Scientia

În a doua parte a articolului privind secretele căutării pe Google, informaţiile pe care le furnizăm devin periculoase. Vorbim despre vulnerabilităţile serverelor web, despre cum pot fi găsite parole pe Internet, despre cum putem depista informaţii confidenţiale etc. Scopul este de a-i face pe cititori conştienţi de pericolele existente.

Citiţi şi SECRETELE CĂUTĂRII PE GOOGLE (1)

» Informaţiile oferite în acest articol au scop informativ şi au rolul de a preveni cititorul asupra pericolelor potenţiale la care este expus pe Internet.
» Nu încurajăm folosirea acestor informaţii pentru obţinerea de date confidenţiale ale unor persoane ori în oricare alt scop dăunător altora.
» Nu ne asumăm răspunderea pentru eventualele daune  pricinuite dv. ori altor terţe părţi prin uzitarea datelor de mai jos.

În prima parte a articolului am vorbit despre cum putem să îmbunătăţim căutarea pe Google, cum putem rafina această căutare folosind eficient operatorii Google, în aşa fel încât Google să ne livreze pagini web cu informaţii cât mai aproape de cele dorite de noi. În partea a doua schimbăm registrul: vorbim despre cum Google poate fi folosit pentru obţinerea de informaţii ce nu se vor a fi publice...

Interogările Google, în funcţie de textul interogării, pot oferi ca rezultate nu numai date cu caracter public, ci şi informaţii confidenţiale, precum parole de acces, documente confidenţiale ori informaţii personale ale utilizatorilor de internet.

::::: Serverele web

Să presupunem că un hacker descoperă o vulnerabilitate a unei aplicaţii foarte utilizate, cum este cazul unui server Web (un server web este o aplicaţie care transmite paginile web calculatoarelor client, folosind HTTP (Hypertext Transfer Protocol)), iar atacatorul decide să găsească câteva calculatoare pe care această aplicaţie rulează pentru a exploata vulnerabilitatea.

Luând exemplul serverului Apache 2.0, cum va obţine atacatorul linkurile către acesta? Folosind interogarea “Apache/2.0 Server at” intitle:index.of.

Este exemplul tipic de informaţie aparent inofensivă, de aceea în cele mai multe cazuri este ignorată, fiind păstrată configuraţia standard după instalarea serverului web. În configuraţia standard, serverele web generează dinamic anumite pagini care conţin bannere cu numele şi versiunea aplicaţiei. Din păcate, în anumite circumstanţe, această informaţie poate fi foarte valoroasă pentru atacatori. În figura alăturată sunt alte exemple de interogări pentru localizarea diferitelor servere web.

Există o mulţime de servere web a căror configuraţie nu a fost modificată după instalare. Folosind interogările din tabelul de mai jos putem localiza paginile respective.

::::: Exploatarea vulnerabilităţilor aplicaţiilor: WebJeff FileManager

Această metodă simplă permite accesul la un număr foarte mare de site-uri web şi sisteme de operare pe care rulează aplicaţii ale căror vulnerabilităţi sunt cunoscute. Vom exemplifica pe o aplicaţie îndeajuns de cunoscută: WebJeff Filemanager.

WebJeff Filemanager este o aplicaţie web care permite încărcarea, navigarea, administrarea şi modificarea fişierelor pe/de pe un server. Versiunea 1.6 a acestei aplicaţii conţine un bug care înlesneşte descărcarea oricărui fişier de pe server, atâta timp cât acesta este accesibil utilizatorilor care rulează HTTP daemon.

Cum va proceda atacatorul pentru a obţine fişierul etc/passwd? Folosind interogarea “WebJeff-Filemanager 1.6” Login va localiza acele site-uri care au instalată versiunea 1.6 a aplicaţiei. Odată localizat site-ul, în bara de adrese, în continuarea URL-ului paginii, atacatorul va introduce /index.php3?action=telecharger&fichier=/etc/passwd, bug-ul aplicaţiei WebJeff specificat anterior permiţând oricărui răuvoitor să descarce fişierul etc/passwd.

Fişierul etc/passwd conţine informaţii despre fiecare utilizator care s-a logat în sistem: identificator utilizator (user ID), numele complet al utilizatorului, detaliile de contact şi alte informaţii personale.

