Hacking con google, cmo defenderse

Por Carlos Mesa carlosmesa@carlosmesa.com Es posible usar Google como herramienta de hacking? La idea se me ocurri cuando un da examinando los logs de un sitio atacado descubr en el anlisis forense una URL referida desde Google, con un parmetro de bsqueda muy concreto. De esto hace bastantes aos. Pero, al poco, volv a descubrir el mismo parmetro examinando los logs de otro sitio web. Una investigacin posterior me llev hasta varios grupos brasileos. Poco despus, consegua acceder a los foros privados de estos grupos, gracias a la intervencin de un amigo introducido en este underground. Y entonces comprend el por qu de esas huellas. En una de las mltiples "scenes" internacionales, grupos de hackers brasileos, competan entre s por ver quin era capaz de desfigurar ms sitios web en un solo mes, para luego vanagloriarse de sus logros en Zone-h.org. El procedimiento era siempre el mismo. Usaban operadores booleanos de bsqueda en Google de ciertas debilidades de protocolos o programas, y una vez localizados, usaban una serie de exploits compilados para conseguir privilegios suficientes como para modificar la pgina de inicio. Al contrario de lo que mucha gente pueda imaginar, aquellos hackers no atacaban sitios concretos. No perdan el tiempo porque Google era su herramienta de bsqueda para encontrar los sitios ms dbiles. Ese era el truco. Ese era su juego. Desde entonces me interes por Google como herramienta de hacking. Mientras hay quien todava usa Google nicamente como herramienta de bsqueda de informacin, voy a desgranar cmo el buscador se puede usar para buscar ficheros comprometedores. Nadie parece leerse el documento de referencia sobre la API de Google. Pero el documento es magnfico para entender el funcionamiento avanzado sobre bsquedas. Por ejemplo, si yo quiero localizar un trmino que haga referencia a la palabra "password" en un sitio web, me basta con usar la siguiente sintaxis de bsqueda: password site: www.victima.com Intitle, por ejemplo, sirve para localizar trminos en la bsqueda del ttulo de una web. Sabiendo que un sitio web se indexa por el contenido de a dnde apunta esa URL, y que sta se clasifica como "title" las mentes despiertas entrevern algunas de sus posibilidades. Si a esto aadimos que Google usa el trmino "index of" para delimitar el sitio ndice de la palabra buscada, podemos someter esto mismo a combinaciones. intitle:"Index of c:/Windows"

Falta decir qu est buscando exactamente? Sobran los comentarios, pero cabe imaginar las posibilidades que puede tener Google. Por experiencia personal he podido comprobar que mediante operadores booleanos y cierta sintaxis de bsqueda, se pueden encontrar carpetas de administracin, gestores de bases de datos sin contrasea, directorios con copias de seguridad, ficheros de contraseas, directorios a la vista del sistema operativo, mensajes de error que descubren informacin sobre el sistema, volcados de bases de datos, informes Excel, estadsticas, archivos abiertos de configuracin de una web, ficheros de inicializacin, histricos de MySQL, listas de contraseas en formato texto, claves privadas PGP (no pblicas), histricos bash, versiones antiguas de Apache buscando en su documentacin online, y hasta versiones antiguas de Internet Information Server 4 con solo buscar por su mensaje de bienvenida (intitle:"Welcome to IIS 4.0"). Cuando se descubre un fichero de contraseas cifrado para el servidor web Apache, basta aplicarle un programa como John the Ripper, para conocer el contenido. Las posibilidades de Google son infinitas. Pero si uno piensa que esas bsquedas se limitan a sitios web o ficheros de Office descuidados, es que es un incauto. Pongamos por caso otro ejemplo. Algunos clientes de correo generan un fichero llamado "dead.letter" cuando un usuario que estaba escribiendo un mensaje decide cancelarlo. Eso quiere decir que una bsqueda de este fichero nos proporcionara el contenido de un documento a medio escribir. Probmoslo: intitle:index.of dead.letter Interesante, no es cierto? Para la realizacin de unas cuantas prcticas, he desarrollado un formulario desplegable que realiza algunas bsquedas por los trminos de la lista. Est disponible en esta direccin: http://www.seguridad0.com/ejemplos/googlescan/ Actualmente dispongo de unos 300 trminos de bsqueda con operadores booleanos y trminos especiales de Google para bsquedas avanzadas. Dejo al lector que ensaye y encuentre los suyos. Estar encantado de compartirlos con aquellos que me comuniquen los suyos. //Cmo defenderse// El problema de la indexacin de Google no es del motor de bsqueda sino del negligente administrador del sitio conectado a Internet. Google no es una herramienta de hacking como tal, sino un potente sistema de localizacin; lo

