Wenn Google sensible Daten offenlegt / Webseiten prüfen mit Goolag

Hannover (ots) - Ob Schwachstellen, verwundbare Webanwendungen
oder versehentlich ins Netz gestellte persönliche Daten: Mit dem
Programm Goolag können Systemverantwortliche Sicherheitslücken
aufspüren, schreibt das IT-Profimagazin iX in der aktuellen Ausgabe
6/08.

Für das gezielte Aufspüren sensibler Informationen und bekannter
Applikations- oder Konfigurationsschwachstellen hat sich sowohl in
der Hacker-Szene als auch in der IT-Sicherheitsindustrie das
sogenannte "Google-Hacking" etabliert. Die Kunst besteht darin,
passende Suchanfragen zu formulieren, um die relevanten Seiten
aufzuspüren.

Mit der Windows-Anwendung Goolag, die man kostenlos auf der
Webseite www.goolag.org herunterladen kann, können
Systemverantwortliche das Google-Hacking auf ihren eigenen Webseiten
automatisiert durchführen und sehen, welche Informationen oder
Einfallstore ein Angreifer vorfinden würde. Das .net-Programm
durchforstet knapp 1500 vorkonfigurierte Google-Suchanfragen, die in
14 Kategorien wie "Files Containing Passwords" oder "Sensitive
Directories" unterteilt sind. Die Bedienung des Werkzeugs ist
intuitiv. Binnen weniger Minuten kann der Anwender den
Funktionsumfang erfassen und verstehen. Wie bei allen
Schwachstellen-Scans ist es auch bei Goolag unerlässlich, alle
Treffer manuell zu validieren, um die Fehlmeldungen zu beseitigen.
Das ist zwar lästig, aber nicht so sicherheitskritisch wie False
Negatives, also nicht identifizierte Schwachstellen, die man
andernfalls vielleicht übersehen würde. Leider können die
Scan-Ergebnisse in keiner Weise exportiert, ausgedruckt oder zu einem
Report aufbereitet werden. Hier besteht noch reichlich
Optimierungspotenzial für Weiterentwicklungen oder neue Anwendungen.

Beim Experimentieren mit Goolag ist allerdings Vorsicht geboten,
vor allem wenn man es von der eigenen Firma aus startet. Dann könnte
Google Wurmaktivitäten vermuten und schon nach wenigen Sekunden die
lokale IP-Adresse sperren, was je nach Netzwerk-Topologie schnell zu
Verstimmungen bei Kollegen, Managern und Systemadministratoren führen
kann.

"Mit Goolag hat nun jeder die Möglichkeit, eigene Netzwerke
zumindest auf die gröbsten Sicherheitsrisiken durch Google-Hacking zu
untersuchen und sich gleichzeitig in die Materie einzuarbeiten",
urteilt iX-Redakteurin Ute Roos. "Womit Goolag genau das tut, was es
soll: aufklären, sensibilisieren und eine erste Übersicht schaffen."

Titelbild iX 6/2008
www.heise-medien.de/presseinfo/bilder/ix/08/ix062008.jpg

Ihre Ansprechpartnerin für Rückfragen:
Sylke Wilde
Presse- und Öffentlichkeitsarbeit
Telefon +49 [0] 511 5352-290
Telefax +49 [0] 511 5352-563
sylke.wilde@heise-medien.de
www.heise-medien.de
Aktuelle Meldungen aus der Heise Medien Gruppe finden Sie unter
http://www.heise-medien.de/presseinfo

Unter http://www.heise-medien.de/presseabo können Sie sich für den
Mail-Service anmelden. Dann erhalten Sie automatisch jede neue
Pressemitteilung aus der Heise Medien Gruppe per E-Mail.

Originaltext: iX-Magazin
Digitale Pressemappe: http://www.presseportal.de/pm/7049
Pressemappe via RSS : http://www.presseportal.de/rss/pm_7049.rss2

Pressekontakt:
iX-Magazin
Sylke Wilde
Telefon: 0511 / 5352 - 0