Como o google cataloga quase todas as alterações possíveis da web, cataloga também os erros e as brechas de um site. Paginas abertas como arquivos de log, servidores abertos, tudo pode ser catalogado sem os devidos cuidados.
Ataque #1 – Identificação de servidores
Para identificar todas as páginas da Google que o próprio Google já catalogou. É possível ainda encontrar serviços remotos em execução. Veja os exemplos à seguir:
intitle:"VNC Desktop " inurl:5800
intitle:"remote desktop web connection"
intitle:"Terminal Services Web Connection"
allintitle:"microsoft outlook web access" logon
O primeiro procura por servidores "VNC" em execução. O segundo e o terceiro referem-se, respectivamente, à Área de Trabalho Remota ("Windows Remote Desktop") e aos serviços de terminal ("terminal services") da Microsoft. O último busca por páginas de acesso remoto ao webmail Microsoft Outlook.
Ataque #2 – Servidores negligenciados
Servidores como Apache ou no padrão IIS, geralmente deixam paginas padrão quando são instaladas, porem pedem para alterar suas configurações, pois se trata apenas de teste, apesar de um padrão não muito bom para invasões, esses servidores deixam brechas. Exemplos
intitle:"test page for Apache" ou,
intitle:"Página teste para a instalação do Apache" ou,
intitle:"welcome to windows 2000 internet services"
intitle:"welcome to windows xp server internet services" "under construction" "does not currently have"
Ataque #3 – Listagem de diretórios
Muitos servidores permitem listagem de diretórios, por ma configuração, deixa-se essa listagem disponível nos sites, podendo conter dados sigilosos da empresa assim como logs de movimentações ou alterações no site ou até mesmo senhas. Exemplo:
intitle:index of admin
intitle:"index of" .htpasswd
intitle:"index of" backup
filetype:log inurl:"password.log"
Ataque #4 – Fazendo o "googlebot" lançar ataques por você
Como visto no início deste documento, o "googlebot" é o agente responsável pela busca e classificação das páginas dentro de servidores. Pedir ao agente para visitar sua página é um procedimento fácil, e que pode ser feito de muitas maneiras diferentes. Uma vez dentro de sua página, o "googlebot" (e qualquer outro agente de serviços de busca, na verdade) vai registrar e seguir cada um dos links que você incluir dentro da mesma, não importa quais sejam. Um usuário pode, portanto, adicionar links de natureza maliciosa em sua página e apenas esperar os agentes surgirem para fazer o "trabalho sujo" por ele. Os agentes buscadores se encarregarão de executar o ataque e, não bastasse isso, ainda podem colocar os resultados devolvidos pelas vítimas (caso existam) publicamente em suas páginas de busca, para que qualquer um (inclusive o atacante) possa ver. Exemplos links com ataques potenciais incluem:
http://algumhost/cgi-bin/script.pl?p1=`ataque`
http://algumhost:54321/ataque?`id`
http://algumhost/AAAAAAAAAAAAAAAAAAAAAAAAAAAA...
Repare que é possível ainda manipular a sintaxe das URLs para mandar o agente acessa servidor alvo em portas específicas (na segunda linha de exemplo, mandamos ele acessar a porta 54321).
Ataque #5 – Explorando relatórios de segurança
Administradores preocupados com a segurança de seus sistemas costumam executar programas específicos que realizam varreduras de segurança e identificam vulnerabilidades em seus servidores. Procurar por
"This file was generated by Nessus"
ou
"This report lists" "identified by Internet Scanner"
retorna desde páginas exemplo até relatórios reais, que indicam as vulnerabilidades encontradas em determinados servidores, que colocaram os relatórios das ferramentas (como o "nessus" ou o "ISS", do exemplo acima) em uma área pública.
Ataque #6 – Usando o Google como um web proxy
A possibilidade de se traduzir páginas é um dos grandes atrativos do Google. Através da página
http://translate.google.com/translate_t
podemos digitar uma URL qualquer e o Google fará a tradução da página de acordo com o idioma desejado. O procedimento é simples: O Google acessa a página, traduz, e retorna ela para você. Na prática, você não fez nenhuma conexão direta à página desejada, e o Google atuou como um web proxy para você. O único problema desse procedimento é que você precisaria traduzir a página desejada de algum idioma para outro, e visualizá-la somente no idioma destino. No entanto, isso pode ser facilmente contornado. A sintaxe retornada pelo Google para as traduções é no seguinte formato:
http://translate.google.com/translate?u=PAGINA&langpair=LANG1LANG2
onde PAGINA é a URL completa desejada, LANG1 é o código para o idioma original da página, e LANG2 é o código para o idioma destino. Manipulando esses valores, podemos colocar o mesmo idioma como origem e destino, e assim ver a página em seu idioma original, utilizando o Google como web proxy. Para ver o conteúdo da página do GRIS (em português) através do Google, basta digitar.
http://translate.google.com/translate?u=http://www.gris.dcc.ufrj.br &langpair=ptpt
Usando o Google para se defender de ataques:
Da mesma forma que o Google pode ser usado por usuários maliciosos a fim de atacar seus servidores e clientes, você também pode utilizá-lo para proteger os mesmos através de algumas simples ações e constante vigilância. Essencialmente, não coloque informações sensíveis em seus servidores, ainda que temporariamente. Configure seus servidores com atenção redobrada e verifique regularmente sua presença (e a presença de seu sistema) dentro do Google, utilizando o operador "site:" para fazer pesquisas em todos os seus servidores. Este operador também aceita números de IP como parâmetro, então é possível utilizá-lo em seu servidor de IP fixo mesmo que ele não tenha um nome de domínio válido.
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário