Taller de Google Hacking
Debido al gran poder que tiene uno de los mayores y más famosos buscadores del mundo “GOOGLE” ha surgido una nueva técnica para hacer uso de los poderosos algoritmos de búsqueda de este gigante, con lo cual encontramos que se puede obtener mucha información que se encuentra en la red solo con hacer algunos cambios en la forma de buscar, es el caso de que podemos encontrar datos personales con solo realizar una búsqueda indexada.
El Google Hacking consiste en explotar la gran capacidad de almacenamiento de información de Google, buscando información específica que ha sido añadida a las bases de datos del buscador, para ello el usuario debe realizar búsquedas orientadas a ciertas palabras clave que ayudan a encontrar información sensible, puntos de entrada sensibles a posibles ataques, generalmente, con fines maliciosos.
RESUMEN:
Esta es una técnica muy empleada y altamente difundida en los últimos tiempos que realmente se aprovecha de los potentes algoritmos de búsqueda implementados por Google pudiendo alcanzar algunas bases de datos de las compañías que incautamente no han sabido proteger la información sensible de personas maliciosas que buscan con suma frecuencia ocasionar daño y obtener lucro.
Medidas para evitar el Hacking de Google:
· Es necesario conocer la manera mediante la cual Google busca e indexa información mediante búsquedas avanzadas, estas búsquedas son muy fácil de refinar ya que es un motor de búsqueda muy poderoso, que no sólo está pensado para ordenar y encontrar páginas web, sino que también pueden hallarse documentos ofimáticos, informes, faxes, memorandos, notas, fotografías, teléfonos y absolutamente todo lo que sea accesible desde la web puede estar clasificado en las bases de datos de Google ocasionando que nuestros datos sean vulnerables.
· Se debe configurar en las páginas un fichero de robots.txt correctamente configurado, esto es:
El archivo robots.txt es simplemente un archivo de texto que busca evitar que los buscadores indexen la información contenida en los mismos, dentro de este archivo se deben ubicar ciertas líneas para que esto sea posible, este es un ejemplo del código que se necesita insertar al archivo:
El texto rojo es obligatorio y nunca cambia mientras que el azul es necesario cambiarlo para adaptarlo al motor de búsqueda y a los archivos se deseen evitar.
User-Agent: (Spider Name)
Disallow: (File Name)
El User-Agent es el nombre del spider del buscador y
Disallow es el nombre del archivo que no se quiere que indexe el spider.
Es necesario empezar un nuevo lote de código para cada buscador, si es necesario se puede multiplicar la lista de archivos no permitidos puedes ponerlos uno debajo de otro,
así:
User-Agent: Slurp (El spider de Inktomi)
Disallow: internet-marketinggg. html
Disallow: internet-marketingal.html
Disallow: advertising-secretsgg. html
Disallow: advertising-secretsal.html
En este código se prohíbe el acceso al spider de Inktomi a dos páginas optimizadas para
Google (internet-marketinggg.html & advertising-secretsgg.html) y dos páginas optimizadas para Altavista (internet-marketing-al.html &advertising-secrets-al.html).
Es necesario poner el archivo robots en el directorio raíz de la publicación, si este es colocado en un subdirectorio será necesario añadir la ruta para eviater que sea indexada la búsqueda.
User-Agent: Slurp (El spider de Inktomi)
Disallow: directorio/internetmarketing-gg.html
Disallow: directorio/internetmarketing-al.html
Estos son algunos nombres de algunos grandes buscadores:
* Excite - ArchitextSpider
* Altavista - Scooter
* Lycos -Lycos_Spider_(T-Rex)
* Google - Googlebot
* Alltheweb - FASTWebCrawler/
· Aplicar "posicionamiento inverso" a todo aquello que quiera mantener lejos de ojos ajenos.
Ocasionalmente es mejor aparecer en la lista de los buscadores mucho más abajo que permitir que Google indexe la información sensible para una compañía.
· Implementar un Honeypot especializado uno de los mejores es Google Hack Honeypot que tiene gran cantidad de herramientas que brindaran gran cantidad de información interesante sobre Google hackers que intentan explotar los sitios web de su compañía.
Se pueden refinar nuestras búsquedas con el fin de obtener información que no debió ser publicada, que ha sido publicada por administradores descuidados o bien que la misma ya no se encuentra disponible en forma online pero lo estuvo hace tiempo (uso de la caché).
Otra de las ventajas de las que disponemos utilizando Google es que podemos realizar un perfil completo de una organización en forma pasiva, es decir sin utilizar técnicas de ataque intrusivo sobre los servidores de la misma. Esto en sí mismo es una ventaja ya que es una técnica indetectable, absolutamente legal y transparente.
Existen errores que suelen cometerse muy a menudo y ahí esta Google para recordárnoslo:
· Configurar un sitio web es trivial y sólo consiste en levantar ciertos servicios en el servidor.
· Instalar un servidor web consiste en instalar ciertos servicios y dejar la configuración predeterminada.
· Instalar un Sistema Operativo es trivial y la instalación por defecto es la recomendada.
