax: intitle:
    • inurl: Er wordt gezocht naar de zoekterm in de URL’s zelf. Een mogelijk uitgangspunt hierbij is bijvoorbeeld te zoeken op de term “admin” om inlogpagina’s te vinden. Syntax: inurl:
      • filetype: De zoekopdracht is ingesteld op een specifiek bestandsformaat, bijv. PHP of PDF. Syntax: filetype:

Het volgende voorbeeld toont het zoeken op Cubespotter naar een bericht met de zoektermen “Lateral Movement” en maakt gebruik van de zoekoperatoren “inurl” en “site”. De zoekopdracht levert 3 treffers op.

Cubespotter

Maar wat heeft Google search te maken met hacken?

In principe kan alles wat openbaar toegankelijk is op internet en door Google-crawlers is geïndexeerd, worden gevonden via Google search. Dit omvat uiteraard ook inhoud die wellicht nooit door de eigenaar voor publicatie was bestemd. De situatie wordt bijzonder precair wanneer bijvoorbeeld back-upbestanden met vertrouwelijke gegevens of beheerinterfaces van kritieke apparatuur (zoals firewalls) toegankelijk zijn vanaf het internet. Dergelijke informatie effent voor aanvallers de weg om snel en gemakkelijk te infiltreren.

Veel webtoepassingen bevatten standaardteksten die altijd aanwezig zijn. Een eenvoudige zoekactie naar “Powered by xyz” levert dan een heleboel hits op van pagina’s die worden aangedreven door de applicatie xyz.

Specifieke bestandsformaten kunnen ook gemakkelijk in de zoekopdracht worden geïntegreerd, bijvoorbeeld om alleen resultaten te krijgen die verwijzen naar PDF-documenten.

Met een slimme aaneenschakeling van enkele zoekoperatoren is het dus mogelijk om bijvoorbeeld te zoeken naar webtoepassingen met bekende kwetsbaarheden of om specifiek te zoeken naar vertrouwelijke documenten die per ongeluk zijn opgeslagen en geïndexeerd in openbare delen van webservers.

De caching-functie is kritisch, omdat hierdoor kwetsbaarheden kunnen worden misbruikt die al in de nieuwste versie van een site zijn gepatcht. De zoekopdracht verraadt vaak bepaalde apparaten zoals printers of camera’s of hun besturingsinterfaces, bijvoorbeeld.

Zelfs voor misdrijven buiten cyberspace kan de hack-informatie van Google worden gebruikt. Een zoekopdracht naar “inurl: “ViewerFrame?Mode=Motion”, bijvoorbeeld, levert een aantal webcams op die toegankelijk zijn vanaf het internet. Of het echt de bedoeling van de eigenaars was om ze publiek toegankelijk te maken, valt te betwijfelen. Woninginbrekers konden zo zonder gevaar de gewoonten van hun potentiële slachtoffers bespioneren.

Resultaten die naar webcams wijzen

Met behulp van gespecialiseerde zoekmachines, zoals Shodan of Censys, kunnen dergelijke resultaten vervolgens verder worden verfijnd en gevalideerd. Op deze manier kunnen aanvallers zeer uitgebreide informatie over hun potentiële slachtoffers verzamelen zonder zelf zichtbaar te zijn.

Hoe ziet een aanval eruit?

Een Google-hackingaanval bestaat uit twee hoofdonderdelen.

  • 1. In de eerste stap wordt de zoekmachine gebruikt om te zoeken naar beveiligingslekken op internet. Meestal gaat het om bekende kwetsbaarheden van toepassingen die dienen om websites, servers of bepaalde apparaten in het internet der dingen (IoT) te beheren, te besturen en te controleren.
  • 2. In de tweede stap vindt de eigenlijke aanval plaats. Meestal gaat het om het uitbuiten van een bekende kwetsbaarheid. Zo’n kwetsbaarheid kan er heel anders uitzien. Moeilijk te geloven, maar een van de eenvoudigste (en meest wijdverspreide) toegangspunten is een ongewijzigd standaardwachtwoord. Wachtwoorden met trefwoorden: de ranglijst van de populairste wachtwoorden die door gebruikers zijn verstrekt, wordt nog steeds aangevoerd door “123456”. Ook “password” (of in Duitsland “Passwort”) is altijd het proberen waard (meer daarover hier).

Eerste stap: slachtoffer identificeren

In de eerste plaats gaat de aanvaller meestal willekeurig op zoek naar kwetsbare systemen op internet. De praktijk wijst uit dat de meeste hackers eerst achter het “laaghangend fruit” aan gaan – de gemakkelijkste aanvalsdoelen.

De aanvaller kan zich natuurlijk ook op een specifiek doelwit richten en daar naar kwetsbaarheden zoeken. Hij kan bijvoorbeeld rechtstreeks de speciale Google-zoekoperator site gebruiken om alle subpagina’s van een specifieke website te doorzoeken.

Zoekoperator

Zoals in de figuren wordt geïllustreerd, kan de aanvaller zoeken naar afzonderlijke parameters in de URL. Als hij vervolgens de titel, header of teksten toevoegt van de webapplicatie waarnaar hij op zoek is, kan hij expliciet zoeken naar applicaties waarvan bekend is dat ze kwetsbaar zijn.

Daarmee heeft de aanvaller veel verschillende varianten en zoekoperatoren tot zijn beschikking om specifieke websites op te sporen die mogelijk slachtoffers zijn.

