Usando o Google para encontrar vulnerabilidades

Os atacantes estão usando cada vez mais métodos simples para encontrar falhas em sites e aplicativos dentre eles o Google. Usando pesquisa de código do Google, hackers podem identificar vulnerabilidades cruciais nas cadeias de código de um aplicativo, fornecendo ponto de entrada que eles precisam para percorrer a segurança do aplicativo. É assustador? É, mas há boas notícias: você pode usar esses mesmos métodos para encontrar suas falhas antes que os bandidos façam. Neste post, descrevo métodos para usar motores de busca como Google e Bing para identificar vulnerabilidades nos seus aplicativos, sistemas e serviços – e consertá-los antes que eles possam ser explorados.

Google, Bing e outros motores de busca importantes, tornaram mais fácil encontrar todo tipo de informação – incluindo tudo, desde arquivos de senha expostos até pontos de injeção SQL. Isso levou ao surgimento do hacking do Google, uma técnica usada para identificar e, em seguida, explorar vulnerabilidades de sistemas e dados. A popularidade do hacking do Google diminuiu nos últimos anos, devido em grande parte ao Google encerrando a API SOAP. No entanto, com esforços agressivos de P&D alimentados por pensamento inovador, bem como dados significativamente mais disponível na Web e armazenado na nuvem, o hacking do Google está aumentando novamente. Isso dá aos profissionais de segurança de TI mais uma batalha para lutar, a boa notícia é que eles podem aproveitar as ferramentas e técnicas que os hackers usam para identificar e corrigir as vulnerabilidades que suas empresas podem ter. Neste post, vou mostrar uma série de ferramentas e técnicas que permitirão aos profissionais da segurança aproveitar o Google, Bing, Baidu e outros abrir interfaces de pesquisa para rastrear proativamente e eliminar informações sensíveis.

Como Funciona

Além da busca básica, o Google oferece termos especiais conhecidos como operadores avançados para ajudar a realizar consultas avançadas. Esses operadores, quando usados corretamente, podem ajudar a chegar a informação exata sem gastar muito tempo.

Vejamos os operadores avançados mais úteis:

– intitle, allintitle

Do ponto de vista técnico, o título (title) de uma página pode ser descrito como o texto nas tags TITLE de um documento HTML. O título é exibido no topo da maioria dos navegadores ao visualizarmos uma página. No contexto, intitle encontrará o termo em tal título.

intitle:“index of” privado – Esta consulta irá retornar páginas que tenham a frase “index of” em seu título e também a palavra privado em qualquer lugar da página, incluindo na URL, no título, no texto e assim por diante. Note que intitle só se aplica à frase index of e não a palavra privada. O Google interpreta o espaço como o fim do seu termo avançado de pesquisa do operador e continua a processar o resto da consulta.

– inurl, allinurl

 Uma URL é simplesmente o endereço de uma página da Web. O início de uma URL consiste em um protocolo, seguido de ://, como o http:// ou ftp://. Após o          protocolo temos um endereço seguido de um nome de um caminho dentro deste endereço, todos separados por barras (/). Depois do o nome do caminho vem um nome de arquivo opcional. Um URL básico comum, como http://www.sitequalquer.com/apple/1984.html, pode ser visto como vários diferentes componentes. O protocolo, http, indica que devemos esperar um documento da Web do servidor. O servidor está localizado em http://www.sitequalquer.com, e o arquivo solicitado, 1984.html, é encontrado no diretório /apple no servidor. Uma pesquisa no Google também pode ser feita como uma URL, tente algo como www.google.com/search?q=ihackstuff. Exemplos:

   inurl:admin backup

                inurl:/mjpg/video.mjpg – busca por câmeras

                inurl:”CgiStart?page=” – busca por câmeras

                inurl:MUltiCameraFrame:?Mode= – busca por câmeras

                inurl:/view/viewer_index.shtml – busca por câmeras

dorks_por_pais

Podemos restringir a procura por país

 

– filetype

Restringe a pesquisa a um tipo específico de arquivo

                filetype:powerpoint  ou filetype:ppt – ambos encontram apenas o Microsoft                      PowerPoint.

filetype:word ou filetype:doc restringem a documentos do Microsoft Word.

