Google-Hacks
1. Der Trick mit den Anfьhrungszeichen
Immer wenn es darum geht, einen Ausdruck in einer ganz spezifischen Schreibweise zu finden, helfen Anfьhrungszeichen. Wenn Sie bei Google also "Die besten Bьcher" eingeben, tauchen in den Ergebnissen nur Seiten auf, die genau diesen Text enthalten. Nur die GroЯ- und Kleinschreibung spielt keine Rolle. Wenn Sie die Anfьhrungszeichen weglassen, wьrden Sie zwar wesentlich mehr Treffer erzielen. Darunter wдren aber Seiten, auf denen die Wцrter "Die", "besten" und "Bьcher" bunt verstreut und in vцllig anderer Reihenfolge und anderen Zusammenhдngen stehen. Sinnvoll ist die Suchweise mit Anfьhrungszeichen auch bei Namen. Denn wenn man Vor- und Nachname ohne Anfьhrungszeichen eintippt, findet man viele Seiten, auf denen zwar beide Namensbestandteile auftauchen, aber in Zusammenhang mit einem jeweils anderen Vor- oder Nachnamen.
Platzhalter: Eine Besonderheit bei der Suche mit Anfьhrungszeichen ist, dass Sie den Stern als Platzhalter verwenden kцnnen. So wьrde "Digitalkamera*" sowohl den Singular als auch den Plural, "Digitalkameras", finden. Oder, um beim ersten Beispiel zu bleiben: "Die * Bьcher" wьrde nicht nur den Ausdruck "Die besten Bьcher" finden, sondern auch "Die neuesten Bьcher" und "Die lustigsten Bьcher". Mehrere Platzhalter sind mцglich. Bei einer Suche nach "Die * * Bьcher" erhalten Sie Treffer, bei denen zwei beliebige Wцrter zwischen "Die" und "Bьcher" stehen. Durch ein vorangestelltes Minus-Zeichen kцnnen Sie ьbrigens festlegen, dass der darauf folgende Ausdruck nicht auftauchen darf. So schlieЯen Sie etwa mit ""Die * * Bьcher" -koch" Kochbьcher aus.
2. Backups, MP3s & Seriennummern leicht auffindbar
Hacker nutzen die Suchmцglichkeit nach ganz speziellen Zeichenketten, um Dateien oder Seiten aufzustцbern, die eigentlich nicht цffentlich zugдnglich sein sollten, es aber trotzdem sind. Der Ausdruck "This report was generated by WebLog" erscheint zum Beispiel auf Seiten, die das Statistik-Tool Weblog erstellt hat. Diesen Auswertungen kann man entnehmen, wann ein Webserver wie viele Besucher hatte, ьber welchen Link diese gekommen sind und welche Browser sie benutzt haben. Natьrlich erfдhrt man auch, welche Seiten sie aufgerufen haben. Das sind zwar alles keine hochsensiblen Daten, aber fьr einen Konkurrenten durchaus interessant.
Belarc Advisor: Etwas intimer wird es bei der Suchanfrage "Belarc Advisor Current Profile key:". Hier erfahren Sie, wie es um die PC-Ausstattung anderer Anwender bestellt ist. Belarc Advisor ist ein kostenloses Tool, das den Rechner analysiert und Details zu seiner Ausstattung als HTML-Bericht ausgibt. Manche Anwender haben diesen Report - aus welchen Grьnden auch immer - ins Web gestellt, und Google hat ihn indiziert. Besonders pikant dabei: Der Report enthдlt auch Seriennummern und Freischaltschlьssel zur installierten Software, dazu eine Aufstellung aller eingerichteten Benutzer-Accounts.
Weiterer Suchausdruck: Sehr ergiebig ist auch "Index of /". Denn wenn der Administrator eines Webservers in ein (Unter-) Verzeichnis keine Web-Seite hineingelegt und das Auflisten von Verzeichnisinhalten nicht deaktiviert hat, erscheint beim Aufruf eine Liste mit allen enthaltenen Dateien. Und diese trдgt meist "Index of /" in der Ьberschrift. Die aufgelisteten Dateien lassen sich per Klick aufrufen oder herunterladen. Die Abfrage lдsst sich auch verfeinern. Die Suche nach "Index of /MP3" findet etwa offene Verzeichnisse, die den Namen "MP3" tragen. Im Unterschied dazu liefert die Abfrage "Index of /" MP3" alle offenen Verzeichnisse gleich welchen Namens, in denen Dateien mit dem Namensbestandteil oder der Endung MP3 liegen. Bei der Bildung der Suchabfrage sind der Fantasie keine Grenzen gesetzt. Denkbar wдren auch "Index of /backup", "Index of /documents", "Index of /dokumente" und so weiter.
