HARD CORE SECURITY LAB

Zagadnienie wykorzystywania przeglądarek internetowych do pozyskiwania informacji newralgicznych z punktu widzenia bezpieczeństwa sieci, systemów oraz użytkowników systemów informatycznych gościło już kilkakrotnie na łamach serwisu HCSL. Dziś przyjrzymy się jednak kolejnemu, bardzo interesującemu przykładowi zastosowania Google hackingu.

Na początku warto podkreślić fakt, że wyszukiwarki indeksują newralgiczne informacje tylko i wyłącznie z winy użytkowników oraz administratorów beztrosko takie informacje udostępniających w ramach systemów widocznych w Internecie. Z kilkoma interesującymi przykładami Google hackingu można się zapoznać tutaj, dziś natomiast chciałbym przedstawić metodę na obejścia za pomocą jedynie słusznej wyszukiwarki silnej kryptografii asymetrycznej.

Kryptografia asymetryczna to bardzo popularny rodzaj kryptografii, w której używa się zazwyczaj zestawu dwóch powiązanych ze sobą kluczy, umożliwiających wykonywanie określonych czynności kryptograficznych. Klucz publiczny używany jest do szyfrowania informacji, podczas gdy klucz prywatny służy do jej odczytu. Klucz publiczny jest zazwyczaj udostępniany każdemu, dzięki czemu każdy może utworzyć zaszyfrowaną wiadomość przeznaczoną dla określonego adresata. Ponieważ klucz prywatny jest w wyłącznym posiadaniu adresata informacji, tylko on może ją odczytać. Proste i genialne rozwiązanie.

Tak się składa, że większość praktycznych ataków na bardzo silne metody szyfrowania nie stara się wcale przełamać samego szyfrowania. Podobnie jest w przypadku kryptografii asymetrycznej. Najprostsze może się w tym wypadku okazać po prostu zdobycie samego klucza prywatnego. Jak tego dokonać? Wystarczy skonstruować odpowiednie zapytanie...

Spróbujmy wprowadzić w Google Search następujące zapytanie site:pastebin.com "-----BEGIN RSA PRIVATE KEY-----" Oto przykładowe wyniki:
Jak widać, w taki oto prosty sposób możemy zdobyć co najmniej kilkadziesiąt prywatnych kluczy RSA! Pozwala to każdemu na swobodne wykonanie operacji kryptograficznych, do których uprawniony jest wyłącznie właściciel danego klucza prywatnego. Przykład ten szczególnie dobrze ilustruje problem Google hackingu. Internauci sami publikują własne newralgiczne informacje, trudno się więc dziwić, że ktoś decyduje się następnie na ich wykorzystanie w niecnych celach...

Pamiętajmy więc, że przed Google hackingiem może nas uchronić wyłącznie własnoręczne zadbanie o bezpieczeństwo i poufność własnych danych. Jeśli natomiast pozwolimy, by Google indeksował nasze newralgiczne dane, to prędzej czy później ktoś wykorzysta nadarzającą się okazję do ich wykorzystania.