10 października 2010

Nadchodzi nowa era Google hackingu?

niedziela, października 10, 2010 | Autor: \m/ojtek
Google hackingowi, czyli metodom wykorzystania najpopularniejszej wyszukiwarki do odnajdowania rozmaitych podatności w sieciach i systemach komputerowych oraz lokalizowania newralgicznych danych wyciekających z korporacyjnych oraz prywatnych zasobów informatycznych, poświeciłem już do tej pory sporo uwagi. Pomimo tego, że w ostatnim czasie przytaczałem dość interesujące metody pozwalające na zdalne przechwytywanie dokumentów ze skanerów sieciowych, masowe zbieranie adresów e-mailowych, czy też odnalezienie mnóstwa metadanych należących do wybranej organizacji, to jednak temat Google hackingu został w ostatnim czasie nieco zapomniany i zepchnięty na drugi plan. Okazuje się jednak, że na tym polu ciągle trwają prace badaczy, którzy w ostatnim czasie utworzyli nawet nowy projekt poświęcony w całości tej interesującej tematyce.

Google Hacking Diggity to projekt rozwijany pod szyldem firmy Stach & Liu i skupiony nie tylko na klasycznym Google hackingu, ale również na rozwijaniu nowych metod oraz narzędzi pozwalających na automatyczne wykorzystanie najpopularniejszych wyszukiwarek w celu zbierania informacji cennych z punktu widzenia bezpieczeństwa.

Badacze działający w ramach projektu GHD korzystają oczywiście z klasycznej bazy Google Hacking Data Base (GHDB), ale gromadzą również nowe metody odnajdowania potencjalnych podatności w ramach Stach & Liu’s Data Base (SLDB). Przykład stanowi tu znane już czytelnikom HCSL zapytanie:
W ramach projektu trwają również prace nad Bing Hacking Data Base (BHDB), czyli pierwszym tego typu zbiorem metod odnajdowania podatności za pomocą wyszukiwarki z Redmond. Co jednak najciekawsze, badacze pracują również nad narzędziami pozwalającymi każdemu na automatyczne i precyzyjne (np. w kontekście określonej organizacji) skorzystanie z wyżej wymienionych baz. Są to programy GoogleDiggity oraz BingDiggity:
Dzięki wykorzystaniu Google AJAX Search API oraz Bing 2.0 API, oba narzędzia świetnie radzą sobie z masowym odpytywaniem wyszukiwarek i w przeciwieństwie do wielu starszych narzędzi tego typu, nie zostaną zablokowane w trakcie pracy. Badacze przygotowali również przyjazne i proste w obsłudze narzędzie graficzne o nazwie SearchDiggity:
Projekt GHD ma również na celu rozwijanie skutecznych metod obrony przeciwko intruzom korzystającym z Google hackingu. Oczywiście jednym z pomysłów na obronę własnej organizacji przed tego typu zagrożeniami może być po prostu skorzystanie z powyższych narzędzi w imię zasady Google Hack Yourself. Można jednak również skorzystać z mechanizmu ochrzczonego mianem Google Hacking Alerts. Cały pomysł polega na zaimportowaniu odpowiednich alertów do swego własnego czytnika RSS, dzięki czemu na bieżąco będziemy informowani o nowych potencjalnie interesujących stronach zindeksowanych przez popularne wyszukiwarki. Możemy skorzystać z plików XML przygotowanych z myślą o Google Search (wykorzystano mechanizm Google Alerts) oraz Microsoft Bing:
Jak mogliśmy się przekonać, projekt Google Hacking Diggity w sposób bardzo interesujący odświeżył nieco zapomnianą tematykę Google hackingu. Należy jednak zdawać sobie sprawę z tego, że nowe narzędzia potencjlanie przydadzą się nie tylko osobom odpowiedzialnym za bezpieczeństwo, lecz również intruzom szukającym łatwych celów. Swoją drogą jestem ciekaw, czy wasze firmy oraz organizacje monitorują na bieżąco zagrożenia związane z informacjami indeksowanymi przez internetowe wyszukiwarki? Jeśli wiadomo wam cokolwiek na ten temat, zapraszam do podzielenia się waszymi spostrzeżeniami i doświadczeniami w tym zakresie.

Etykiety: , , , , , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.