• Tweet

La base de datos masiva de Google contiene información que no fue dispuesta para ser publicada en el Web, y los crackers la están usando como herramienta de intrusión.

La amenaza: una consulta a google bien estructurada que podría permitir a un atacante utilizar la base de datos de Google como fuente de información para el ataque.

Long, un investigador de Computer Sciences Corp. y autor del libro, "Google hacking for penetration testers", fue capaz de encontrar información importante que no debería estar expuesta en el web. El problema, dijo en la conferencia Black Hat USA realizada en Las Vegas la semana pasada, no radica en Google mismo, sino en el hecho de que los usuarios frecuentemente no se dan cuenta del poderoso mecanismo de búsqueda de Google.

Adicionalmente al poder de los sistemas, Long y otros investigadores pudieron encontrar interfases web inseguras que les permitieron el control sobre una gran variedad de dispositivos, incluyendo redes de impresoras, sistemas telefónicos PBX (conmutadores telefónicos), ruteadores, camaras web, y por supuesto portales web.

Pero la efectividad de Google como herramienta de intrusión no termina ahí. También puede ser usada como un tipo de servicio proxy para intrusos, declaró Long.

A pesar de que el software de seguridad puede identificar cuando un atacante realiza un reconocimiento de la red de la compañía, los atacantes pueden encontrar información de la topología de la red en Google, en lugar de buscar directamente en la red que están estudiando. Esto hace más difícil para el administrador de la red el poder bloquear al atacante.

Frecuentemente, este tipo de información viene en la forma de datos no sensibles que Long llama "Google Turds". Por ejemplo, dado que no existe ningún sitio con la URL "nasa," una búsqueda en Google de la cadena "site:nasa" no debería arrojar resultados. En lugar de eso, regresa lo que parece ser una lista de servidores, ofreciendo un vistazo a la estructura de la red interna de la Nasa (la agencia nacional de aeronáutica y administración espacial de los EU), dijo Long.

Combinando consultas bien estructuradas con herramientas de procesamiento de texto puede arrojar cosas como passwords de SQL e incluso información de errores de SQL. Esto puede ser utilizado después para estructurar lo que se conoce como "ataque de inyección SQL", que puede ser utilizado para ejecutar comandos no autorizados en una base de datos SQL. "Aquí es donde Google se convierte en una herramienta de intrusión", dijo. "Puedes hacer inyección SQL o puedes hacer una búsqueda en Google y obtener el mismo resultado".

A pesar de que Google tradicionalmente no se ha preocupado por las implicaciones de seguridad de su banco de datos masivo, el hecho de que ha sido partícipe de algunos ataques de gusanos, ha orillado al motor de búsqueda ha que niegue algunas peticiones de consulta por razones de seguridad, dijo Long. "Recientemente, ellos han entrado al juego".