No es nada nuevo, Google es algo más que un buscador de Internet y de forma periódica van surgiendo nuevos usos para aprovechar y explotar su gran capacidad de almacenamiento de información dentro de las bases de datos del buscador.

Dentro de esos usos, en la parte de Google Hacking, destacan:

  • Detección y reconocimiento (fingerprinting) de sistemas concretos.
  • Búsqueda de servidores expuestos con vulnerabilidades específicas, directorios sensibles, mensajes de error, etc.
  • Recopilación de usuarios, contraseñas, cuentas de correo electrónico y demás información sensible.
  • Búsqueda de páginas con formularios de acceso.
  • Scanner CGI.
  • Proxy de navegación web.
  • Uso de su caché para navegar de forma casi anónima.


A través de los operadores avanzados de búsqueda es posible encontrar múltiple información que resulta útil a la hora de realizar una revisión de la seguridad de los sistemas y/o encontrar debilidades. Incluso la gente de CULT OF THE DEAD COW (cDc) publicaron hace unos meses la herramienta Goolag Scanner para realizar, de una forma automática, lo mismo que se puede hacer manualmente mediante dichos operadores, además, existe desde marzo de 2007 una base de datos actualizada constantemente (Google Hacking Database - GHDB) y clasificada por categorías (http://johnny.ihackstuff.com) y hasta algún que otro libro sobre el tema.

Los operadores avanzados más destacados son:

Site: busca el término especificado únicamente sobre el dominio o el sitio indicado.
Link: busca enlaces que apunten a un determinado dominio o dirección. Para utilizarlo correctamente será necesario pasarle un nombre de dominio completo con su extensión. No son válidas el uso de palabras o frases para este operador.
Intitle: busca una cadena de texto dentro de una página web. Este operador es muy útil cuando se quiere buscar un texto en concreto dentro de la página y no en la URL o en el título.
Inurl: similar al anterior operador, busca el término pero esta vez si se encuentra en la dirección web (URL).
Intext: busca el término indicado en cualquier lugar de la página.
Inanchor: busca el término en el texto del enlace (link).
Cache: busca el término especificado en la versión en caché del sitio que Google almacena en sus servidores.
Filetype: busca archivos con una extensión determinada. Hay múltiples extensiones soportadas por Google como .pdf, .doc, .xls, .txt, .ppt, etc. Para buscar los tipos de extensiones se puede recurrir a la página http://www.google.com/help/faq_filetypes.html#what
Insubject: busca una expresión concreta en el subject de un mensaje dentro de la búsqueda en grupos de noticias de Google.

Existen más operadores como numrange, daterange, info, phonebook, etc pero que no son tan útiles y prácticos desde el punto de vista de la seguridad informática. Todos los operadores anteriores se pueden combinar libremente para ajustar aún más una búsqueda concreta, por ejemplo:

La búsqueda "inurlasswd filetype:txt site:isc.org" proporciona todos los archivos que se encuentren en la URL con nombre PASSWD y con extensión TXT acotados al sitio ISC.ORG.

La búsqueda ""SquirrelMail version 1.4.4" inurl:src exthp"" proporciona todos los sitios que disponen de la versión de webmail SquirrelMail 1.4.4. que presenta diversas vulnerabilidades.

La búsqueda "ws_ftp.log filetype:log" facilita acceder al archivo de log de servidor ftp WS_FTP de diferentes sitios.

La búsqueda "VNC Desktop inurl:5800" proporciona diversos servidores que presentan una vulnerabilidad conocida en VNC.

La búsqueda "site:google.com -site:www.google.com" permite encontrar diversos subdominios en el site de Google.

La búsqueda "allinurl:exchange/logon.asp" proporciona sitios con el acceso al correo Exchange vía Web (OWA) habilitado.

La búsqueda "intitle:index.of "Parent Directory"" proporciona diversos sitios web con una configuración incorrecta que permite acceder al listado de la estructura de directorios de la aplicación web (directory listing).

Hay multitud de ejemplos en la Google Hacking Database - GHDB o en libro titulado "Google Hacking for Penetration Testers" del mismo autor, Johnny Long, que cuenta con más de 500 páginas relacionadas con google hacking.

Para utilizar google como un proxy de navegación web basta con aprovechar otra de las funcionalidades de google relacionadas con las herramientas del idioma. No hace demasiado era posible utilizar de google como un proxy transparente permitiendo traducir una página al mismo idioma original:

http://www.google.com/translate?u=http://www.hackhispano.com&langpair=es|en

Para navegar de forma casi anónima usando la caché de google, es interesante el parámetro &strip=1 que se añade al final de la URL una vez que se accede a una dirección pulsando en la opción de la caché. Dicho parámetro consigue que sólo se muestre el texto almacenado en google sin llegar a conectar con el servidor original para descargarse las imágenes o acceder a enlaces externos y que la IP por la que se está saliendo a Internet quede registrada:

http://216.239.59.104/search?q=cache...&gl=es&strip=1


MÉTODOS DE PROTECCIÓN

Aparte de utilizar el sentido común al publicar cualquier nuevo sitio web se puede bloquear que google no indexe su contenido mediante el fichero robots.txt:

User-agent: googlebot
Disallow: /directorioquesedeseadeshabilitar/archivos
No indexar:

<META NAME="GOOGLEBOT" CONTENT="NOINDEX,
NOFOLLOW">
No almacenar en caché:

< META NAME=“GOOGLEBOT” CONTENT=“NOARCHIVE”>
< META NAME=“GOOGLEBOT” CONTENT=“NOSNIPPET”>


Además, no es recomendable publicar contenido e información privada, se deben eliminar aquellos ficheros y directorios propios de una instalación por defecto así como aquellas aplicaciones predeterminadas. También es necesario controlar los mensajes de error y la información que en ellos se proporciona a un posible atacante.

Utilizar Google Hack Honeypot (http://ghh.sourceforge.net/) que emula el comportamiento de firmas de GHDB para ser encontrado por Google. Actualmente, sólo está disponible para Apache y PHP pero el funcionamiento es sencillo, una vez instalado, se debe hacer que Google indexe el site y, mediante logs, se registra quién visita el sitio a través del buscador google (google hackers).

PÁGINAS RELACIONADAS

- Google Hacking Database

- cDc site donde descargar la herramienta Goolag Scanner. Google bloquea aquellas direcciones IP desde las que se realizan multitud de peticiones en poco tiempo, obligando temporalmente a incluir un "captcha" para realizar nuevas búsquedas.

- Wikto - Herramienta automática en su sección google hack.

Fuente: http://www.hacktimes.com/?q=node/51