• Lass’ Deiner Kreativität freien Lauf. Ob Du einen Film drehst und diesen bei Youtube, MySpace einstellst, einen Podcast erstellst und auf Deinem Blog veröffentlichst, ein Bild malst und bei Facebook, Flickr oder ähnlichem hochlädst und verlinkst … Deiner Phantasie sind dabei keine Grenzen gesetzt.
• Einzige Vorgabe: Stelle darin https://www.botfrei.de oder dieses Blog (http://blog.botfrei.de) vor und mache darauf aufmerksam, wie wichtig es ist sich zu diesem Thema zu informieren und vorzubeugen.
• Stelle Deinen Vorschlag hier (über die Kommentar-Funktion oder per Mail an technik@botfrei.de) bis zum 15. August 2011 23:59 Uhr vor und schon nimmst Du teil

Dazu habe ich gleich 2 Beiträge geleistet. Ich habe mit meinem Kollegen von pixel-foo.de ein Video zum Thema gedreht und es auf Facebook hoch geladen. Und eine Webseite erstellt auf der man sich als Botfreier Internet-Benutzer präsentieren kann. Auf der Webseite muss man nur einmal die Facebook-Erlaubnis erteilen und dann wird automatisch der Name, die erste Webseite, das Benutzerbild und die Benutzer-ID gespeichert. Weitere Daten werden nicht abgefragt. Wenn man das gemacht hat steht man mit Link zu seiner Websetie auf ichbinbotfrei.de.

Die Beiträge:

• ichbinbotfrei.de
• Das Video

Ich hoffe euch gefällt das!

Nach dem eher erfolglosem Versuch mit Buzz hat Google nun mit Google+ ein komplett neues Social-Network aufgesetzt. Wer von Facebook rüber kommt wird sich schnell mit der Bedienoberfläche anfreunden können. Mir persönlich kommt diese sogar noch etwas aufgeräumter vor.

Als Besonderes Feature bietet Goolge+ die verschiedenen Circles (Kreise) an. Hier kann man seine Kontakte gruppieren. So hat man am Anfang schon Kreise für Freunde, Bekannte, Familie und ‘nur Folgen’. Das Konzept dahinter sieht ganz einfach aus: Mit meine Freunden will ich andere Informationen teilen, als mit der Familie oder nur Bekannten. Mit dem ‘nur Folgen’ Kreis ersetzt man im Prinzip die Facebook Seiten. Jeder, ob Person oder Firma hat einen Google+-Account und kann in dem Netzwerk nun Social aktiv werden. Außerdem kann man jederzeit eigene neue Kreise erstellen.

Mit dem Google+-Account hat man auch Zugang zu Googles-Jabber-Servern talk.google.com. Das Protokoll von Jabber xmpp wird von fast jedem gängigen Multi-Messenger unterstützt. Eine Liste gibt es direkt bei Jabber.org.

Ein weiteres großes Feature von Google+ ist Hangout. Das ist ebenfalls ein Nachrichtensystem nur besser. Hier kann man sich mit mehrere Freunden in einem Hangout-Raum treffen mit Webcams rumalbern, chatten, reden und zum Beispiel direkt zusammen YouTube-Videos schauen. Alles innerhalb dieser Anwendung. Dazu ist lediglich die Installation eines Browser-Plugins notwendig.

Die Sonstige Funktionalität ist ähnlich wie bei Facebook (+1 anstelle von ‘Gefällt mir’ ‘Stream’ statt ‘Pinwand’) nur halt mehr: Mit dem Google+-Account kann man nämlich auch sämtliche andere Anwendungen von Google nutzen. Dazu zählen:

• Die Dokumentverwaltung Text & Tabellen
• Google-Mail
• Kalender
• RSS-Reader
• Picasa

Diese Frage ist eigentlich ganz einfach zu beantworten: Weil du unsichere Software auf der Webseite benutzt. Bei den meisten Angriffen im Internet geht es nämlich nicht darum dem Webseitenbetreiber zu schaden, sondern um von dem Server des Seitenbetreibers Spam zu versenden, weitere Systeme anzugreifen oder auch Viren zu verteilen.

Angreifbare Systeme sind dabei meist sehr einfach zu finden. Dazu benötigt man nur die richtigen Patterns, mit der man die Google-Suche füttern kann. Für die selbst geschriebenen Seiten haben ich für das Projekt Der WebWart einen bereits einen entsprechenden Artikel geschrieben: Remote-File-Inclusion / Local-File-Inclusion – Warum ich?

Dort wird sehr einfach erklärt warum man auch mit einer eigenen Webseite schnell zum Angriffsziel für Remote-File-Inclusion und Local-File-Inclusion-Angriffe werden kann und was man dagegen tun kann. Allerdings fehlt noch ein Tipp in diesem Artikel: Parameter verstecken!

Man kann die URL einer Webseite so umschreiben, dass diese über eine Google-Suche, die zum Beispiel über die inurl-Suche gemacht wird, nicht als PHP-Script mit Parametern erkannt wird. Damit macht man dann aus ‘index.php?seite=start’ einfach ‘/start’ . Der Suchstring ‘inurl:php?page=home’ findet diese Seite dann einfach nicht mehr. Benötigt wird hierzu nur die installierte Apache-Mod mod_rewrite und eien entsprechende Regel. Das Modul wird ausführlich auf apache.org erklärt. Für das genannte Beispiel sähe es wie folgt aus:

RewriteEngine on
RewriteRule ^/(.*)$ /index.php?seite=$1

Aber nicht nur mit der Programmierung und dem Einsatz einer eigenen Software begibt man sich in diese Gefahr. Auch angreifbare CMS kann man über Google recht gezielt suchen. In zum Beispiel der exploit-db findet man jede Menge Angriffsvektoren und kann daraus sehr einfach Patterns für die Google-Suche bilden. Zum Beispiel für diesen Exploit: Joomla Component (com_sef) RFI

Über die Sicherheitslücke kann man ein beliebiges externes Skript in die Seite einbinden und damit sehr großen Schaden anrichten. Das Sicherheitsloch ist hier die Variable ‘mosConfig.absolute.path’ die zum includieren von Dateien im Joomla!-System verwendet wird. Man kann nun über Google gezielt nach Joomla!-Versionen suchen, die die Komponente com_sef einsetzen. Das geht so einfach, weil die Information mit in der URL drin steht ‘ption=com_sef’. Der Google-String sieht dann so aus:

inurl:'option=com_sef' + inurl:'mosConfig.absolute.path='

Direkt zu Google
Die Ergebnisse kann man dann über ein Script automatisiert durchlaufen lassen und findet damit sehr schnell die Angreifbaren Versionen heraus.
Ähnliches kann man machen um sich gezielt Content-Management-Systeme aus Google zu ziehen. Viele System verraten schon über die URL was Sie sind. So kann man WordPress-Installation über

inurl'wp-admin/index.php'

finden. Den Verzeichnis-Prefix ‘wp-’ verwendet sonst kein CMS. Gleiches funktioniert zum Beispiel auch für Joomla! mit

inurl'administrator/index.php'

Die meisten anderen CMS verwenden als Namen für das Administrationsverzeichnis ‘admin’, daher findet man darüber sehr eindeutig Joomla!-Installationen. Warum sind Angreifer interessiert an den Administrationsverzeichnissen? Ganz einfach: Auf die Anmeldeseiten kann man sehr leicht einen Brute-Force-Angriff starten. Die meisten CMS sind dagegen nicht abgesichert. Ist man als Angreifer dann einmal im Administrationsbereich drin, kann man sehr schnell Zugriff auf den ganzen Webspace/Server bekommen. Man platziert zum Beispiel einen Shell-Code in einer Template-Datei.

Goldene Regeln:

1. Benutzereingaben niemals ungeprüft weiter verarbeiten. Wenn man nur bestimmte Eingaben erwartet, dann sollte man diese auch Prüfen.
2. Benötigt man die Funktion um externe Dateien zu laden überhaupt? Wenn nicht kann man entsprechende Variablen für PHP abschalten. Für php4 ‘allow_url_fopen’ für php5 ‘allow_url_include’ und ‘allow_url_include’.
3. Versteckt eure Angriffsvektoren zum Beispiel über mod_rewrite.
4. Aktualisiert eure CMS regelmäßig. Das schlimmste ist eine Software die man hoffnungslos auf dem Webspace/Server veralten lässt.
5. Nehmt Dateien und Verzeichnisse die nichts in der Google-Suche verloren haben aus dem Index raus. Das könnt Ihr über eine robots.txt steuern oder gleich die ganze Datei oder das Verzeichnis mit eienr .htaccess für den Zugriff sperren.

Und das Tolle ist: Es ist ganz einfach. Man besuche einfach http://www.google.de/cse. Dort kann man sich den benötigten Quellcode für die eigene Suche einfachst zusammenklicken. Der Rest ist dann nur noch Kopieren und Einfügen.

Wer meinen alten Artikel (pastie.org – Das Portal zu den Zugangsdaten der Anderen.) aufmerksam gelesen hat und auch fündig geworden ist, wird hier wahrscheinlich nichts viel neues finden. Dennoch will ich es einmal erklären.

