Google Hacking. Ejemplos y medidas para evitar sus efectos
Los buscadores son herramientas muy populares, que todos usamos y que todos necesitamos. Los motores de búsqueda son muy potentes y absorben toda la información que encuentran en su camino que no esté debidamente protegida.
Google es hoy por hoy el buscador más popular en uso, siendo sus técnicas de recolección de datos y algoritmos de clasificación muy avanzados, lo que proporciona resultados certeros en las búsquedas a poco que sepamos operar con sus múltiples funcionalidades. Google es, con toda probabilidad, el buscador más tecnológicamente avanzado que existe.
Esto facilita que dispongamos de mucha información en la red. Pero también posibilita que podamos hallar información sensible que no ha sido pertinentemente securizada. Veamos en qué consiste esta técnica de minado de datos con fines maliciosos, con ejemplos y con algunos consejos para evitarlo.
¿Qué es el Google Hacking? Ejemplos
Muchos os preguntaréis qué es eso del Google Hacking. Es bien sencillo. Pulsad esta demostración, o si lo preferís, esta otra. ¿Queda claro? :)
Por si no quedase claro, el Google Hacking consiste en explotar la gran capacidad de almacenamiento de información de Google, buscando información específica que ha sido añadida a las bases de datos del buscador. Si las búsquedas las orientamos a ciertas palabras clave que nos ayuden a encontrar información sensible, puntos de entrada sensibles a posibles ataques, como por ejemplo, este o cualquier otro tipo de información que tuviera carácter de sensibilidad, estaremos ejecutando un Google hack. Resumiendo: Google Hacking es buscar en Google información sensible, generalmente, con fines maliciosos.
Mediante esta técnica, es posible encontrar información sobre (cada familia contiene un ejemplo práctico)
- Productos vulnerables
- Mensajes de error
- Ficheros que contienen información sensible
- Ficheros que contienen claves
- Ficheros que contienen nombres de usuario
- Footholds e información de apoyo al acceso
- Páginas con formularios de acceso
- Páginas que contienen datos relativos a vulnerabilidades
- Directorios sensibles
- Información sensible sobre comercio y banca electrónica
- Dispositivos hardware online
- Ficheros vulnerables
- Servidores vulnerables
- Detección de servidores web
¿Cómo impedir ser víctimas de Google Hacks?
Existen varias alternativas. Las citamos a continuación:
- Aprenda cómo funciona Google. Conozca y experimente las posibilidades de la búsqueda avanzada. Entienda que las búsquedas son muy refinables y que es un motor de búsqueda muy poderoso, que no sólo está pensado para ordenar y encontrar páginas web, sino que también pueden hallarse documentos ofimáticos, informes, faxes, memorandos, notas, fotografías, teléfonos ... es decir, absolutamente todo lo que sea accesible puede acabar en las bases de datos de Google.
- Una vez entendido el punto primero, entienda que igual que podemos usar Google para hallar documentos inocuos, podemos emplearlo para obtener documentos con datos sensibles. Grábeselo en la cabeza. Hay gente que vive de este tipo de técnicas y de la información que extrae de ellas.
- Si dispone de página web, asegúrese de comprender lo importante que es tener un fichero de robots.txt correctamente configurado. Tener una página web es algo más que colocar fotos y documentos en la Red para que las vean los amiguetes. Nuevamente incidimos en que todo lo que se coloca en servidores Web es susceptible de acabar siendo indexado en las bases de datos de Google. Esto es aplicable para cualquier objeto accesible desde documentos Web: cámaras web, impresoras, etc.
- No deje de consultar los parámetros que definen el mecanismo de posicionamiento de resultados en Google. Aplique "posicionamiento inverso" a todo aquello que quiera mantener lejos de ojos ajenos. Puestos a aparecer, mejor aparecer en el puesto doscientos que en el quinto. No está de más usar el buscador para aprender cómo funciona el Google hacking y aplicar técnicas de inversión aplicadas a su caso.
- Si usted tiene un buen nivel técnico y administra máquinas corporativas, quizás debería plantearse no sólo la revisión de las políticas de exclusión de robots, sino además, debería probar un honeypot especializado. Le propongo Google Hack Honeypot. Funciona muy bien y le brindará información interesante sobre Google hackers que intenten explotar en sus sitios Web este tipo de técnicas.
Sería recomendable también que leyera documentos con ideas sobre este honeypot, en caso de que opte por emplearlo.