Gratis toegankelijke databases met informatie over kwetsbaarheden van alle mogelijke systemen zijn er in overvloed. Een voorbeeld is de National Vulnerability Database (NVD) of de Open Source Vulnerability Database (OSVDB). Deze hebben hun rechtvaardiging in IT-beveiliging. Tenslotte kunnen alleen bekende kwetsbaarheden worden gepatcht en beschermd. De keerzijde van de medaille is natuurlijk dat hackers hier ook kwetsbaarheden kunnen opzoeken voor aanvallen.

Hoe vertrouwelijke documenten worden bespioneerd

Bij het zoeken naar vertrouwelijke documenten kunnen de zoekwoorden “vertrouwelijk”, “vertrouwelijk”, “intern gebruik” en “intern gebruik” al genoeg zijn om via Google zoekopdrachten vertrouwelijke documenten te pakken te krijgen. Bij het bespioneren van documenten is de zoekoperator “filetype” bijzonder nuttig, omdat daarmee het zoeken kan worden beperkt tot scripts of documenten. Er kan expliciet naar veel verschillende bestandsformaten worden gezocht, zoals:

  • Word: filetype:doc
  • Excel: filetype:xls
  • Powerpoint: filetype:ppt
  • PDF: filetype:pdf

Back-upservers kunnen ook vaak via Google worden gevonden. Een zoekopdracht met de zoekterm “index van /” levert al enkele succesvolle hits op. De in de resultaten opgeslagen back-ups kunnen niet alleen afbeeldingen en documenten bevatten, maar ook software of vertrouwelijke informatie. Om de zoekopdracht nog verder te specialiseren, kan de gebruiker termen als “+PDF” of “+MP3” aan de zoekopdracht toevoegen om documenten of MP3-bestanden nog preciezer te vinden.

Open deuren

Websites of webapplicaties worden vaak beheerd via contentmanagementsystemen (CMS) zoals Contao (https://contao.org/en/), ProcessWire (https://processwire.com/), Solodev (https://www.solodev.com/), WordPress (https://de.wordpress.com) of Joomla (https://www.joomla.de/).

De configuraties van de website kunnen dan worden uitgevoerd via het CMS, dat vaak ook toegankelijk is via een URL. Als de exploitant vergeet om de toegang hier doeltreffend te beveiligen, kunnen aanvallers kwetsbaarheden in deze systemen expliciet uitbuiten.

Omdat dergelijke beheerpagina’s ook specifiek via Google kunnen worden opgezocht. Een eenvoudig voorbeeld: zoeken naar inurl:”/wp-login.php” levert expliciet WordPress login pagina’s op, mits deze via het internet toegankelijk zijn. En in de regel zijn ze dat ook. Dit betekent dat niets een aanval op de gewoonlijk aanwezige gebruiker “admin” in de weg staat (bijvoorbeeld met het reeds genoemde, altijd populaire wachtwoord “123456”).

Anonymous Googling

Google-hacking biedt niet alleen de nodige zoekoperatoren om slachtoffers te vinden. Aanvallers hebben ook manieren om hun toegang te verhullen. Het principe van de methoden is om specifiek tussen Google te komen.

Zo kunnen pagina’s door Google worden vertaald. Daartoe verschijnt naast het zoekresultaat een link “Translate this page”. Ten tweede kunnen pagina’s uit de cache van Google worden geladen zonder een rechtstreeks verzoek naar de desbetreffende webserver te sturen.

Beide kunnen voorkomen dat de aanvaller rechtstreeks (en dus mogelijk traceerbaar) contact hoeft te leggen met de server van het slachtoffer.

De toegang tot documenten kan door Google ook worden vermomd. Als de link “HTML-versie” naast de treffer in de Google-resultaten verschijnt, kan de aanvaller het document bekijken zonder contact te hoeven maken met de server. Want ook hier helpt Google: de zoekmachine genereert automatisch een HTML-versie van het document, zodat de gebruiker deze versie in de browser kan bekijken zonder de benodigde applicatie te openen.

Tips om uzelf te beschermen

Een paar eenvoudige maatregelen kunnen de bescherming al aanzienlijk verbeteren om uw eigen website uit de massa van gemakkelijke slachtoffers naar een veel hoger niveau te tillen:

  • Kritische pagina’s (zoals de administratiegebieden van het CMS) kunnen worden beschermd via een htaccess-bestand. Toegang vanaf internet is dan bijvoorbeeld alleen mogelijk vanaf bepaalde IP-adressen.
  • Door gebruik te maken van de metatag of meer specifiek voor Google: in de van een website, wordt deze uitgesloten van indexering door Google en andere zoekmachines. Op die manier kan worden gecontroleerd welke pagina’s zichtbaar en doorzoekbaar zijn op het web en welke niet. Google zelf beveelt deze methode aan om te bepalen welke gegevens doorzoekbaar moeten zijn en welke niet (deze beperkingen gelden echter alleen voor webpagina’s).
  • In het algemeen kunnen dergelijke instellingen worden geconfigureerd via een robots.txt-bestand.
  • Om documenten te beveiligen, kan het al voldoende zijn om ze te verplaatsen naar een submap met wachtwoordbeveiliging, zoals hier beschreven.

Professionele beveiliging

Het gebruik van een reverse proxyserver verhoogt de beveiliging nog eens enorm. De configuratie-inspanning moet echter niet worden onderschat.

Een web application firewall (WAF) is het middel bij uitstek om de eigen webapps op betrouwbare wijze te beschermen. Dergelijke systemen zijn niet bepaald goedkoop, maar ze bieden uitgebreide bescherming – mits ze door deskundigen correct zijn geconfigureerd en ingesteld.

* De auteurs: Isabell Schmitt, Consultant IT-Security, iT-CUBE SYSTEMS; Franz Härtl, Marketing Manager / Creative Director, iT-CUBE SYSTEMS

.