Der Inhalt der Dokumente sah immer so aus

http://benutzername:passwort@domain.de/url

oder so

Webseite: http://domain.de/url
Benutzername: Benutzername
Passwort: Passwort

Mit der URL steht uns also eine wichtige Information zur Verfügung. Diese kann man auch gezielt abfragen. Als Beispiel nehmen wir jetzt einmal Amazon. Die deutsche Anmeldeseite hat folgende URL ‘https://www.amazon.de/ap/signin’. Genau danach suchen wir jetzt einfach mal bei Google

"amazon.de/ap/signin"

Direkt zu Google

Schon damit fallen uns die ersten Zugangsdaten in die Hände. Das Spiel lässt sich nun beliebig weiterspielen. Fast jedes Portal bietet in der URL genügend Eindeutigkeit um damit gezielt nach diesen Dateien zu suchen. Ein weiteres Beispiel ist Ebay. Allerdings findet hier die reine Suche nach der Login-URL zu viele schlechte Ergebnisse. Auch das hinzufügen von “Passwort” oder “Benutzername” führt nicht zum gewünschten Ergebnis. Was also tun? Ganz einfach. In vielen Fällen werden diese Dateien als TXT-Dateien abgelegt. Damit lässt sich die Suche dann genügend verfeinern um gute Ergebnisse zu erhalten.

"signin.ebay.de"  filetype:txt

Direkt zu Google

Also hier noch einmal die Warnung: Eure Zugangsdaten sind wie euer Haustürschlüssel. Hütet diese. Auf dem Blog des Internet-Projektes ‘Der WebWart‘ das ich mit 3 weiteren Personen betreibe haben wir vor kurzem einen ausführlichen Artikel zur Passwortsicherheit geschrieben. Ich empfehle: Lesen!

Um herauszufinden ob euer Passwort bereits im Internet zu finden ist empfehle ich einfach mal danach zu googlen.

Allerdings ist jedes Logo nur für eine bestimmte Zeit (meist einen Tag) verfügbar. Was wenn ich ein cooles Logo nochmal ansehen und ausprobieren möchte? Ganz einfach: Google stellt hierzu ein Archiv zu Verfügung. Zu finden unter: http://www.google.com/logos/index.html

Hier sieht man nicht nur die alten Logos, sondern kann auch die Funktionalität weiter nutzen. Dazu klickt man einfach auf das entsprechende Logo drauf. Einer meiner Favoriten: Pac-Man

• as_filetype

Mit diesem Parameter kann man gezielt nach bestimmten Dateiendungen suchen. Damit kann man sehr gut, nach heiklen Daten suchen die Achtlos ins Internet gestellt wurden. Ein gutes Beispiel dafür ist der Dateityp txt:

http://www.google.de/search?q=password+username+accounts&as_filetype=xml

Direkt zu Google

• as_qdr

Das ist einer meiner wichtigsten Suchparameter. Er kann auch direkt in der URL angegeben werden. Damit beschränkt man die Suchbegriffe auf einen Bestimmten Zeitraum. Mögliche Werte:

• d – Die letzten 24 Stunden
• w – Die letzte Woche
• m – Der letzte Monat
• y -  Das letzte Jahr
• mn – So kann man die Anzahl der Monate noch spezifizieren. ‘n’ wird dabei durch die gewünschte Zahl ersetzt. ‘n3′ bedeutet Ergebnisse der letzten 2 Monate.

Mit dem Parameter kontrolliere ich unter anderem, was die letzte Woche neues über mich im Netz zu finden war. So wendet man ihn an:

http://www.google.de/search?q=%22googlesearchfoo.com%22&as_qdr=m

Direkt zu Google

• safe

Wie  ihr euch wahrscheinlich bereits denkt ist das die Safe-Search-Option aus der Google Benutzeroberfläche. Diese filtert angeschaltet Suchergebnisse mal mehr und mal weniger sinnvoll. Wer das nicht haben möchte kann auch direkt mit ausgeschalteter Filterfunktion auf Google zugreifen. Einfach Bookmarken wie folgt:

http://www.google.de/webhp?safe=0

Direkt zu Google

• filter

Diese Option verhindert das Ergebnisse zusammengefasst werden. Dabei versucht Google ähnliche Seiten nicht doppelt anzuzeigen. Dem Benutzer teilt man das mit folgender Nachricht mit:

Um Ihnen nur die treffendsten Ergebnisse anzuzeigen, wurden einige Einträge ausgelassen, die den 78 bereits angezeigten Treffern sehr ähnlich sind.

