Si chiama Google Hacking ed è un nuovo mezzo per bucare siti web, raccogliere informazioni personali, recuperare dati sensibili e favorire la diffusione di virus e worm. Non è una tecnica difficile da utilizzare, basta collegarsi al sito del motore di ricerca più usato al mondo e cominciare a digitare alcune specifiche richieste di ricerca.
Ad esempio, digitate nel campo di ricerca la seguente richiesta intitle:”Index of..etc” passwd. Le pagine che vi verranno restituite sono quelle che contengono il file “passwd” che nei sistemi Linux/Unix contiene tutte le informazioni sugli utenti, comprese le password di accesso alla cosiddetta shell, ossia al sistema vero e proprio. Se il file non è stato opportunamente mascherato, con un buon password cracker si possono raccogliere decine di account funzionanti e attivi.
Google non guarda in faccia a niente: memorizza documenti Web, file personali, documenti Word, Excel, PDF. Tutti alla stessa maniera. Comprese anche password, elenchi di utenti, nomi di login e tutti i dati che con imperizia non vengono protetti.
Per verificare l’affidabilità del vostro sito sono nati diversi strumenti automatici che al posto vostro ‘scandagliano’ il vostro sito alla ricerca di problemi di sicurezza che google potrebbe tranquillamente indicizzare. Il più conosciuto di tutti è ad oggi SiteDigger della Foundstone Professional.
La Foundstone Professional Services, una divisione della McAfee che si occupa dei servizi di sicurezza, ha messo a punto il nuovo un tool di sicurezza realizzato per aiutare le aziende a identificare le informazioni che erroneamente sono state rese disponibili su web. Chiamato Foundstone SiteDigger 2.0, il tool usa informazioni di ricerca indicizzate su Google per scoprire in modo preciso e veloce la vulnerabilità delle informazioni che per errore umano vengono visualizzate sui motori di ricerca come dati finanziari, password e informazioni personali presenti sul sito internet dell’azienda.
Per usare questo tool gratuito dovete registrarvi su google per usare le ‘Google web services API’. Ma non preoccupatevi è tutto gratuito anche questo.
RICHIESTA PER LE GOOGLE WEB SERVICES API
Google Hacking Database (GHDB)