Niebezpieczne Google wyszukiwanie poufnych informacji

Micha Piotrowski

Artyku opublikowany w numerze 3/2005 magazynu hakin9 Wszelkie prawa zastrzeone. Bezpatne kopiowanie i rozpowszechnianie artykuu dozwolone pod warunkiem zachowania jego obecnej formy i treci. Magazyn hakin9, Wydawnictwo Software, ul. Lewartowskiego 6, 00-190 Warszawa, pl@hakin9.org

Niebezpieczne Google wyszukiwanie poufnych informacji

Micha Piotrowski

Informacje ktre powinny by chronione, bardzo czsto s dostpne publicznie. Ujawniaj je niewiadomie na skutek niedbalstwa lub niewiedzy sami uytkownicy. Efekt jest taki, e poufne dane s na wycignicie rki, w Internecie. Wystarczy uy Google.

oogle odpowiada na okoo 80 procent wszystkich zapyta w Sieci, a tym samym jest najczciej i najchtniej wykorzystywan wyszukiwark. Zawdzicza to nie tylko wyjtkowo skutecznemu mechanizmowi generowania wynikw, ale te bardzo rozbudowanym moliwociom zadawania pyta. Jednak naley pamita o tym, e Internet jest bardzo dynamicznym medium, przez co wyniki prezentowane przez Google nie zawsze s aktualne. Zdarza si, e niektre odnalezione strony s mocno niewiee, a jednoczenie wiele podobnych jeszcze nie zostao odwiedzonych przez Googlebota (skrypt-automat przeczesujcy i indeksujcy zasoby WWW). Najwaniejsze i najbardziej przydatne operatory precyzujce, wraz z opisem i efektem dziaania, zostay przedstawione w Tabeli 1, za miejsca w dokumentach, do ktrych operatory si odnosz w trakcie przeszukiwania zasobw Sieci (na przykadzie strony magazynu hakin9), prezentuje Rysunek 1. To tylko przykady umiejtne zadawanie pyta w Google umoliwia uzyskanie o wiele ciekawszych informacji.

Z artykuu dowiesz si...

jak przy uyciu Google wyszukiwa bazy danych osobowych i inne poufne informacje, jak odnale informacje o podatnych na ataki systemach i usugach sieciowych, jak znajdowa w Google publicznie dostpne urzdzenia sieciowe.

Co powiniene wiedzie...
powiniene potrafi korzysta z przegldarki internetowej, powiniene mie podstawow wiedz o protokole HTTP.

Podstawy

O autorze

Szukamy ofiary

Dziki wyszukiwarce Google mona dotrze nie tylko do powszechnie dostpnych zasobw

Micha Piotrowski, magister informatyki, ma wieloletnie dowiadczenie w pracy na stanowisku administratora sieci i systemw. Przez ponad trzy lata pracowa jako inspektor bezpieczestwa w instytucji obsugujcej nadrzdny urzd certyfikacji w polskiej infrastrukturze PKI. Obecnie specjalista ds. bezpieczestwa teleinformatycznego w jednej z najwikszych instytucji finansowych w Polsce. W wolnych chwilach programuje i zajmuje si kryptografi.

www.hakin9.org

hakin9 Nr 3/2005

Google hacking

Tabela 1. Operatory zapyta w Google Operator

site

Przeznaczenie ogranicza wyniki do stron znajdujcych si w okrelonej domenie ogranicza wyniki do dokumentw zawierajcych podan fraz w tytule ogranicza wyniki do dokumentw zawierajcych wszystkie podane frazy w tytule ogranicza wyniki do stron zawierajcych podan fraz w adresie URL ogranicza wyniki do stron zawierajcych wszystkie podane frazy w adresie URL ogranicza wyniki do dokumentw o podanym typie ogranicza wyniki do dokumentw zawierajcych w treci liczb z podanego zakresu ogranicza wyniki do stron zawierajcych odnoniki do podanej lokalizacji ogranicza wyniki do stron z odnonikami zawierajcymi w opisie podan fraz ogranicza wyniki do dokumentw zawierajcych podan fraz w tekcie i jednoczenie nie zawierajce jej w tytule, odnonikach i adresach URL wymusza czste wystpowanie podanej frazy w wynikach wymusza niewystpowanie podanej frazy w wynikach pozwala wyszukiwa cae frazy, nie tylko wyrazy jest zastpowany pojedynczym znakiem jest zastpowany pojedynczym wyrazem logiczne OR