Um diesen Filter zu umgehen, wenn man zum Beispiel überprüfen will wie viele Ergebnisse eine Suche wirklich ergibt, kann man den Filter einfach mit dem Wert 0 aus schalten. Das sieht dann so aus:

http://www.google.de/search?q=test&filter=0

Direkt zu Google

• newwindow

Der Parameter ist auch sehr nützlich. Ich suche nämlich meist wie folgt:

1. Suchbegriff eingeben.
2. Interessante Suchergebnisse als neuen Tab öffnen.
3. Die Tabs durchgehen.

Jetzt muss ich immer darauf achten, die mittlere Maustaste zu verwenden oder die [STRG]-Taste gedrückt zu halten um einen neuen Tab zu öffnen. Das geht aber auch anders. Mit dem Parameter newwindow öffnen sich alle Links der Suchergebnisse als neuer Tab.

http://www.google.de/search?q=test&newwindow=1

Direkt zu Google

• lr

Der Parameter hat eine besonders wichtige Funktion. Viele kennen es. Man sucht nach einem englischen Begriff will aber eine Deutsche Erklärung oder einfach nur deutschen Text dazu. Mit diesem Parameter kann man die Sprache der Suchergebnisse wählen. Nicht ganz zuverlässig aber schon eine große Hilfe. Mögliche Werte:

Originalliste

Beispiel alle Suchergebnisse auf Deutsch:

http://www.google.de/search?q=test&lr=lang_de

Direkt zu Google

• cr

Der Parameter ist ähnlich zu lr. Nur bestimmt man hier nicht die Sprache der gewünschten Seiten, sondern die Herkunft. Mögliche Werte:

Originalliste

Beispiel für alle Ergebnisse aus Deutschland:

http://www.google.de/search?q=test&cr=countryDE

Direkt zu Google

So, das war es jetzt erst einmal für mich und die Google Suchparameter. Ihr sucht selbst noch einen Parameter und wisst nicht wo Ihr schauen könnt? Oder Ihr braucht Tipps zur Verwendung eines Parameters? Fragt einfach hier als Kommentar nach. Evtl. schreibe ich dazu dann demnächst einen eigenen Post.

Aktiviert ist er aber derzeit ausschließlich auf google.com. Sucht dort nach einem Begriff zum Beispiel:

site:googlesearchfoo.com

Direkt zu Google

Dort seht Ihr den [+1]-Knopf und könnt schon selbst darauf drücken.

Der Knopf wird deshalb noch mehr als der Facebook Like-Knopf, weil er sich auch auf die Google-Suche auswirken wird. Genaues ist dazu noch nicht bekannt, meine Vermutung ist aber folgendes:
Der Besucher sucht nach ‘Google Suche’ bei Google und findet meinen Blog auf Seite 50001. Er findet die Seite aber genau passend zu seinen Suchbegriffen also gibt er mir ein +1. Damit wird meine Seite (und zwar genau die URL die der Besucher in den Suchergebnissen mit +1 bewertet hat) für diese Suchbegriffe besser gelistet und liegt ab sofort auf Seite 40099.

Der Knopf ist aber nicht nur über die Google-Suche zu verwenden. Er kann auch direkt auf einer Webseite eingebunden werden. Der Quellcode dazu ist relativ simpel:

<script type="text/javascript" src="http://apis.google.com/js/plusone.js">
  {lang: 'de'}
</script>

<g:plusone size="small"></g:plusone>

Es gibt nur sehr wenige Einstellungen die man vornehmen kann.

• Man kann den [+1]-Knopf in der Größe verändern.
• Man kann dem [+1]-Knopf eine expliziete URL mitgeben, die bewertet werden soll (standardmäßig nimmt das JavaScript die URL aus dem Browser).
• Man kann dem [+1]-Knopf eine eigene Call-Back-Funktion mitgeben. Damit könnte zum Beispiel ein PopUp mit dem Text ‘Vielen Dank für deine Stimme’ anzeigen.

Am einfachsten generiert man sich den Knopf über das entsprechende Webmaster-Tool: Fügen Sie +1 zu Ihren Seiten hinzu und erhalten Sie Empfehlungen

Vorsicht bei der Einbindung: Auch mit diesem Google-Knopf werden Nutzungsdaten eurer Besucher an Google gesendet.

• Suchbegriffe
• Welche Ausgaben ich bekomme

Wer nicht möchte dass dritte sehen, was man so googelt kann die verschlüsselte Variante verwenden. Leider ist nur die .com-Adresse von Google darüber erreichbar.

https://encrypted.google.com

Direkt zu Google

Manchen gefällt dieses Feature allerdings nicht. Deshalb wünscht man sich eine Möglichkeit das ab zu stellen. Das geht zwar wunderbar über die Einstellungen, die werden aber gelöscht wenn man die Cookies vom Browser löscht.

Eine einfachere Lösung ist der URL-Parameter ‘complete=0′. Vollständig sieht der Aufruf dann so aus:

http://www.google.de/webhp?complete=0

Direkt zu Google

 
Das speichert man sich dann in den Favoriten so ab und schon ist man die Instant Search los.