Achtung: Nicht nur, aber speziell hier bei der "Index of /"-Suchmethode gibt es inzwischen einige Trittbrettfahrer. Diese bauen die Zeichenfolge "Index of" in ihre Web-Seiten ein, um neugierige Google-Sucher dorthin zu locken. Bestenfalls bieten diese Seiten nicht das Gesuchte, schlimmstenfalls versuchen sie, Ihnen Malware unterzuschieben. Seien Sie also wachsam und surfen Sie nur mit installiertem Virenscanner oder innerhalb eines virtuellen PCs.
Webcams: Mit dem richtigen Suchbegriff findet man viele ungeschьtzt im Netz (Foto: PC-WELT) 3. Steuerbare Webcams frei zugдnglich
Schlьssellochgucker kцnnen mit speziellen Suchbegriffen gezielt nach den Web-Schnittstellen von Internet-Kameras suchen, bei denen immer eine spezifische Zeichenkette auftaucht. Mit "live view - axis" stцbert man zum Beispiel Netzwerkkameras des Herstellers Axis auf. Diese lassen sich zum Teil sogar fernsteuern.
4. Suche in fremden Word-, Excel- & Powerpoint-Dateien
Mit dem mдchtigen Parameter "filetype:" gefolgt von einer Datei-Endung kцnnen Sie gezielt nach bestimmten Dateitypen suchen. Der Ausdruck "filetype:pdf" findet zum Beispiel alle von Google indizierten PDF-Dokumente. Im Test waren das 184 Millionen. Sinnvoll ist die Suche aber erst, wenn sie durch normale Schlьsselwцrter oder andere Parameter ergдnzt wird. So findet "filetype:pdf Handbuch Linux" eine Menge Dokumentationen zum freien Betriebssystem. Auch Bьcher, deren Copyright abgelaufen ist, liegen hдufig als PDF-Datei im Web offen herum - auf die Weise kцnnen Sie sich manchen Weg in die Bibliothek sparen. Ebenfalls sehr ergiebig ist die Suche nach den weit verbreiteten Datei-Endungen DOC (fьr Word-Dateien), XLS (Excel) und PPT (Powerpoint).
5. "Vertrauliches" ganz und gar nicht geheim
Findige Schnьffler kombinieren die Suche nach Dateitypen mit Schlьsselwцrtern wie "Vertraulich" oder dem englischen Pendant "Confidential". Gebrдuchlich sind auch Ausdrьcke wie "fьr den internen Gebrauch" beziehungsweise "internal use". Es ist schon erstaunlich, wie viele Dokumente, die nicht fьr fremde Augen bestimmt zu sein scheinen, im Web offen herumliegen. Manche Dateien kann man betrachten, ohne die entsprechende Anwendung installiert zu haben und ohne zum eigentlichen Server Kontakt aufzunehmen. Das ist immer dann der Fall, wenn neben einem Treffer der Link "HTML-Version" steht. Diese wird von Google generiert.
Besonders bei Spammern beliebt sind Suchabfragen wie "mail filetype:csv" oder "mail filetype:xls". Sie fцrdern Tabellen zutage, die eine Vielzahl an Mailadressen enthalten - von der Mitgliederliste bis hin zur Kundendatenbank. CSV ist ьbrigens ein sehr simples Dateiformat fьr Tabellen mit maximaler Kompatibilitдt, das von vielen Anwendungen gelesen werden kann. Daher wird es gerne zum Dateiaustausch benutzt und auch im Web abgelegt. Viele Ergebnisse erhдlt beispielsweise auch, wer nach "Lebenslauf filetype:pdf" sucht.
6. Schlьsselwцrter in Web-Adressen finden
Der Parameter "inurl:" findet Seiten, bei denen das nachfolgende Suchwort in der Web-Adresse enthalten ist. Mit "inurl:videos" wьrden Sie Seiten wie www.server1.test/videos/index.html zu Tage fцrdern. Bei unserem Test kamen wir auf ьber 45 Millionen Treffer, von denen zumindest die ersten zielsicher zu Bewegtbildern fьhrten. Eine andere Variante wдre "inurl:downloads", um schnell und ohne Umschweife zu den Download-Rubriken von Websites zu gelangen. Inurl lдsst sich beliebig mit mehreren Suchbegriffen kombinieren. Die Suche nach "inurl:downloads Freeware" findet Seiten, bei denen der Ausdruck "downloads" in der Adresse und der Begriff "Freeware" irgendwo im Text vorkommt.
Mehrere Schlьsselwцrter: Mцchten Sie Web-Adressen finden, die mehrere ausgewдhlte Schlьsselwцrter enthalten, verwenden Sie "allinurl:" und schreiben dahinter die Suchbegriffe wie folgt: "allinurl:videos flash". Diese Abfrage kцnnen Sie jedoch nicht mit anderen Suchvarianten kombinieren. Abhilfe schafft die mehrfache Verwendung des einfachen "inurl", etwa "lustig inurl:flash inurl:videos".
