Webseiten prüfen mit Goolag
Wenn Google sensible Daten offenlegt

Hannover, 16. Mai 2008 - Ob Schwachstellen, verwundbare Webanwendungen oder versehentlich ins Netz gestellte persönliche Daten: Mit dem Programm Goolag können Systemverantwortliche Sicherheitslücken aufspüren, schreibt das IT-Profimagazin iX in der aktuellen Ausgabe 6/08.

Für das gezielte Aufspüren sensibler Informationen und bekannter Applikations- oder Konfigurationsschwachstellen hat sich sowohl in der Hacker-Szene als auch in der IT-Sicherheitsindustrie das sogenannte "Google-Hacking" etabliert. Die Kunst besteht darin, passende Suchanfragen zu formulieren, um die relevanten Seiten aufzuspüren.

Mit der Windows-Anwendung Goolag, die man kostenlos auf der Webseite www.goolag.org herunterladen kann, können Systemverantwortliche das Google-Hacking auf ihren eigenen Webseiten automatisiert durchführen und sehen, welche Informationen oder Einfallstore ein Angreifer vorfinden würde. Das .net-Programm durchforstet knapp 1500 vorkonfigurierte Google-Suchanfragen, die in 14 Kategorien wie "Files Containing Passwords" oder "Sensitive Directories" unterteilt sind. Die Bedienung des Werkzeugs ist intuitiv. Binnen weniger Minuten kann der Anwender den Funktionsumfang erfassen und verstehen. Wie bei allen Schwachstellen-Scans ist es auch bei Goolag unerlässlich, alle Treffer manuell zu validieren, um die Fehlmeldungen zu beseitigen. Das ist zwar lästig, aber nicht so sicherheitskritisch wie False Negatives, also nicht identifizierte Schwachstellen, die man andernfalls vielleicht übersehen würde. Leider können die Scan-Ergebnisse in keiner Weise exportiert, ausgedruckt oder zu einem Report aufbereitet werden. Hier besteht noch reichlich Optimierungspotenzial für Weiterentwicklungen oder neue Anwendungen.

Beim Experimentieren mit Goolag ist allerdings Vorsicht geboten, vor allem wenn man es von der eigenen Firma aus startet. Dann könnte Google Wurmaktivitäten vermuten und schon nach wenigen Sekunden die lokale IP-Adresse sperren, was je nach Netzwerk-Topologie schnell zu Verstimmungen bei Kollegen, Managern und Systemadministratoren führen kann.

"Mit Goolag hat nun jeder die Möglichkeit, eigene Netzwerke zumindest auf die gröbsten Sicherheitsrisiken durch Google-Hacking zu untersuchen und sich gleichzeitig in die Materie einzuarbeiten", urteilt iX-Redakteurin Ute Roos. "Womit Goolag genau das tut, was es soll: aufklären, sensibilisieren und eine erste Übersicht schaffen."