– inanchor

Busca a âncora ou seja, o texto exibido no link. O inanchor aceita uma palavra   ou frase como argumento. Esta busca é útil especialmente quando exploramos relacionamentos entre sites. Este operador pode ser usado com outros operadores e termos de pesquisa.

inanchor:Rami Malek

– daterange

Pesquisa páginas publicadas dentro de um determinado intervalo de datas. Toda  vez que o Google rastrea uma página, essa data é alterada. Se o Google localizar uma página da Web muito obscura, ele só pode rastejar uma vez, nunca voltando a indexá-la novamente. Se você achar que suas buscas estão contaminadas com esses tipos de páginas da Web obscura, você pode removê-las da sua pesquisa (e obter resultados mais recentes). O Google não suporta mais o operador daterange. Agora é necessário usar o formulário de pesquisa avançada encontrado em https://www.google.com/advanced_search

Aliás, na página de Pesquisa Avançada podemos filtrar páginas semelhantes ou que vinculam a um URL, Páginas de pesquisa que você visitou, Usar operadores na caixa de pesquisa, Personalizar suas configurações de pesquisa, e outros recursos úteis.

Pesquisando Vulnerabilidades

O vasto volume de informações disponíveis em na Internet é de grande valor para as empresas – e para hackers.

Google hacking – um termo usado para Testes de penetração usando qualquer mecanismo de pesquisa – não é novidade, surgiu em torno de 2004, quando o expert em segurança de computadores, Johnny Long, lançou o seu livro Google Hacking for Penetration Testers e O Google Hacking Database (GHDB). O banco de dados foi projetado para servir como um repositório para termos de pesquisa, chamado Google-Dorks, para expor informações sensíveis, vulnerabilidades, senhas e muito mais. Como já foi dito, em 2009 o Google fechou o SOAP API.

Vimos um exemplo assustador, em 2011, de quão eficaz o hacking do Google pode ser quando o grupo LulzSec usou esta ferramenta para fazer uma série de vítimas, incluindo a Sony, PBS, Departamento de Segurança Pública do Arizona, FBI afiliado InfraGard e da CIA.

luzsecGoogle-Dorks no mundo real

LulzSec e Anonymous acreditavam no uso do Google Hacking como um dos principais meios para identificar alvos vulneráveis. Eis o flagrante de um exemplo, usado por kayla do LulzSec  que se pode usar até hoje:

22:14 <@kayla> Sooooo...using the link above and the google hack string. 
!Host=*.* intext:enc_UserPassword=* ext:pcf Take your pick of VPNs you want access  too. Ugghh.. Aaron Barr CEO HBGary Federal Inc. 
22:15 <@kayla> download the pcf file 
22:16 <@kayla> then use http://www.unix-ag.uni-kl.de/~massar/bin/cisco-decode?enc= to clear text it 
22:16 <@kayla> = free VPN

O arquivo PCF é a Configuração de Perfil do Cliente Cisco VPN, onde contem a senha de acesso. O Cisco VPN Client é um programa que permite que os computadores se conectem a uma rede privada virtual. Com o Google Dork !Host=*.* intext:enc_UserPassword=* ext:pcf  pode-se encontrar vários destes arquivos e decodificar a senha no site http://www.unix-ag.uni-kl.de/~massar/bin/cisco-decode?enc=. Você pode testar!

Fig_Dork_01

Fig_Dork_02

Em novembro de 2010, o Exploit Database assumiu manutenção do banco de dados com o Google Hacking Database (GHDB) e começou a adicionar novos Google Dorks

Fig_Dork_03

Existe também o Dork Searcher que é um pequeno utilitário que permite usar facilmente o Google para pesquisar servidores web vulneráveis a SQLi. Salva os resultados em um arquivo de texto ou XML. Usa o cliente Tor VPN/Proxy ou o seu próprio servidor proxy Socks 4a ou 5 para anonimato. Contem mais de 350 Google Dorks e é possível adicionar o seu próprio na lista simplesmente editando um arquivo de texto.

Às vezes, eu até me divirto buscando câmeras com  dorks, tais como: inurl:\ViewerFrame?Mode= , inurl:view/index.shtml , ou testando os dorks encontrados em http://blog.inurl.com.br/2011/01/codigos-de-pesquisa-cameras-web-can.html?m=1, um blog que está abandonado.

O que é bom para hackers também é bom para profissionais corporativos de segurança; podemos usar as ferramentas de hacking do Google e outros recursos para identificar – e então eliminar – vulnerabilidades nos nossos sistemas de dados. A maioria dessas ferramentas são gratuitas e fáceis de usar, embora a experiência e as habilidades, associado à segurança das aplicações web, são úteis na validação dos resultados da varredura e procura dos resultados que são problemas de segurança reais e quais não são.