7. Server- Software erkennbar an Standardpfaden
Hacker nutzen "inurl: / allinurl:", um Standardpfade von Webservern zu finden. "inurl:/admin/login.asp" spьrt zum Beispiel gezielt Log-in-Formulare fьr Administrations-Bereiche, "inurl:exchange/logon.asp" solche fьr Exchange-Mailserver auf. Die Abfrage "inurl:cgi-bin/ultimatebb.cgi?ubb= login" fьhrt zu Anmeldemasken auf Forums-Servern, die die Software Ultimate Bulletin Board benutzen. Confixx ist eine weit verbreitete Software, ьber die sich Web-Prдsenzen konfigurieren lassen. Die Abfrage "inurl:confixx inurl:login|anmeldung" findet Confixx-Log-in-Seiten. Der senkrechte Strich bedeutet "oder". Er ist zu erreichen ьber "AltGr"-"Spitzklammer". Zwar kann der Hacker mit einem Anmeldeformular alleine noch nichts anfangen. Aber er hat einen Ansatzpunkt. Manchmal gibt es auch Sicherheitslьcken, die er ausnutzen kann, um Zugang zu erlangen. Dann hat er die volle Kontrolle ьber die Web-Prдsenz und kann sie entweder lahm legen oder Inhalte austauschen: Auf der Startseite eine Hetzbotschaft platzieren, das Foto des Geschдftsfьhrers gegen ein anderes austauschen ...
8. Suche im Seitentitel hilft beim gezielten Filtern
Mit "intitle:" schrдnken Sie die Suche auf Begriffe ein, die im Titel einer Seite vorkommen. Damit sind die Angaben gemeint, die beim Besuch einer Seite in der Titelzeile des Browsers erscheinen. AuЯerdem dient der Begriff meist als Ьberschrift in den Google-Trefferlisten. Intitle hilft zum Beispiel weiter, wenn Sie vor einer Fьlle an Suchergebnissen stehen und diese schдrfer eingrenzen wollen. Voraussetzung ist natьrlich, dass Sie davon ausgehen, dass der Suchbegriff im Titel der gewьnschten Seite(n) auftaucht. Ein Beispiel wдre: "Rezept intitle:Caipirinha". Wenn Sie nur nach "Rezept Caipirinha" suchen, erhalten Sie zwar wesentlich mehr Treffer. Darunter sind aber auch viele Rezepte, in denen der Begriff Caipirinha in anderen Zusammenhдngen vorkommt, zum Beispiel: "Nach diesem Gericht stoЯen Sie am besten mit einem Caipirinha an."
9. Konfigurationen von Netzwerkgerдten offen im Web
Intitle lдsst sich auch dazu verwenden, ungeschьtzte Websites oder Netzwerkgerдte zu finden. Mit "intitle:"Webview Logon Page"" gelangen Sie etwa zu offen stehenden Firmen-Switches der Firma Alcatel. Switches verbinden mehrere Netzteilnehmer miteinander. Wenn der Admin hier vergessen hat, das Standardpasswort zu дndern, steht einem Hacker Tьr und Tor offen. Er kцnnte das Gerдt so umkonfigurieren, dass in der Firma, in der es steht, plцtzlich nichts mehr geht. Mцglicherweise gelingt es ihm sogar, Datenverkehr zu belauschen. Detaillierter suchen: Mit Intitle kцnnen Sie auch Abfragen prдzisieren. Wenn Sie beispielsweise "This report was generated by WebLog" aus Punkt 2 um "intitle:"Access Details Report"" erweitern, erhalten Sie zwar weniger, dafьr aber genauere Ergebnisse.
10. Die rechtliche Situation: Prinzipiell unproblematisch
Bleibt die Frage, wie die rechtliche Situation ist, wenn Sie bei der Internet-Suche auf vertrauliche Dokumente stoЯen. Das Strafgesetzbuch sagt dazu in §202a, Absatz 1: "Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht fьr ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Ьberwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft." Da die von Google indizierten Dokumente keinen Zugangsschutz besitzen, machen Sie sich also nicht strafbar, wenn Sie darauf zugreifen.
Einen Freifahrtschein kцnnen wir Ihnen trotz offenbar eindeutiger Rechtslage nicht ausstellen. Denn einschlдgige Gerichtsurteile gibt es in diesem Bereich noch nicht. Was Sie auf jeden Fall beachten mьssen, ist das Urheberrecht - das kommt beispielsweise zur Anwendung, wenn Sie auf MP3s mit kommerzieller Musik stoЯen. Einhalten sollten Sie auch, wenn Sie auf ein Log-in-Formular stoЯen. Denn hier kann man schon unterstellen, dass der Zugang "besonders gesichert" ist - es sei denn, das Standardpasswort wurde nicht geдndert.