Pentru a preveni asemenea breşe de securitate, administratorul trebuie să remedieze orice  vulnerabilitate. O soluţie ar putea fi eliminarea numelui şi a versiunii aplicaţiei din paginile şi fişierele care le-ar putea conţine.

::::: Recunoaşterea ţintei

Practic, toate atacurile sistemelor IT necesită un studiu preliminar de recunoaştere a  ţintei, care de obicei include scanarea computerelor pentru identificarea serviciilor active, a sistemelor de operare şi a software-ului specific. Scannerele de reţea, cum sunt Nmap sau amap, sunt utilizate de obicei în acest scop, dar există şi o altă posibilitate. Mulţi administratori de sistem instalează aplicaţii web-based care generează statistici de încărcare a sistemului, afişează utilizarea spaţiului de pe disc sau chiar loguri de sistem. Logurile de sistem sunt generate de obicei de sistemul de operare şi conţin informaţii referitoare la drivere, schimbări din interiorul sistemului, evenimente.

Toate aceste informaţii îi pot fi de folos unui atacator. Prin simpla interogare “Generated by phpSystem” acesta va găsi acele pagini web conţinând statistici generate de aplicaţia phpSystem.

De asemenea, pot fi căutate şi paginile generate de Sysinfo script folosind interogarea intitle:”Sysinfo * “ intext:”Generated by Sysinfo * written by The Gamblers.”

În imaginea de mai jos sunt enumerate alte posibile interogări care vor returna pagini cu informaţii despre sistem, generate de aplicaţii cunoscute. Obţinerea acestui gen de informaţii poate încuraja hackerii să atace un anumit sistem şi îi va ajuta să găsească uneltele necesare pentru exploatarea lui. Aşadar, dacă decideţi să folosiţi aplicaţii web care monitorizează resursele computerului, asiguraţi-vă că accesul la aplicaţiile cu pricina este restricţionat printr-o parolă.

::::: În căutarea erorilor...

Mesajele de eroare HTTP pot fi de asemenea foarte valoroase, deoarece pot furniza o sumedenie de informaţii referitoare la sistem, bază de date şi configuraţie.
De exemplu, găsirea erorilor generate de bazele de date Informix necesită doar interogarea “A syntax error has occurred” filetype:ihtml. Rezultatul interogării va furniza atacatorului mesaje de eroare care conţin informaţii cu privire la configuraţia bazei de date, a structurii de fişiere a sistemului, iar uneori chiar parole.

Rezultatele pot fi limitate doar la acelea care conţin parole prin simpla modificare a interogării în “A syntax error has occurred” filetype:ihtml intext:LOGIN.

Informaţii similare pot fi obţinute şi pentru baze de date MySQL folosind interogarea “Access denied for user” “Using password”.

Tabelul din imaginea alăturată conţine şi alte exemple de interogări asemănătoare.

Singura modalitate de a preveni publicarea informaţiilor conţinute în erori este înlăturarea cât mai rapidă a bug-urilor care le-au provocat sau, pe cât posibil, configurarea aplicaţiei astfel încât să înregistreze orice eroare în fişiere inaccesibile utilizatorilor.

::::: Vânătoarea de parole...

Paginile web conţin foarte multe parole în diferite resurse: conturi de e-mail, servere FTP sau chiar conturi shell. Conturile shell sunt conturi ale utilizatorilor pe un server remote care permit accesul la interpretorul unix. Prezenţa parolelor în paginile web se explică pe de o parte prin ignoranţa utilizatorilor care le salvează în fişiere accesibile public, iar pe de altă parte prin superficialitatea producătorilor de software care fie furnizează insuficiente măsuri de protecţie a datelor, fie nu oferă suficiente informaţii despre necesitatea de modificare a configuraţiei standard a produsului.

Să luam exemplul lui WS_FTP, un client FTP foarte utilizat care oferă opţiunea de stocare a parolelor. WS_FTP stochează configuraţia şi informaţiile referitoare la conturile de utilizatori în fişierul WS_FTP.ini. Nu toată lumea realizează că accesul la configuraţia unui client FTP este sinonimă cu accesul la resursele utilizatorului FTP. Parolele stocate în fişierul WS_FTP.ini sunt criptate, dar pot fi decriptate cu o unealtă potrivită sau, mai simplu, odată instalat clientul WS_FTP, poate fi rulat cu configuraţia furată. Cum se pot obţine aceste fişiere de configurare WS_FTP? Prin simpla interogare Google “Index of/” “Parent Directory” “WS_FTP.ini” sau filetype:ini WS_FTP PWD.