Não existe uma única ferramenta que sirva de bala de prata, é preciso experimentar e usar regularmente tanto quanto possível para ganhar um bom entendimento

Aqui está uma visão geral de algumas das ferramentas disponível atualmente.

GoogleDiggity

SearchDiggity é a principal ferramenta de ataque do Google Hacking Diggity Project. Serve como front-end para as versões mais recentes das Diggity:

  • GoogleDiggity – Ferramenta tradicional de hacking do google
  • BingDiggity – Equivalente Bing da ferramenta tradicional de hacking do google
  • CodeSearchDiggity – Ferramenta de verificação de vulnerabilidades de código aberto
  • DLPDiggity – Ferramenta de verificação de prevenção de perda de dados. Identifica exposições de informações sensíveis, como CPF e cartão de crédito.
  • FlashDiggity – Ferramenta de verificação de segurança do Adobe Flash
  • MalwareDiggity – Ferramenta de detecção de links de malware para links externos
  • PortScanDiggity – Escaneamento da porta passivo via google
  • SHODANDiggity – Interface para o motor de busca Shodan
  • BingBinaryMalwareSearch – Procura malware através da indexação de executáveis do Bing
  • NotInMyBackYard Diggit – Procura sua informação em sites de terceiros

Quick-Intro-Diggity_PT

NOTA:

O Google pode detectar que você está executando um programa (no caso, o SearchDiggity) para realizar buscas automatizadas, ao contrário de uma navegação humana no www.google.com digitando manualmente nas consultas de pesquisa. Quando isso acontece, eles bloqueiam por um curto período de tempo (anteriormente 14 minutos – daí o tempo de retomada automática de 15 minutos). Se você digitar, no navegador: http://ipv4.google.com/sorry/ poderá confirmar isso.

Existem várias maneiras de configurar o SearchDiggity para evitar o “bot detection”, como alterar a velocidade de escaneamento ou usar proxies para espalhar suas consultas. No entanto, isso não é fácil para um usuário novato.

Se você quiser explorar as opções mais complexas, confira o arquivo de ajuda do SearchDiggity, indo para Help -> Contents

FOCA

FOCA é uma ferramenta usada para realizar levantamento de informações na Web, trabalho de auditoria. A ferramenta permite aos usuários encontrar servidores, domínios, URLs e documentos publicados, bem como versões de softwares em servidores e clientes

Foca

O FOCA tornou-se famoso por extrair meta dados de documentos públicos, mas hoje a ferramenta é capaz de muito mais do que isso.

TheHarvester

TheHarvester   os usuários sempre foram, e sempre serão, o elo mais fraco da cadeia de segurança. Nos últimos anos, houve uma explosão de informações pessoais prontamente disponíveis na Web. Essas informações são facilmente pesquisadas em sites como LinkedIn e Facebook, sendo possível obter uma lista de executivos, administradores de rede, desenvolvedores ou mesmo pessoal de segurança de TI, associados a uma empresa-alvo e é, agora, uma coisa muito trivial para obter. E-mails, subdomínios, hosts, nomes de funcionários, portas abertas e banners de diferentes fontes públicas, incluindo motores de busca, chaves PGP e a base de dados mapeada pelo SHODAN.

Maltego

Tenho visto o surgimento de vários novos Kits de ferramentas, como o Social Engineering Toolkit (SET), que ajudaram a automatizar o processo de montagem do que já foi um phishing e ataque de engenharia social sofisticados. Maltego é um aplicativo forense que permite a extração e coleta de informação de forma clara. O  Maltego oferece recursos agregados, baseados tanto em rede quanto em entidades, de informações postadas em toda a Internet.

maltego.jpg

Pois bem, finalizando e concordando com quem pode dizer que falei sobre recursos banais e antigos, ainda acho que isso tudo tem o seu lugar; depende da criatividade e do conhecimento de protocolos da web e dos algorítimos usados por esses motores de busca. Por exemplo,  no Exploit-DB foi postado um exploit para explorar a vulnerabilidade de Arbitrary File Download no plugin Revslider e com uma dork do google é possível achar sites do governo vulneráveis.

 inurl:gov.br Revslider “Index of”

Ou ao procurar alvos para expor a falha do zimbra, já que muitos servidores de e-mails ainda são vulneráveis, acabei encontrando algum vulnerável.

inurl:gov.br & intext:zimbra

Só tem um jeito: atualizem seus sistemas web e removam aplicações vulneráveis, alguém está caçando sites vulneráveis e o próximo a dançar um tango pode ser o seu!

Anúncios

2 comentários

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s