· Instalar, verificar el funcionamiento y por último borrar los archivos innecesarios
· Cometer estos errores tienen un alto precio ya que una vez que nuestro sitio web sea indexado comienza a valer el dicho: "lo que ingresa a Internet nunca vuelve a salir".
Un proyecto muy interesante sobre búsquedas posibles es el llevado adelante por Johnny "j0hnny" Long, quien además a publicado libros sobre este tema.
Actualmente en la comunidad de dragonjar encontramos una base de datos que ha sido donada por quien Johnny quien dio inicio a este proyecto y ahora esta base es actualizada por la Comunidad se pueden encontrar en los sitios:
http://johnny.ihackstuff.com/ghdb/ y http://www.exploit-db.com/googledorks/
Archivos que nunca deberían haber sido publicados
· Lectura de e-mails confidenciales
· Logs de aplicaciones
· Archivos con Passwords
· Archivos confidenciales
· Archivos que ya no existen pero permanecen en caché
· Errores de aplicaciones
· Archivos publicados por error
· Configuraciones por defecto
· De Apache
· De IIS
· Errores de configuración
· Listado de directorios
· Búsqueda de vulnerabilidades
Es necesario y completamente imprescindible que los administradores y los directivos de las organizaciones tomen conciencia de la importancia de la información, sea este un importante documento sobre cotizaciones como un archivo de logs de una aplicación. Sea cual sea el origen de este archivo el dueño de datos siempre debe evaluar si el mismo debe publicarse. Si el documento es publicado sin la debida evaluación previa, esto significa una gran vulnerabilidad que tarde o temprano será objeto de explotación por un tercero.
Ataques de Google Hacking más conocidos:
a) Ficheros que contienen nombres de usuario
· filetype:conf inurl:proftpd.conf - sample
b) Footholds e información de apoyo al acceso
· +htpasswd +WS_FTP.LOG filetype:log
c) Páginas con formularios de acceso
· "You have requested access to a restricted area of our website. Please authenticate yourself to continue."
d) Páginas que contienen datos relativos a vulnerabilidades
· filetype:pdf "Assessment Report" nessus
e) Directorios sensibles
· filetype:cfg ks intext:rootpw -sample -test -howto
f) Información sensible sobre comercio y banca electrónica
· inurl:shopdbtest.asp
g) Dispositivos hardware online
· camera linksys inurl:main.cgi
h) Ficheros vulnerables
· intitle:"Directory Listing" "tree view"
i) Servidores vulnerables
· intitle:"Mail Server CMailServer Webmail" "5.2"
j) Detección de servidores web
· intitle:"Welcome to Windows Small Business Server 2003"
k) Productos vulnerables
· "Powered by MercuryBoard [v1]"
l) Mensajes de error
· "Warning: mysql_query()" "invalid query"
m) Ficheros que contienen información sensible
· "Index of" / "chat/logs"
n) Ficheros que contienen claves· ext:pwd inurl:(service | authors
| administrators | users) "# - FrontPage-"
Un ejemplo de ataque y acceso a sitios con hardware online, una cámara web online de la compañía cisco:
· Ingresar Url del ataque en un navegador: camera linksys inurl:main.cgi
· Seleccionar nuestro sitio o dispositivo online:
· Resultado obtenido:
Otros sitios que contienen vulnerabilidades en Internet
2011-07-26
inurl:server-info intitle:"Server
Information...
Files containing juicy info
2011-07-26
inurl:":9000" PacketVideo corporation Various Online Devices
2011-07-26
intitle:m1n1 1.01 Vulnerable Servers
2011-07-26
filetype:pem "Microsoft" Files containing juicy info
2011-07-18
site:docs.google.com intitle:(cv Or resume OR curr...
Files containing juicy info
2011-07-18
site:mediafire.com cv Or resume OR curriculum vitae...
Files containing juicy info
2011-07-18
site:stashbox.org cv Or resume OR curriculum vitae...
Files containing juicy info
2011-07-18
inurl:/push/ .pem apns -"push notifications&q...
Files containing juicy info
2011-07-01
site:dl.dropbox.com filetype:pdf cv OR curriculum ...
Files containing juicy info
2011-06-28
filetype:sql "PostgreSQL database dump" ...
Files containing passwords
CONCLUSIONES:
· Todo lo que sea publicado en Internet nuca desaparecerá.
· Se deben configurar en nuestros sitios web los robots.txt
· Google más que un gran motor de búsqueda puede ser empleado para efectuar labores maliciosas.
· Hay gran cantidad de información en Internet y esta puede ser explotada de mil formas una de ellas el Google hacking
· Refinar nuestras búsquedas en uno de los buscadores más potentes nos permitirá tener acceso a lo impensado.
REFERENCIAS:
[1] http://www.sahw.com/wp/archivos/2006/03/08/google-hacking-ejemplos-ymedidas-para-evitar-sus-efectos/
[2] http://www.webtaller.com/google/guia_robots.php
[3] http://ghh.sourceforge.net/
[4] http://www.searchtools.com/robots/ro bots-txt.html
[5] http://www.user-agents.org/
[6] http://www.dragonjar.org/googlehacking.xhtml
[7] http://www.exploit-db.com/googledorks/
No hay comentarios:
Publicar un comentario