Przykad wykorzystania znajdzie wszystkie strony zawierajce w tekcie wyraz fox, ktre znajduj si w domenie *.google.com
site:google.com fox

intitle

znajdzie strony zawierajce wyraz fox w tytule i fire w tekcie

intitle:fox fire

allintitle

znajdzie wszystkie strony zawierajce w tytule wyrazy fox i fire; dziaa podobnie jak
allintitle:fox fire intitle:fox intitle:fire

inurl

znajdzie strony zawierajce w tekcie wyraz fire i fox w adresie URL

inurl:fox fire allinurl:fox

allinurl

fire znajdzie strony zawierajce w adresie URL wyrazy fox i fire; dziaa podobnie jak inurl:
fox inurl:fire

filetype, ext

zwrci dokumenty PDF zawierajce wyraz fire, a filetype:xls fox zwrci dokumenty arkusza Excel zawierajce fox
filetype:pdf fire

numrange

zwrci strony zawierajce liczb z zakresu od 1 do 100 i wyraz fire. Identyczny efekt mona uzyska pytaniem: 1..100 fire
numrange:1-100 fire

link

zwrci dokumenty zawierajce co najmniej jeden odnonik do strony www.google.pl

link:www.google.pl inanchor:fire

inanchor

zwrci dokumenty zawierajce odnoniki, ktre posiadaj wyraz fire w opisie (nie w adresie URL, na ktry wskazuj, ale w podkrelonej czci tekstu)
allintext:"fire fox" zwrci

allintext

dokumenty, ktre posiadaj fraz fire fox tylko w tekcie segreguje wyniki zgodnie w du iloci wystpowania wyrazu fire
+fire -fire

+ "" . * |

zwrci dokumenty nie zawierajce wyrazu fire dokumenty zawierajce fraz fire fox

"fire fox" zwrci fire.fox

zwrci dokumenty zawierajce frazy fire fox, fireAfox, fire1fox, fire-fox itp. zwrci dokumenty zawierajce frazy fire the fox, fire in fox, fire or fox itp.
fire * fox

zwrci dokumenty zawierajce fraz fire fox lub wyraz firefox

"fire fox" | firefox

Internetu, ale rwnie do takich, ktre nigdy nie powinny zosta ujawnione. Jeli zadamy odpowiednie pytanie, czsto otrzymamy naprawd zadziwiajce wyniki. Zacznijmy od czego prostego.

Wyobramy sobie, e w pewnym powszechnie wykorzystywanym programie zostaje odnaleziona luka. Przypumy, e dotyczy ona serwera Microsoft IIS w wersji 5.0 i e hipotetyczny napastnik chce znale

kilka maszyn z tym oprogramowaniem, aby je zaatakowa. Oczywicie mgby do tego celu uy jakiego skanera, jednak woli skorzysta z Google wpisuje wic nastpujce pytanie: "Microsoft-IIS/5.0

hakin9 Nr 3/2005

www.hakin9.org

Rysunek 1. Wykorzystanie operatorw w wyszukiwaniu na przykadzie witryny magazynu hakin9

Rysunek 2. Odnalezienie serwera IIS 5.0 przy uyciu operatora intitle

i w rezultacie otrzymuje odnoniki do poszukiwanych serwerw, a konkretnie do wylistowanych zawartoci katalogw, znajdujcych si na tych serwerach. Dzieje si tak dlatego, e w standardowej konfiguracji oprogramowanie IIS (i wiele innych) dodaje do niektrych dynamicznie generowanych stron banery zawierajServer at" intitle:index.of

ce swoj nazw i wersj (wida to na Rysunku 2). Jest to przykad informacji, ktra sama w sobie jest niegrona; z tego powodu bardzo czsto jest ignorowana i pozostawiana w standardowej konfiguracji. Niestety jest to rwnie informacja, ktra w pewnych okolicznociach moe mie dla napastnika istotne znaczenie. Wicej przykado-

wych pyta dla Google o inne typy serwerw zawiera Tabela 2. Innym sposobem znalezienia konkretnych wersji serwerw WWW jest szukanie standardowych stron, ktre s z nimi dostarczane i dostpne po poprawnej instalacji. Moe wydawa si to dziwne, ale w Sieci znajduje si mnstwo serwerw, ktrych domylna zawarto nie zostaa zmieniona po instalacji. Bardzo czsto s to sabo zabezpieczone, zapomniane maszyny stanowice atwy cel dla wamywaczy. Mona je odnale wykorzystujc pytania zaprezentowane w Tabeli 3. Ta metoda jest bardzo prosta i jednoczenie niezwykle uyteczna. Za jej pomoc mona uzyska dostp do ogromnej iloci rnych serwisw sieciowych czy systemw operacyjnych wykorzystujcych aplikacje, w ktrych znaleziono bdy i ktrych leniwi lub niewiadomi administratorzy nie usunli. Za przykad niech posu dwa dosy popularne programy: WebJeff Filemanager i Advanced Guestbook. Pierwszy z nich jest webowym menaderem plikw, umoliwiajcym przesyanie plikw do serwera oraz tworzenie, przegldanie, usuwanie i modyfikowanie plikw znajdujcych si na serwerze. Niestety, WebJeff Filemanager w wersji 1.6 ma bd, ktry umoliwia odczytanie zawartoci dowolnego pliku znajdujcego si na serwerze, do ktrego ma dostp uytkownik uruchamiajcy demona WWW. Wystarczy wic, e intruz wpisze w podatnym systemie adres /index.php3?action=telec harger&fichier=/etc/passwd, a uzyska zawarto pliku /etc/passwd (patrz Rysunek 3). Oczywicie aby znale podatne serwery napastnik wykorzysta Google zadajc pytanie: "WebJeff-Filemanager 1.6" Login. Druga aplikacja Advanced Guestbook jest napisanym w jzyku PHP programem korzystajcym z bazy danych SQL, ktry umoliwia dodawanie ksig goci do serwisw WWW. W kwietniu 2004 roku zostaa opublikowana informacja o luce dotyczcej wersji 2.2 tego programu, ktra umoliwia (dziki wstrzyk-

