Desenvolvimento

Ξ Deixe um comentário

Google Hacking

publicado por Gilberto M. Castro

Figura - Google HackingGoogle, acredito que se não fosse ele não saberíamos mais encontrar conteúdo na internet certo? Hoje, em torno de 95% ou mais dos computadores no mundo têm o Google como página inicial no navegador, arrisco dizer que você, assim como eu, também faz uso dele na página inicial do seu navegador certo? Para algumas pessoas a internet se resume ao Google e se você é uma dessas que precisa, por exemplo, acessar um site de compras on line como o Amazom.com, mas em vez de digitar na barra de endereço www.amazon.com você entra no Google e digita Amazon e então dá um enter, muito provavelmente que você, assim como várias das pessoas do mundo, considera o Google como sendo a internet.

No entanto, o que você talvez não sabia é que realmente o Google, de certa forma, é a internet. Ele utiliza-se de web crawlers, que são robôs que varem os sites pela internet em busca de arquivos públicos e então faz a indexação desses arquivos em seus servidores ao redor do mundo, como se fizesse uma cópia, e quando você faz uma pesquisa está buscando e acessando o site que foi salvo lá, por isso os retornos das pesquisas são tão rápidos.

Basicamente esse é o funcionamento do buscador mais famoso da internet. Mas existem as entrelinhas das pesquisas, strings ou comandos que quando digitados podem revelar muitos conteúdos que são difíceis de serem encontrados apenas com as pesquisas básicas.

O Google Dorks é uma técnica de busca avançada que se utiliza de operadores que normalmente não utilizamos no dia-a-dia para encontrar arquivos, brechas e acessos que deveriam ser restritos ou que não deveriam ser indexados. E o que torna essas buscas tão eficientes para os cibercriminosos são as vulnerabilidades deixadas nos sistemas web no momento do seu desenvolvimento.

Por exemplo, com essa pesquisa avançada site:com.br login nós já conseguimos chegar na tela de login, mesmo que um site específico não tenha esse link visível para quem o acessa.

E com essa outra pesquisa site:org.br filetype: txt conseguimos encontrar arquivos soltos nos servidores, normalmente esses arquivos trazem informações muito relevantes e algumas vezes nomes de usuários e senhas.

Já com essa inurl:/view/viewer_index.shtml conseguimos ter acesso à câmeras de segurança ao redor do mundo e o mais curioso é que é possível mexer algumas delas.

Esses são apenas alguns exemplos de uma infinidade de pesquisas avançadas que podem ser feitas, e em algumas pesquisas bem especificas conseguimos ter acesso a usuários e senhas de servidores, e-mails, e até de usuários ROOT. Podemos chegar ao pondo de ter controle total de roteadores, servidores e dispositivos conectados à internet. Por curiosidade, será que a senha do seu roteador ou modem ainda é a padrão? Para pessoas má intencionadas, ou podemos chamá-las de Black Hat, ter acesso a esses dispositivos ou aos servidores podem ser o ponto de partida para uma invasão, visualização de dados ou ainda para um crime digital que está na moda nos últimos 5 anos, o sequestro de informações.

Claro que os exemplos citados são apenas para conhecimento de todos, lembrando que conhecer os resultados das pesquisas não é um crime, mas cuidado com o que você faz com esses resultados isso sim pode se enquadrar em um crime cibernético. Artigo 154-A do Código Penal.

Lei nº 2.848 (Art. 154-A). Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita. (http://www.planalto.gov.br/ccivil_03/decreto-lei/Del2848compilado.htm)

O Google pode ser usado para o lado positivo, encontrando vulnerabilidades e as resolvendo, ou para o lado negativo, explorando-as para obter benefícios ilícitos. O que deve ficar claro é que os robôs de buscas só irão coletar e indexar os arquivos que os desenvolvedores deixaram como sendo públicos, porém muitos desses profissionais desconhecem o funcionamento desses robôs e acabam deixando vulnerabilidades nos sistemas e os cibercriminosos sabem muito bem disso e se aproveitam da situação.

Para saber mais indico o livro Google Hacking para Pentest – Johnny Long / Bill Gardner / Justin Brown – Editora Novatec.

  •  
    11
    Shares
  • 11
  •  
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Gilberto M. Castro

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade




Siga-nos!

Facebook

Facebook By Weblizar Powered By Weblizar

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.