Conclusión
Tan importante es tener presencia Web, como conocer sus peligros potenciales. Espero este documento os sea de utilidad :)
Trackbacks & Pingbacks
[...] Leyendo Google Hacking. Ejemplos y medidas para evitar sus efectos descubro una aplicación que desconocia GHH – The “Google Hack” Honeypot. Por el nombre puedes hacerte una idea de que es lo que hace. Ahora bien, ¿ Como lo hace ? [...]
[...] Gracias a meneame encuentro este enlace que habla sobre google-hacking. Para el que no sepa del tema, esta tecnica se basa en utilizar el archiconocido buscador para encontrar desde informacion sensible a paginas web o maquinas que pudieran ser vulnerables a otro tipo de ataques. La verdad es que en cuestiones de seguridad, basta trabajar un poco en el campo de la administracion de sistemas para darse cuenta de que: [...]
[...] Este sistema es muy parecido a un sistema que documenté en el blog no hará mucho, el Google Hacking, consistente en la búsqueda de cadenas de error o de índole informativa, mediante la cual es posible descubrir servicios vulnerables o expuestos innecesariamente. [...]
[...] de una herramienta muy efectiva en este tipo de análisis, el Google Hack Honeypot, del que ya hablamos en este blog en una ocasión [...]
[...] de una herramienta muy efectiva en este tipo de análisis, el Google Hack Honeypot, del que ya hablamos en este blog en una ocasión [...]
[...] mar 20th, 2007 by MarÃa Alejandra Falletti Sergio Hernando » Google Hacking. Ejemplos y medidas para evitar sus efectos [...]
[...] más gráficamente les traigo unos ejemplos del blog de Sergio Hernando y les recomiendo que lean este post donde nos habla de cómo conseguir no ser vÃctimas del Google [...]
[...] más gráficamente les traigo unos ejemplos del blog de Sergio Hernando y les recomiendo que lean este post donde nos habla de cómo conseguir no ser vÃctimas del Google [...]
[...] información sobre el poder del maldito buscador en: este artÃculo sobre Google Hacking / y en el libro Google Hacks – ficha en [...]
[...] es bastante. Ojobuscador te da interesantes consejos para mejorar tus búsquedas con Google, Sergio Hernando te da unos consejos sobre Google hacking y Simply Google reune todas las distintas búsquedas [...]
[...] Es increÃble ver toda la información que en principio deberÃa ser privada y que google nos muestra sin ningún problema. ¿De quién es la culpa?, de google no, desde luego Para proteger nuestra web lo mejor es tener un buen fichero robots.txt bien configurado. En el enlace tenéis información más que de sobra para hacer vuestros primeros pinitos como “google hackers” jeje Aquà dejo un buen enlace en el que se habla detalladamente sobre este tema [...]
Comentarios
Escribir un comentario
Las rupturas de línea y párrafo son automáticas. El e-mail nunca será mostrado ni cedido a terceros. Se permite el siguiente código HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
¿”Información sensible” poruqe se deja llevar fácilmente por el sentimiento?
Requerido,
Información sensible es un término ampliamente reconocido y empleado en el mundo de la seguridad y las tecnologías de la información y hace referencia a información que debe estar protegida de la revelación no deseada, por los posibles efectos perniciosos en contra de la privacidad de las personas y/o personas jurídicas
El término procede del inglés sensitive information.
Interesante. Hay que tener cuidado con lo que se publica en internet. Sobre todo con los currículums.:-)
corsaria,
Sobre todo cuando *NO* se tiene intención de que aparezcan esos datos disponibles :)
Yo como no tengo na que ocultar, igual googleando aparece en la caché un CV en PDF que tenía colgado, repletito de datos :P
Pero vamos, que hay que tener cuidado, qué duda cabe.
Un saludete guapa !!
Es muy bueno Felisidades
buenas sergio, tengo que aplicar un ejemplo practico de intruso con el honeypot, como lo hago¿¿??
sos re hacker… maestro… me voy a bajar el libro de google hack…:P
bueno suerte
xD que groso
es mas que interesante el tema “google hacking” asi como tambien lo es lo que podes encontrar con esta tecnica jajajaja
ya que esta si quieren ayudar participando de un foro nuevo de informatica, http://www.rondah.com.ar (tiene un registro muy sencillo y dar una mano no cuesta demasiado, mas cuando el resultado es para todos…)
Saludos!!!
Se pueden hacer autenticas virguerias con él…
Y con Google Desktop también, hay que tener mucho cuidado con que personas manejan tus maquinas, porque si meten el google desktop pueden robarte muchos datos
Magnífico artículo, con tu permiso lo reproduzco en mi nueva web, estais todos invitados.
http://www.SombrerosBlancos.com
jajajajaj Muy bueno, la verdad exelente..!