Google i hakerzy

Czy Google może być najbardziej niebezpieczną stroną w Internecie? Przy pomocy nieodpowiedzialnych (lub niewystarczająco wyszkolonych) administratorów - na pewno tak. Nazwy użytkowników, hasła, parametry konfiguracyjne urządzeń, wersje wykorzystywanego oprogramowania - na wyciągnięcie ręki.

Czy Google może być najbardziej niebezpieczną stroną w Internecie? Przy pomocy nieodpowiedzialnych (lub niewystarczająco wyszkolonych) administratorów - na pewno tak. Nazwy użytkowników, hasła, parametry konfiguracyjne urządzeń, wersje wykorzystywanego oprogramowania - na wyciągnięcie ręki.

Dzięki tej wyszukiwarce można znaleźć informacje, których obecności w Internecie nie są świadomi administratorzy niektórych stron czy systemów IT, nie mówiąc już o zarządach firm, w których pracują. Zdobywanie tych informacji zyskało miano "Google hacking".

Na wstępie chcielibyśmy zaznaczyć, że w tym artykule nie chcemy nakłaniać kogokolwiek do nielegalnego wykorzystywania danych pozyskanych w wyniku zastosowania opisanych technik (tym bardziej, że taka forma hakerstwa to żaden powód do dumy). Opisując te metody chcielibyśmy zwrócić uwagę na istnienie problemu, który dziś, gdy coraz więcej systemów jest zarządzanych zdalnie przez Internet, może spowodować, że przez jakiegoś dowcipnisia nasza firma może mieć duże problemy. Warto przeskanować Internet, korzystając z opisanych metod, pod kątem bezpieczeństwa informacji "wystawionych" przez naszą firmę.

Hakowanie poprzez Google to nic innego jak wyszukiwanie informacji, które nie są świadomie umieszczane jako treść strony internetowej, i nieuprawnione ich wykorzystywanie. Siła tej wyszukiwarki dla jednych jest jej zaletą, dla innych - wadą.

Działalność ta rzadko jest przydatna przy "rozpracowywaniu" konkretnego podmiotu, a raczej wykorzystywana jest w myśl zasady "okazja czyni złodzieja". Znudzony pseudohaker może po prostu poprosić o podanie listy użytkowników i haseł do danego systemu lub adresów IP wystawionych w Internecie routerów i innych urządzeń, którymi można zarządzać przez panel webowy. W ten sposób raczej nie dostanie się do największych przedsiębiorstw, bo te wystarczająco dobrze dbają o bezpieczeństwo (chociaż i tu są wyjątki), ale wiele innych firm może dostarczyć dużo zabawy.

Zacznijmy od podstaw

Google na swojej stronie głównej nie opisuje pomocnych operatorów, z których możemy korzystać. Podstawowe (jak znaki plusa, minusa czy wzięcie frazy w cudzysłów) są powszechnie znane, nam przyda się także znak kropki zastępujący pojedynczą dowolną literę i gwiazdki zastępujący dowolne słowo.

W Google są jednak także zaawansowane operatory, których wykorzystanie daje wiele możliwości. Poniżej podajemy podstawowe (pełną listę wraz z opisami można znaleźć na stroniehttp://www.googleguide.com/advanced_operators.html ):

  • site: - przeszukuje konkretną witrynę internetową (metoda często bardziej skuteczna niż korzystanie z umieszczonych na stronach wyszukiwarek),
  • filetype: - przeszukuje tylko pliki o podanym rozszerzeniu (Google indeksuje pliki większości popularnych pakietów biurowych),
  • link: - przeszukuje zamieszczone na stronach hyperlinki zawierające szukaną frazę,
  • cache: - jako wynik wyszukiwania podawana jest dokładnie ta wersja strony, którą Google zindeksował,
  • intitle: - przeszukuje strony pod kątem obecności szukanej frazy w tytule strony,
  • inurl: - przeszukuje strony pod kątem obecności szukanej frazy w adresie URL.

Dostęp do drzewa witryny

Wiadomo, że w strukturze drzewa witryny internetowej może znajdować się znacznie więcej informacji, niż zamieszczono na stronie internetowej. Istnieje dość prosta metoda pozwalająca dotrzeć bezpośrednio do drzewa witryny - pomaga w tym wykorzystanie zapytania intitle:index.of. Co prawda jako wynik wyszukania dostaniemy też inne strony, oficjalnie zawierające te słowa w swoim tytule, ale uzupełnienie wyszukiwanego wyrażenia o słowa "parent directory", "name" czy "size" praktycznie poprowadzi nas już tylko do poszukiwanych drzew.

Każde drzewo witryny zawiera także informację o wersji serwera webowego, na którym znajduje się strona. Hakerzy, znając luki poszczególnych wersji serwerów, mogą próbować wykorzystać tę informację za pomocą zapytania intitle:index.of server.at.

Jak nie zostać Googledorkiem

Johnny Long, twórca strony johnny.ihackstuff.com, prowadzi bazę danych Google Hacking Database, gdzie zbiera przeróżne zapytania, które wpisane do Google pokazują, jak bardzo nieodpowiedzialni (a czasami wręcz - jak nazywa ich sam autor - głupi) potrafią być administratorzy niektórych systemów. Baza zawiera obecnie prawie półtora tysiąca zapytań pogrupowanych w 14 kategoriach. Chociaż wiele z nich stało się całkowicie nieprzydatnymi (np. ich zastosowanie stało się bezzasadne wraz z wypuszczeniem przez producentów systemów odpowiednich poprawek i aktualizacji), to wciąż można tam znaleźć prawdziwe perełki, pokazujące jak niewiarygodne informacje jest w stanie wynaleźć Google. Warto zwrócić uwagę na niektóre kategorie.

W dziale "Advisories and Vulnerabilities" pokazano metody dostania się do niektórych wersji systemów, dla których w Internecie dostępne są exploity. Kategoria ta uświadamia jak wielką rolę odgrywa regularne przeprowadzanie aktualizacji.

Administratorzy sieci powinni zajrzeć przede wszystkim do kategorii "Pages containing network or vulnerability data", gdzie opisano jak ciekawe informacje mogą zawierać upublicznione logi firewalli, IDS-ów i innych systemów sieciowych.

Ciekawe informacje są także w kategorii "Various Online Devices", gdzie pokazano w jaki sposób można dostać się do paneli administracyjnych wielu udostępnionych w Internecie urządzeń. Co ważne, wiele z tych urządzeń nie ma zmienionych standardowych haseł użytkownika i administratora - wystarczy pobrać ze strony producenta instrukcję obsługi, gdzie są podane te hasła...

Jak się zabezpieczyć?

Jest wiele metod na zabezpieczenie się przed pokazanymi technikami pozyskiwania informacji. Przede wszystkim, jeśli to możliwe, należy trzymać wszystkie poufne i tajne dane jak najdalej od serwerów internetowych. Nawet umieszczając jakieś dane w Internecie tylko na chwilę, ryzykujemy, że dotrze do nich robot wyszukiwarki, wykonując ich kopię. Najważniejsze dane należy przesyłać w postaci zaszyfrowanej.

Z indeksu Google można też usunąć całą witrynę lub poszczególne podstrony. Google podaje bardzo szczegółowe instrukcje pod adresemhttp://www.google.com/remove.html. Jedną z podstawowych metod jest umieszczenie w katalogu witryny internetowej pliku robots.txt o treści:

User-agent: *

Disallow: /

Sformułowaną w ten sposób prośbę o nieindeksowanie witryny uwzględniają silniki większości wyszukiwarek. Gdy chcemy usunąć witrynę tylko z Google, wówczas należy gwiazdkę zamienić wyrażeniem Googlebot. Szczegółowy opis całej procedury można znaleźć na stroniehttp://www.robotstxt.org/wc/norobots.html .

Jeśli usunięcie strony jest pilne i nie mamy czasu na oczekiwanie, aż robot wykryje naszą prośbę w postaci pliku robots.txt, możemy zwrócić się bezpośrednio do pracowników Google poprzez stronęhttp://services.google.com/urlconsole/controller . Tam zostanie przeprowadzona odpowiednia procedura po procesie uwierzytelnienia.

Kto winien?

Można spytać, kto jest winien takiego stanu rzeczy? Firma Google, umożliwiająca łatwe dotarcie do informacji, które wcześniej były głęboko ukryte, czy też żyjący w głębokiej nieświadomości administratorzy, w ogóle publikujący takie informacje? Przedstawiciele Google zdecydowanie wskazują na tych drugich, podkreślając jednak swoje zaangażowanie we współpracę z administratorami, przejawiającą się chociażby w szybkiej reakcji na prośbę o usunięcie danych informacji z indeksu. Sami administratorzy natomiast muszą przyzwyczaić się do tego, że jeśli czegoś nie widać, to nie oznacza, że tego nie ma.

Dziury w kodzie

Na koniec trochę z innej beczki, lecz sprawa jest podobna. W październiku Google sprezentował programistom nowe narzędzie - wyszukiwarkę Google Code Search, przeszukującą Internet pod kątem kodów źródłowych. Jak szybko się okazało, tym samym hakerzy dostali świetne narzędzie, ułatwiające prowadzenie ich niechlubnej działalności. Eksperci do spraw bezpieczeństwa od razu zwrócili uwagę, że Google Code Search może świetnie służyć także do wyszukiwania luk w oprogramowaniu czy metod na obejście procedury uwierzytelniania. Wyszukiwarka znajduje też kody, które w ogóle w Internecie nie powinny się znaleźć.

Eksperci są zgodni: Google Code Search nie stanowi przełomu w łamaniu systemów bezpieczeństwa, ale może zdecydowanie pomóc i ułatwić masowe wyszukiwanie luk w tych systemach. Przyznają, że dla wielu osób przeszukiwanie kodów upublicznionych na zasadzie "open source" nie jest już atrakcyjne, gdyż bardziej satysfakcjonujące może być włamanie się do systemu, którego kod nie powinien być upubliczniony.

Reakcja przedstawicieli Google na te opinie jest podobna do tej ogłaszanej ogólnie w sprawach związanych z wyszukiwaniem poufnych informacji: "Google zaleca programistom stosowanie ogólnie zaakceptowanych dobrych praktyk kodowania, włączając w to zrozumienie skutków publicznego udostępnienia kodu, a także uwzględnienie odpowiednich procedur testowania".

Peter Fleischer, Google

Webmasterom i administratorom udostępniamy odpowiednie narzędzia i procedury, które dają im wpływ na to, które informacje mają być zindeksowane przez wyszukiwarkę, a które nie. Mogą o tym zdecydować jeszcze zanim strona pojawi się w Internecie, jak też później. Natomiast nie jesteśmy w stanie ani samodzielnie, ani automatycznie decydować, które informacje mają pojawić się w wyszukiwarce. Po pierwsze, nie możemy monitorować treści wszystkich stron, bo jest ich po prostu za dużo, a po drugie, nie mamy wiedzy na temat tego, czy administrator chce czy nie chce, aby dane informacje pojawiły się w Internecie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200