sexta-feira, 3 de junho de 2011

Como o GOOGLE funciona - PARTE 3

USANDO O GOOGLE COMO FERRAMENTA DE ATAQUE

A utilização de agentes buscadores para catalogar páginas, ao mesmo tempo em que aumenta consideravelmente o número de respostas da ferramenta, traz o problema de muitas vezes catalogar mais do que os administradores de páginas gostariam. Isso porque muitos servidores conectados a Internet – e, portanto, passíveis de serem catalogados por agentes buscadores – não foram configurados de forma segura, contando apenas com o fato de não serem conhecidos para se protegerem. Assim, se os agentes do Google encontrarem, por exemplo, arquivos sigilosos ao fazerem uma varredura nos servidores da sua empresa, eles irão adicionar tais arquivos e páginas à base de dados do Google na primeira oportunidade, já que não são capazes de diferenciar o que é público do que é confidencial. Dessa forma, muita informação “sensível” pode ser encontrada, bastando que se saiba o que procurar. Não bastasse isso, o Google armazena no “cache” uma versão da sua página ou arquivo, de modo que mesmo corrigindo o problema do seu servidor, seus dados podem ainda estar expostos. Vejamos alguns tipos de ataques que podem ser feitos através do Google.Nota: é importante observar que a maioria dos ataques e técnicas aqui exemplificados não são nenhuma novidade. Existem registros sobre alguns destes que datam de 2001, o que indica que usuários maliciosos vêm explorando tais características de sistemas de busca a mais tempo ainda.

IDENTIFICAÇÃO DE SERVIDORES

Para identificar todas as página do Google que o próprio Google já catalogou, por exemplo, basta digitarinurl:google.comPara encontrar servidores extras dentro do mesmo domínio, subtraia o domínio da busca anterior. No exemplo, podemos entrar cominurl:google.com –inurl:www.google.compara listar diversos subdomínios dentro de “google.com” (como, por exemplo, “images.google.com”, “gmail.google.com”, “desktop.google.com”, etc.).É possível ainda encontrar serviços remotos em execução. Veja os exemplos à seguir: intitle:”VNC Desktop” inurl:5800 intitle:”remote desktop web connection” intitle:”Terminal Services Web Connection” allintitle:”microsoft outlook web access” logon O primeiro procura por servidores “VNC” em execução. O segundo e o terceiro referem-se respectivamente à Área de Trabalho Remota (“Windows Remote Desktop”) e aos serviços de terminal (“terminal services”) da Microsoft. O último busca por páginas de acesso remoto ao webmail Microsoft Outlook.

SERVIDORES NEGLIGENCIADOS

Muitos servidores de página web, como o Apache, exibem páginas padrão ao serem instalados. Isso é feito essencialmente para mostrar ao administrador que o serviço está sendo executado sem problemas, e oferecer dicas sobre como proceder em seguida. Acontece que muitas pessoas acabam instalando servidores sem saber, e embora a existência da página padrão não indique especificamente uma vulnerabilidade, costuma mostrar que o servidor em questão foi negligenciado pelos administradores, e possivelmente está com suas configurações padrão. Afinal, se o administrador não se deu ao trabalho de sequer modificar a página principal do servidor, é muito provável que ele também não tenha se preocupado em atualizar o mesmo, ou em tornar o próprio sistema mais seguro. Buscar porintitle:”test page for Apache”ouintitle:”Página teste para a instalação do Apache”
retorna uma lista de servidores que estão exibindo a página padrão do Apache. Para procurar por páginas padrão IIS, poderíamos buscar porintitle:welcome.to.IIS.4.0
ou variações como
intitle:”welcome to windows 2000 internet services”intitle:”welcome to windows XP server internet services”“under construction” “does not currently have”para servidores mais novos.

Frase da semana:
"Antigamente com 5 reais eu voltava do mercado com 2 kg de feijão, 3 kg de arroz e 1 kg de carne. Hoje colocaram câmeras ..."

Referências:
GOOGLE. Disponível em : http://www.google.com.br
SANCHES, Manuela. Como o Google funciona? Disponível em: http://www.enlinkbuiding.com.br/blog/seo-basico/como-o-google-funciona
MIGLIACCI, Paulo. Ataque ao Google mostra vulnerabilidade das melhores defesas. Disponível em: http://tecnologia.terra.com.br/interna/0..OI4224121-EI4802,00-Ataque+ao+Google+mostra+vulnerabilidade+das+melhores+defesas.html
MILAGRE. José. Google Forensic: Investigando Cybercrimes. Disponível em: http://imasters.com.br/artigo/9741/forense/google_forensics_investigando_cybercrimes
MOREIRA, Adenilson. A importância da Segurança da Informação. Disponível em: http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_informacao

Sérgio Schütz