Teoretic, toată lumea ştie că parolele nu trebuie să stea în locuri vizibile, accesibile tuturor. Practic, foarte mulţi utilizatori îşi stochează parolele în fişiere text aflate în directoare locale care sunt accesibile prin intermediul Internetului. Mulţi dintre aceşti utilizatori sunt administratori de reţea, iar fişierele pot conţine date sensibile. Este greu de definit o singură metodă pentru localizarea acestor date, dar folosind simple interogări Google  după cuvinte cheie cum sunt account, users, admin, administrators, passwd, password sau altele similare, rezultatul poate fi extrem  de eficient, în special atunci când sunt compuse cu tipuri de fişiere .xls, .txt, .doc, .mdb sau .pdf. De asemenea, pot fi localizate directoare care conţin în denumire cuvinte precum admin, backup şi altele similare, folosind interogări precum inurl:admin intitle:index.of.

În tabelul următor sunt evidenţiate câteva interogări pentru obţinerea parolelor stocate în locuri inadecvate.

Pentru ca parolele să fie cât mai puţin accesibile unei terţe persoane trebuie să fim precauţi atunci când le folosim sau le salvăm. Dacă administrăm un site web trebuie să analizăm cu atenţie configuraţia aplicaţiei pe care o utilizăm, să localizăm datele neprotejate şi să luăm măsurile necesare pentru a le securiza.

::::: Informaţii personale şi documente confidenţiale

Atât în Europa, cât şi în America legile existente prevăd protecţia datelor personale ale cetăţenilor. Din păcate, destul de frecvent, documentele confidenţiale care conţin informaţii personale sunt salvate în fişiere accesibile public sau transmise pe Internet fără a fi protejate corespunzător.

Accesul la o bază de date cu e-mailuri care conţine CV-urile pe care le-am trimis atunci când eram în căutarea unui loc de muncă facilitează obţinerea informaţiilor personale. Adresa, numărul de telefon, data naşterii, nivelul de educaţie, toate datele se afla în CV. Mii de astfel de documente pot fi găsite pe internet printr-o simplă interogare, intitle:”curriculum vitae” “phone * **” “address *” “e/mail”. Nu credeţi? Încercaţi...

De ce pot fi obţinute astfel de informaţii? Pentru că majoritatea utilizatorilor de internet îşi creează agende electronice. O interogare precum filetype:xls inurl:”email.xls” poate fi extrem de eficientă, returnând fişiere excel numite email.xls.

Paginile web conţin de asemenea documente care au fost marcate ca fiind confidenţiale, prin urmare conţin informaţii sensibile. Pot fi planuri de proiect, documentaţie tehnică, chestionare, rapoarte, prezentări şi multe alte materiale interne ale companiilor. Sunt foarte uşor de localizat, deoarece conţin cel mai adesea cuvântul confidential, textul Not for distribution sau altele similare. Tabelul următor prezintă câteva interogări care pot returna documente confidenţiale.

Ca şi în cazul parolelor, tot ce putem face pentru a evita expunerea informaţiilor private este să fim precauţi, iar toate datele care pot deveni publice trebuie sa fie securizate. Companiile trebuie să aplice anumite reguli, proceduri şi standarde pentru administrarea documentelor interne, completate de roluri bine definite pentru fiecare utilizator.


::::: Echipamentele de reţea

Mulţi administratori subestimează importanţa securizării echipamentelor precum imprimantele de reţea sau camerele web. O imprimantă nesecurizată poate furniza unui terţ informaţii care pot fi utilizate mai târziu pentru atacarea altor sisteme din aceeaşi reţea sau chiar a altor reţele. Camere web sunt mult mai puţin periculoase, dar sunt situaţii în care imaginile capturate de aceste camere pot fi folosite în jafuri sau spionaj. În tabelul următor sunt evidenţiate câteva interogări pentru localizarea imprimantelor şi camerelor web, iar în print screen-ul care îl precede sunt configurările unei imprimante, găsite pe web.

Autor: Iulia FĂTU

BIBLIOGRAFIE
::: M. Piotrowski, Dangerous Google – Searching for Secrets, Haking9 Magazine, 2005
::: webopedia.com/TERM/S/system_log.html