Podstawy

www.hakin9.org

hakin9 Nr 3/2005

Google hacking

Tabela 2. Google pytania o rne rodzaje serwerw WWW Pytanie

"Apache/1.3.28 Server at" intitle:index.of "Apache/2.0 Server at" intitle:index.of "Apache/* Server at" intitle:index.of "Microsoft-IIS/4.0 Server at" intitle:index.of "Microsoft-IIS/5.0 Server at" intitle:index.of "Microsoft-IIS/6.0 Server at" intitle:index.of "Microsoft-IIS/* Server at" intitle:index.of "Oracle HTTP Server/* Server at" intitle:index.of "IBM _ HTTP _ Server/* * Server at" intitle:index.of "Netscape/* Server at" intitle:index.of "Red Hat Secure/*" intitle:index.of "HP Apache-based Web Server/*" intitle:index.of

Serwer Apache 1.3.28 Apache 2.0 dowolna wersja Apache Microsoft Internet Information Services 4.0 Microsoft Internet Information Services 5.0 Microsoft Internet Information Services 6.0 dowolna wersja Microsoft Internet Information Services dowolna wersja serwera Oracle dowolna wersja serwera IBM dowolna wersja serwera Netscape dowolna wersja serwera Red Hat Secure dowolna wersja serwera HP

Tabela 3. Pytania o standardowe poinstalacyjne strony serwerw WWW Pytanie

intitle:"Test Page for Apache Installation" "You are free" intitle:"Test Page for Apache Installation" "It worked!" "this Web site!" intitle:"Test Page for Apache Installation" "Seeing this instead" intitle:"Test Page for the SSL/TLS-aware Apache Installation" "Hey, it worked!" intitle:"Test Page for the Apache Web Server on Red Hat Linux" intitle:"Test Page for the Apache Http Server on Fedora Core" intitle:"Welcome to Your New Home Page!" Debian intitle:"Welcome to IIS 4.0!" intitle:"Welcome to Windows 2000 Internet Services" intitle:"Welcome to Windows XP Server Internet Services"

Serwer Apache 1.2.6 Apache 1.3.01.3.9 Apache 1.3.111.3.33, 2.0 Apache SSL/TLS Apache w systemie Red Hat Apache w systemie Fedora Apache w systemie Debian IIS 4.0 IIS 5.0 IIS 6.0 a w polu username wpisujc ? or 1=1 --. Nasz przykadowy napastnik, aby znale w sieci podatne witryny, moe zada wyszukiwarce Google jedno z nastpujcych pyta: intitle:

niciu kodu SQL patrz Artyku Ataki SQL Injection na PHP/MySQL w hakin9 2/2005) uzyskanie dostpu do panelu administracyjnego. Wystarczy odnale stron logowania

do panelu (patrz Rysunek 4) i zalogowa si pozostawiajc pole username puste, a w polu password wpisujc ') OR ('a' = 'a, lub odwrotnie pole password zostawiajc puste,

hakin9 Nr 3/2005

www.hakin9.org

Guestbook "Advanced Guestbook 2.2 Powered"

lub

2.2" Username inurl:admin.

"Advanced

Guestbook

Rysunek 3. Podatna wersja programu WebJeff Filemanager

Aby zapobiec dziaajcemu w opisany sposb wyciekowi danych, administrator musi na bieco ledzi informacje o wszystkich programach, ktre wykorzystuje w utrzymywanych przez siebie serwisach i dokonywa aktualizacji w razie pojawienia si bdu w ktrymkolwiek z nich. Drug rzecz, o ktr warto zadba jest usunicie banerw, nazw i numerw wersji programw ze wszystkich stron lub plikw, w ktrych wystpuj.

Informacje o sieciach i systemach

Rysunek 4. Advanced Guestbook strona logowania

Prawie kady atak na system komputerowy jest poprzedzony rozpoznaniem celu. Zazwyczaj polega to na skanowaniu komputerw prbie okrelenia dziaajcych usug, rodzaju systemu operacyjnego i wersji oprogramowania usugowego. Najczciej wykorzystuje si do tego celu skanery typu Nmap lub amap, ale istnieje jeszcze inna moliwo. Wielu administratorw instaluje aplikacje WWW, ktre na bieco generuj statystyki z pracy systemu, informuj o zajtoci dyskw twardych, zawieraj listy uruchomionych procesw lub nawet logi systemowe. Dla wamywacza s to bardzo wartociowe informacje. Wystarczy, e zapyta Google o statystyki programu phpSystem: "Generated by phpSystem" , a otrzyma strony podobne do zaprezentowanej na Rysunku 5. Moe rwnie zapyta o strony generowane przez skrypt Sysinfo: intitle:"Sysinfo * " intext:
"Generated by The

Rysunek 5. Statystyki phpSystem

ktre zawieraj znacznie wicej informacji o systemie (Rysunek 6). Moliwoci jest bardzo duo (przykadowe zapytania o statystyki i informacje tworzone przez najpopularniejsze programy zawiera Tabela 4). Zdobycie tego typu informacji moe zachci intruza do przeprowadzenia ataku na znaleziony system i pomc mu w dobraniu odpowiednich narzdzi czy exploitw. Dlatego, jeli korzysta-

Gamblers." ,

by

Sysinfo

written

Podstawy

www.hakin9.org

hakin9 Nr 3/2005

Google hacking

my z programw umoliwiajcych monitorowanie zasoby naszych komputerw, musimy zadba o to, aby dostp do nich by chroniony i wymaga podania hasa.

Szukamy bdw

Komunikaty o bdach mog by dla wamywacza niezwykle wartociowe wanie z tych informacji mona otrzyma mnstwo danych o systemie oraz konfiguracji i budowie baz danych. Przykadowo, aby odnale bdy generowane przez baz Informix wystarczy zada wyszukiwarce nastpujce pytanie: "A syntax error has occurred" filetype:ihtml. W rezultacie wamywacz odnajdzie komunikaty zawierajce informacje o konfiguracji bazy danych, ukadzie plikw w systemie a czasem rwnie hasa (patrz Rysunek 7). Aby zawzi wyniki tylko do stron zawieraj-

Rysunek 6. Statystyki Sysinfo

Tabela 4. Programy tworzce statystyki pracy systemu Pytanie

"Generated by phpSystem" "This summary was generated by wwwstat" "These statistics were produced by getstats" "This report was generated by WebLog" intext:"Tobias Oetiker" "traffic analysis" intitle:"Apache::Status" (inurl:server-status | inurl:status.html | inurl:apache.html) intitle:"ASP Stats Generator *.*" "ASP Stats Generator" "2003-2004 weppos" intitle:"Multimon UPS status page" intitle:"statistics of" "advanced web statistics" intitle:"System Statistics" +"System and Network Information Center" intitle:"Usage Statistics for" "Generated by Webalizer" intitle:"Web Server Statistics for ****" inurl:"/axs/ax-admin.pl" -script inurl:"/cricket/grapher.cgi" inurl:server-info "Apache Server Information"

Rodzaj informacji rodzaj i wersja systemu operacyjnego, konfiguracja sprztowa, zalogowani uytkownicy, otwarte poczenia, zajto pamici i dyskw twardych, punkty montowania statystyki pracy serwera WWW, ukad plikw w systemie statystyki pracy serwera WWW, ukad plikw w systemie statystyki pracy serwera WWW, ukad plikw w systemie statystyki pracy systemu w postaci wykresw MRTG, konfiguracja sieci wersja serwera, rodzaj systemu operacyjnego, lista procesw potomnych i aktualne poczenia aktywno serwera WWW, duo informacji o odwiedzajcych statystyki pracy urzdze UPS statystyki pracy serwera WWW, informacje o odwiedzajcych statystyki pracy systemu w postaci wykresw MRTG, konfiguracja sprztowa, dziaajce usugi statystyki pracy serwera WWW, informacje o odwiedzajcych, ukad plikw w systemie statystyki pracy serwera WWW, informacje o odwiedzajcych statystyki pracy serwera WWW, informacje o odwiedzajcych wykresy MRTG z pracy interfejsw sieciowych wersja i konfiguracja serwera WWW, rodzaj systemu operacyjnego, ukad plikw w systemie rodzaj i wersja systemu operacyjnego, zalogowani uytkownicy, zajto pamici i dyskw twardych, punkty montowania, uruchomione procesy, logi systemowe

"Output produced by SysWatch *"

hakin9 Nr 3/2005

www.hakin9.org

cych hasa, mona nieco zmodyfikowa pytanie: "A syntax error has
occurred" LOGIN. filetype:ihtml intext:

Rwnie ciekawe informacje mona uzyska z bdw bazy danych MySQL. Wida to choby na przykadzie zapytania "Access denied for user" "Using password" Rysunek 8 przedstawia jedn ze stron odnalezionych tym sposobem. Inne przykadowe pytania wykorzystujce takie bdy znajduj si w Tabeli 5. Jedynym sposobem ochrony naszych systemw przed publicznym informowaniem o bdach jest przede wszystkim szybkie usuwanie nieprawidowoci oraz, jeli mamy tak moliwo, skonfigurowa-

nie oprogramowania w taki sposb, aby informacje o bdach byy zapisywane w przeznaczonych specjalnie do tego celu plikach, a nie wysyane na strony dostpne uytkownikom. Naley przy tym pamita, e nawet jeli bdy bdziemy usuwa dosy szybko (a tym samym powodowa, e strony wskazywane przez Google bd ju nieaktualne), to intruz moe obejrze kopi strony przechowywan przez cache wyszukiwarki Google. Wystarczy, e na licie z wynikami kliknie w odnonik do kopii witryny. Na szczcie, ze wzgldu na ogromn ilo zasobw internetowych, kopie s przechowywane w cache przez krtki okres.

Szukamy hase

Rysunek 7. Bd bazy danych Informix

W sieci mona znale mnstwo hase do wszelkiego rodzaju zasobw kont pocztowych, serwerw FTP czy nawet kont shellowych. Wynika to gwnie z niewiedzy uytkownikw niewiadomie umieszczajcych hasa w publicznie dostpnych miejscach, ale te z niedbalstwa producentw oprogramowania, ktrzy albo nieodpowiednio chroni dane uytkownikw, albo nie informuj ich o koniecznoci modyfikacji standardowej konfiguracji swoich produktw. Rozwamy przykad WS_FTP, dobrze znanego i powszechnie uywanego klienta FTP, ktry podobnie jak wikszo oprogramowania uytkowego umoliwia zapamitywanie hase do kont. WS_FTP zapisuje swoj konfiguracj i informacje o kontach uytkownika w pliku WS_FTP.ini. Niestety nie wszyscy zdajemy sobie spraw z tego, e kady, kto uzyska dostp do konfiguracji klienta FTP bdzie mia jednoczenie dostp do naszych zasobw. Co prawda hasa przechowywane w pliku WS_FTP.ini s zaszyfrowane, ale nie jest to wystarczajce zabezpieczenie majc plik konfiguracyjny, wamywacz moe skorzysta z narzdzi pozwalajcych hasa odszyfrowa lub po prostu zainstalowa program WS_FTP i uruchomi go z nasz konfiguracj. A w jaki sposb wamywacz moe dotrze do tysicy plikw konfiguracyjnych klienta WS_FTP? Oczywicie przez Google. Dziki pytaniom "Index of/
" "Parent Directory" "WS _ FTP.ini"

Rysunek 8. Bd bazy MySQL

lub filetype:ini WS _ FTP PWD otrzyma mnstwo odnonikw do interesujcych go danych, ktre w swojej niewiedzy sami wkadamy mu w rce (Rysunek 9). Inny przykad to aplikacja webowa o nazwie DUclassified, ktra umoliwia dodawanie i zarzdzanie reklamami w serwisach internetowych. W standardowej konfiguracji tego programu nazwy uytkownikw, hasa i inne dane s przechowywane w pliku duclassified.mdb, ktry znajduje si w niechronionym przed odczytem podkatalogu _private. Wystarczy zatem zna-

Podstawy

www.hakin9.org

hakin9 Nr 3/2005

Google hacking

Tabela 5. Komunikaty o bdach Pytanie

"A syntax error has occurred" filetype: ihtml "Access denied for user" "Using password" "The script whose uid is " "is not allowed to access" "ORA-00921: unexpected end of SQL command" "error found handling the request" cocoon filetype:xml

Rezultat Bdy bazy Informix mog zawiera nazwy funkcji, nazwy plikw, informacje o ukadzie plikw, fragmenty kodu SQL oraz hasa bdy autoryzacji mog zawiera nazwy uytkownika, nazwy funkcji, informacje o ukadzie plikw i fragmenty kodu SQL bdy PHP zwizane z kontrol dostpu mog zawiera nazwy plikw, nazwy funkcji i informacje o ukadzie plikw bdy bazy Oracle mog zawiera nazwy plikw, nazwy funkcji i informacje o ukadzie plikw bdy programu Cocoon mog zawiera numer wersji Cocoon, nazwy plikw, nazwy funkcji i informacje o ukadzie plikw bdy forum dyskusyjnego Invision Power Board mog zawiera nazwy funkcji, nazwy plikw, informacje o ukadzie plikw w systemie oraz fragmenty kodu SQL bdy bazy MySQL mog zawiera nazwy uytkownikw, nazwy funkcji, nazwy plikw i informacje o ukadzie plikw bdy skryptw CGI mog zawiera informacje o rodzaju systemu operacyjnego i wersji oprogramowania, nazwy uytkownikw, nazwy plikw oraz informacje o ukadzie plikw w systemie bdy bazy MySQL mog zawiera informacje o strukturze i zawartoci bazy danych

"Invision Power Board Database Error"

"Warning: mysql _ query()" "invalid query" "Error Message : Error loading required libraries."

"#mysql dump" filetype:sql

le serwis korzystajcy z DUclassifield o przykadowym adresie http://<host>/duClassified/ i zmieni go na http://<host>/duClassified /_ private /duclassified.mdb, aby otrzyma plik z hasami i tym samym uzyska nieograniczony dostp do aplikacji (pokazuje to Rysunek 10). Natomiast w znalezieniu witryn, ktre korzystaj z omawianej aplikacji moe pomc nastpujce pytanie zadane w Google:
"Powered

(aby unikn wynikw dotyczcych witryny producenta). Co ciekawe, producent DUclassified firma DUware stworzya kilka innych aplikacji, ktre rwnie s podatne na podobne naduycia. Teoretycznie wszyscy wiemy, e nie naley przylepia hase do monitora lub ukrywa ich pod klawiatur. Tymczasem sporo ludzi zapisuje hasa w plikach i umieszcza je w swoich katalogach domowych, ktre, wbrew oczekiwaniom, s osigalne z Internetu. W dodatduware.com

by

DUclassified"

-site:

Rysunek 9. Plik konfiguracyjny programu WS_FTP

hakin9 Nr 3/2005

www.hakin9.org

Tabela 6. Hasa przykadowe zapytania w Google Pytanie

"http://*:*@www" site filetype:bak inurl:"htaccess|passwd|shadow|htusers" filetype:mdb inurl:"account|users|admin| administrators|passwd|password" intitle:"Index of" pwd.db inurl:admin inurl:backup intitle:index.of "Index of/" "Parent Directory" "WS _ FTP.ini" filetype:ini WS _ FTP PWD ext:pwd inurl:(service|authors|administrators| users) "# -FrontPage-" filetype:sql ("passwd values ****" | "password values ****" | "pass values ****" ) intitle:index.of trillian.ini eggdrop filetype:user user filetype:conf slapd.conf inurl:"wvdial.conf" intext:"password" ext:ini eudora.ini

Rezultat hasa do strony site, zapisane w postaci "http://username:

password@www..."

kopie zapasowe plikw, w ktrych mog znajdowa si informacje o nazwach uytkownikw i hasa pliki typu mdb, ktre mog zawiera informacje o hasach pliki pwd.db mog zawiera nazwy uytkownikw i zakodowane hasa katalogi zawierajce w nazwie sowa admin i backup pliki konfiguracyjne programu WS_FTP, ktre mog zawiera hasa do serwerw FTP pliki zawierajce hasa programu Microsoft FrontPage pliki zawierajce kod SQL i hasa dodawane do bazy danych pliki konfiguracyjne komunikatora Trillian pliki konfiguracyjne ircbota Eggdrop pliki konfiguracyjne aplikacji OpenLDAP pliki konfiguracyjne programu WV Dial pliki konfiguracyjne programu pocztowego Eudora pliki Microsoft Access, ktre mog zawiera informacje o kontach serwisy WWW korzystajce z aplikacji Web Wiz Journal, ktra w standardowej konfiguracji umoliwia pobranie pliku zawierajcego hasa; zamiast domylnego adresu http://<host>/journal/ naley wpisa http://<host>/journal/ journal.mdb

filetype:mdb inurl:users.mdb

intext:"powered by Web Wiz Journal"

"Powered by DUclassified" -site:duware.com "Powered by DUcalendar" -site:duware.com "Powered by DUdirectory" -site:duware.com "Powered by DUclassmate" -site:duware.com "Powered by DUdownload" -site:duware.com "Powered by DUpaypal" -site:duware.com "Powered by DUforum" -site:duware.com intitle:dupics inurl:(add.asp | default.asp | view.asp | voting.asp) -site:duware.com

Podstawy

serwisy WWW, korzystajce z aplikacji DUclassified, DUcalendar, DUdirectory, DUclassmate, DUdownload, DUpaypal, DUforum lub DUpics, ktre w standardowej konfiguracji umoliwiaj pobranie pliku zawierajcego hasa; zamiast domylnego adresu (dla DUclassified) http://<host>/duClassified/ naley wpisa http://<host>/duClassified/_private/ duclassified.mdb serwisy WWW korzystajce z aplikacji Bitboard2, ktra w standardowej konfiguracji umoliwia pobranie pliku zawierajcego hasa; zamiast domylnego adresu http://<host>/ forum/forum.php naley wpisa http://<host>/forum/admin/ data_passwd.dat

intext:"BiTBOARD v2.0" "BiTSHiFTERS Bulletin Board"

10

www.hakin9.org

hakin9 Nr 3/2005

Google hacking

Rysunek 10. Standardowo skonfigurowany program DUclassified

ku wielu z nich piastuje funkcje administratorw sieci lub podobne, przez co pliki te osigaj pokane rozmiary. Trudno poda konkretn zasad szukania takich danych, ale dobrze sprawdzaj si kombinacje sw account, users, admin, administrators, passwd, password itp. W poczeniu z typami plikw .xls, .txt, .doc, .mdb i .pdf. Warto rwnie zwrci uwag na katalogi zawierajce w nazwie sowa admin, backup lub podobne: inurl:admin intitle: index.of. Przykadowe pytania o dane zwizane z hasami mona znale w Tabeli 6. Aby utrudni intruzom dostp do naszych hase, musimy przede wszystkim myle o tym, gdzie i po co je wpisujemy, jak s przechowywane oraz co si z nimi dzieje. Jeli opiekujemy si serwisem internetowym, powinnimy przeanalizowa konfiguracj wykorzystywanych aplikacji, odnale sabo chronione lub wraliwe dane i odpowiednio je zabezpieczy.

Dane osobowe i dokumenty poufne

Rysunek 11. Elektroniczna ksika adresowa zdobyta dziki Google

W Sieci
http://johnny.ihackstuff.com najwiksze repozytorium informacji o Google hacking, http://insecure.org/nmap/ skaner sieciowy Nmap, http://thc.org/thc-amap/ skaner amap.

Zarwno w Polsce czy Unii Europejskiej, jak i w Stanach Zjednoczonych istniej odpowiednie regulacje prawne, ktre maj za zadanie ochrania nasz prywatno. Niestety zdarza si, e wszelkiego rodzaju poufne dokumenty zawierajce nasze dane s umieszczane w publicznie dostpnych miejscach lub przesyane przez sie bez waciwego zabezpieczenia. Wystarczy, e intruz uzyska dostp do poczty elektronicznej zawierajcej nasze Curriculum Vitae wysane podczas poszukiwania pracy, a pozna nasz adres, numer telefonu, dat urodzenia, przebieg edukacji, wiedz i dowiadczenie. W Internecie mona znale mnstwo dokumentw tego typu. Aby je odszuka, naley zada nastpujce pytanie: intitle:
"curriculum vitae" "phone * * *" "address *" "e-mail" atwo rw. nie znale dane teleadresowe w postaci list nazwisk, numerw telefonw i adresw e-mail (Rysu-

hakin9 Nr 3/2005

www.hakin9.org

11

Tabela 7. Szukanie danych osobowych i poufnych dokumentw Pytanie

filetype:xls inurl:"email.xls" "phone * * *" "address *" "e-mail" intitle: "curriculum vitae" "not for distribution" confidential buddylist.blt intitle:index.of mystuff.xml filetype:ctt "msn" filetype:QDF QDF intitle:index.of finances.xls intitle:"Index Of" -inurl:maillog maillog size "Network Vulnerability Assessment Report" "Host Vulnerability Summary Report" filetype:pdf "Assessment Report" "This file was generated by Nessus"

Rezultat pliki email.xls, ktre mog zawiera dane teleadresowe dokumenty CV dokumenty opatrzone klauzul confidential listy kontaktw komunikatora AIM listy kontaktw komunikatora Trillian listy kontaktw MSN baza danych programu finansowego Quicken pliki finances.xls, ktre mog zawiera informacje o kontach bankowych, zestawienia finansowe i numery kart kredytowych pliki maillog, ktre mog zawiera wiadomoci e-mail raporty z badania bezpieczestwa sieci, testw penetracyjnych itp.

Tabela 8. Cigi charakterystyczne dla urzdze sieciowych Pytanie

"Copyright (c) Tektronix, Inc." "printer status" inurl:"printer/main.html" intext:"settings" intitle:"Dell Laser Printer" ews intext:centreware inurl:status inurl:hp/device/this.LCDispatcher intitle:liveapplet inurl:LvAppl intitle:"EvoCam" inurl:"webcam.html" inurl:"ViewerFrame?Mode=" (intext:"MOBOTIX M1" | intext:"MOBOTIX M10") intext: "Open Menu" Shift-Reload inurl:indexFrame.shtml Axis

Urzdzenie drukarki PhaserLink drukarki Brother HL drukarki Della z technologi EWS drukarki Xerox Phaser 4500/6250/8200/8400 drukarki HP kamery Canon Webview kamery Evocam kamery Panasonic Network Camera kamery Mobotix kamery Axis kamery Sony SNC-RZ30 kamery dostpne przez aplikacj WebcamXP Server kamery dostpne przez aplikacj mmEye kamery z interfejsem USB przecitnego intruza, ale ju wprawiony socjotechnik bdzie potrafi wykorzysta zawarte w nich dane, zwaszcza jeli dotycz kontaktw w obrbie jednej firmy. Dosy dobrze w tym przypadku sprawdza si na przykad pytanie: filetype: xls inurl:"email.xls" ktre wyszu, ka arkusze kalkulacyjne o nazwie email.xls.

Podstawy

SNC-RZ30 HOME intitle:"my webcamXP server!" inurl:":8080" allintitle:Brains, Corp. camera intitle:"active webcam page"

nek 11). Wynika to z faktu, e prawie wszyscy uytkownicy Internetu tworz rnego rodzaju elektroniczne ksiki adresowe maj one niewielkie znaczenie dla

12

www.hakin9.org

hakin9 Nr 3/2005

Google hacking

watnych informacji moemy jedynie zachowa ostrono i panowa nad publikowanymi danymi. Firmy i instytucje powinny (a w wielu przypadkach nawet musz) opracowa i wdroy odpowiednie regulaminy, procedury oraz zasady postpowania okrelajce wewntrzny obieg informacji, odpowiedzialno i konsekwencje za ich nieprzestrzeganie.

Urzdzenia sieciowe

Rysunek 12. Zastrzeony dokument odnaleziony przez wyszukiwark

Wielu administratorw nie traktuje powanie bezpieczestwa takich urzdze, jak drukarki sieciowe czy kamery webowe. Tymczasem le zabezpieczona drukarka moe by przyczkiem, ktry wamywacz zdobywa w pierwszej kolejnoci, a potem wykorzystuje do przeprowadzania atakw na pozostae systemy w sieci lub poza ni. Kamery internetowe oczywicie nie s a tak niebezpieczne, wic mona je traktowa jako rozrywk, jednak nietrudno wyobrazi sobie sytuacj, kiedy takie dane miayby znaczenie (szpiegostwo przemysowe, napad rabunkowy). Pytania o drukarki i kamery zawiera Tabela 8, za Rysunek 13 prezentuje znalezion w sieci stron konfiguracyjn drukarki.

Poufne w indeksie

Rysunek 13. Odnaleziona przez Google strona konfiguracyjna drukarki HP Podobnie wyglda sytuacja z komunikatorami sieciowymi i zapisywanymi w nich listami kontaktw po zdobyciu takiego zestawienia intruz bdzie mg prbowa podszy si pod naszych przyjaci. Co ciekawe, dosy duo danych osobowych mona znale we wszelkiego rodzaju dokumentach urzdowych raportach policyjnych, pismach sdowych czy nawet kartach przebiegu choroby. W Sieci mona rwnie odnale dokumenty, ktrym nadano jak klauzul tajnoci i ktre tym samym zawieraj zastrzeone informacje. Mog to by plany projektowe, dokumentacja techniczna, rne ankiety, raporty, prezentacje i cae mnstwo innych wewntrznych dokumentw firmowych. Mona je znale, gdy bardzo czsto zawieraj wyraz confidential, fraz Not for distribution lub podobne (patrz Rysunek 12). Tabela 7 zawiera kilka przykadowych pyta o dokumenty mogce zawiera dane osobowe i informacje poufne. Tak jak w przypadku hase, aby unikn ujawniania naszych pry-

Dzisiejszy wiat jest wiatem informacji, w ktrym wiedza jest cennym towarem jej posiadanie przekada si na realne korzyci, takie jak pienidze, zaufanie klientw lub przewaga nad konkurencj. Informacja sama w sobie przybiera bardzo zrnicowan posta, coraz czciej elektroniczn. Wamywaczy interesuje specyficzny rodzaj informacji dane handlowe, wewntrzne dokumenty firmowe, plany projektowe, dane teleadresowe, numery kart patniczych, hasa... Wszystko mona odnale pod adresem http://www.google.com, w wyszukiwarce i jednoczenie zbiorze odnonikw do wszystkiego, co moe by dostpne w Sieci dla zwykego uytkownika. Trzeba tylko pogoogla.n

hakin9 Nr 3/2005

www.hakin9.org

13