Como ya señalé en el primer artículo introductorio sobre Search Engine Hacking, la principal ventaja de Google, es la cantidad de información que tiene indexada. Podemos decir sin miedo a equivocarnos, que Google es la empresa del mundo con mayor cantidad de información (hablaré sobre la calidad daría para otro artículo), y como es normal, entre tan inmensa cantidad de datos, hay cosas que no deberían de estar ahí; el Google hacking se basa precisamente en eso, en buscar lo que queremos en medio del caos. Cosa que, con un poco de práctica es más facil de lo que parece.
Antes de nada, me gustaría aclarar algunas cosas. Primero, estoy usando "Google-hacking", "Hacking con buscadores", o su equivalente en inglés "Search Engine Hacking" indistintamente; puede que los más puristas se me quieran tirar al cuello (y con razón) argumentando que Google es solo un buscador más, sin embargo, por la popularidad que ha alcanzado la expresión Google-hacking, y ya que este buscador es el más utilizado en estos menesteres, no me parece incorrecto utilizarlo como término global. Segundo, los "dorks" son sentencias concretas para buscar información específica, o, como se lo explicaría a mi madre: "las cosas que se ponen para encontrar exactamente lo que queremos."
Sin más preámbulos, comencemos:
Entre toda esa información que no debería estar ahí de la que hablaba antes, podemos ver cosas como: usuarios y contraseñas en texto plano o hasheadas, dumps (volcados) enteros de bases de datos de páginas web, logs, mensajes de error, información sensible, codigo fuente SQL, etc. Sí, ¡de manera completamente pública! Y ¿Por qué está todo eso ahí? Pues puede ser por varias razones, desde haber metido una copia de seguridad en la carpeta pública, hasta malas configuraciones del archivo "robots.txt", pasando por bugs, y malas configuraciones.
Es bastante importante saber manejar bien Google (cosa que poca gente sabe hacer), y saber algunos "comando" bastante útiles que se usan para este tipo de búsquedas. Por ejemplo: "intitle:","filetype:","ext:","site:","inurl:", además de los clásicos operadores booleanos y caracteres como "+", o "-". Si no sabéis muy bien lo para que se usa alguno de ellos, aquí tenéis un tutorial bastante completo. Además conviene saber también la "terminología del gremio", es decir cosas como: password, user, root, admin, dump, sql, etc, además de ser aconsejable conocer, al menos a nivel básico, como funciona una web.
Vamos a ver algunos ejemplos:
- intitle:index.of.config
- filetype:bak createobject sa
Licencias para Avast
- inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"
- inurl:confidential ext:docx
Y mis favoritos, usuarios, contraseñas y copias de seguridad de bases de datos de usuarios, enteras:
- intext:charset_test= email= default_persistent=
- ext:sql dump
- ext:xml dump
- filetype:sql "MySQL dump" (pass|password|passwd|pwd)
- filetype:sql inurl:wp-content/backup-*
- intext:charset_test= email= default_persistent=
Si dedicamos un rato a buscar podemos ver auténticas burradas y con un poco de imaginación los resultados son sorprendentes. Por ejemplo, buscando "ext:sql puzzlegems", el primer resultado, es una base de datos con ¡¡¡ más de 400.000 usuarios y contraseñas !!! que, en muchos casos, serán las mismas paara los correos electronicos con que están registradas dichas cuentas.
Avisé de esta base de datos hace casi un año por medio de un email tanto al administrador de la página, como a los responsables de hacer que las leyes de privacidad se cumplan en Estados Unidos. No ha habido respuesta, ni acción.
Si miramos un poco por la base de datos (es bastante pesada, tardará en descargarse), podemos ver direcciones de correo de distintos gobiernos (buscad ".gov"), entre ellas una de el departamento de trabajo de EEUU; direcciones de correo de militares (".mil"), etc.
Si queréis más dorks, tenéis una buena recopilación aquí: Google-Hacking Database
¿Qué debemos hacer para protegernos de este tipo de cosas?
Si eres administrador: Primero, no subestimar el riesgo pensando: "bah! nadie lo va a encontrar", Google lo hará. Segundo, hashear todas las contraseñas guardadas con un algoritmo decente (lo que excluye MD5), si quieres puedes apilar varios, o añadir "salt". Tercero, hacer búsquedas de los dorks más comunes sobre nuestra página web. Cuarto, tener el software siempre actualizado. Quinto, tener cuidado en como escribimos código.
Si eres usuario: Primero, no utilices la misma contraseña para todo. Segundo, activa el login en 2 pasos de tu cuenta gmail (si usas gmail). Tercero, utiliza contraseñas decentes: mayúsculas, minúsculas, número y símbolos, y siempre de una longitud mayor que 9 caracteres. Cuarto: ten cuidado de donde das tus datos. Quinto: como usuario, puedes exigir legalmente que tus datos sean bien custodiados; además, en España hay una agencia de protección de datos que te escuchará.
En el siguiente artículo sobre Search Engine Hacking hablaremos de Bing, y las posibilidades que nos ofrece.
1 comentarios:
Publicar un comentario