que traducido en otras palabras quiere decir que no debemos permitir a Google que indexe segn qu pginas web o directorios. El procedimiento para desconectar de Google es sencillo. Se basa en pasarle las rdenes oportunas en un fichero llamado "robots.txt" que dejaremos en el directorio raz. Este fichero en texto plano indican a los buscadores, robots o crawlers, como les quieras llamar, qu partes de tu sitio web son indexables. Un mtodo sencillo para que Google no indexe ninguna de tus pginas es colocar las siguientes lneas en el fichero "robots.txt" User-Agent: * Disallow:/ Aunque para ser ms preciso tambin se podra indicar que no indexara determinados directorios. Vase este ejemplo: User-Agent: * Disallow: /admin/ En este caso se est impidiendo la indexacin del directorio "admin". Y as se podra repetir la lnea para todos los directorios que deberan ocultarse del buscador. Otra posibilidad consiste en hacer uso de las etiquetas meta de la cabecera <head> de cualquier fichero index.htm Una lnea como la siguiente: <META NAME="GOOGLEBOT" CONTENT="NOINDEX, NOFOLLOW"> permite la exclusion de la indexacin, pero pgina por pgina; es decir que entre <head<</head> hay que colocar el cdigo. Se puede evitar incluso que Google cite el sitio: <META NAME="GOOGLEBOT" CONTENT="NOSNIPPET"> O que Google introduzca en su cach las pginas encontradas: <META NAME="GOOGLEBOT" CONTENT="NOARCHIVE"> Esto ultimo que parece absurdo no lo es tal, si tenemos en cuenta que Google se salta accesos que requieren de login y password, gracias a su cach; porque, curiosamente, la cach de una pgina web guardada en Google, en ocasiones, no requiere de usuario y contrasea. Una forma fcil y limpia de saltarse barreras. //Eso es todo?//

Con Google se puede hacer mucho ms. Por ejemplo, hay un truco muy sencillo que permite usar a Google como proxy, de modo que cuando se visita un sitio web la IP reflejada en sus estadsticas nunca ser la nuestra sino la del propio Google. Las pginas similares se saltan cualquier autorizacin, se puede realizar bsquedas de ficheros en fechas concretas, localizar directorios CGI abiertos, servidores de correo con el relay abierto para realizar spam, nmeros de DNI o la Seguridad Social... y un largo etctera. Como se ha podido apreciar las posibilidades de Google son desconcertantes. Su algoritmo de bsqueda es el ms apreciado por la comunidad internauta. Por algo ser! Pero esa misma razn es la que nos debe llevar a tomar las mximas precauciones si no queremos ver informacin privilegiada de nuestra empresa en manos indeseadas. Ms informacin: Zone-h http://www.zone-h.org API de Google http://www.google.es/apis/reference.html John the Ripper: http://www.openwall.com/john/ Cmo funciona Robots.txt http://www.searchengineworld.com/robots/robots_tutorial.htm Generador de fichero Robots.txt http://www.webtoolcentral.com/webmaster/tools/robots_txt_file_generator/

Carlos Mesa, Periodista especializado en informtica y nuevas tecnologas. Ha sido director de las desaparecidas publicaciones MSX-Club, MSX-Extra, Mega Joystick y PCompatible, durante la poca dorada de los ordenadores de 8 bits. Ms adelante pas a ser director de la revista Corel Magazine, la revista oficial del programa de diseo CorelDraw. Despus de esta etapa se integr en la plantilla de Grupo Zeta, donde cada mes escribi sobre informtica en las revistas Super PC, Man, Primera Lnea, Playstation 2 y CNR. Durante aos fue colaborador, adems, de otras revistas de informtica como PC World, PC Media, Binary/ Byte, Imagen Digital, Tu Negocio, PCMana, Computer Reseller News, y Hakin9. Tambin ha colaborado en espacios radiofnicos con secciones fijas de informtica en emisoras como Radio Nacional de Espaa, Onda Cero y Flaix FM.

Como escritor tiene en su haber dos libros: "Manual del informtico aficionado" y "Manual tcnico de CorelDraw 7". En ltima etapa en Grupo Zeta fue jefe de proyecto de las ediciones digitales en Internet de Intervi, Tiempo, PC Plus, Super Juegos, Mortadelo y Filemn, y el portal de libros de Ediciones B. Ha sido galardonado como mejor periodista especializado en informtica en la feria SIMO de 1995. Despus de presidir durante dos aos la Asociacin para la Informacin de Hackers, y con los conocimientos adquiridos, dirige desde entonces su propia revista sobre seguridad informtica en Internet, Seguridad0.com, cuyas noticias son publicadas por Google News todos los das.