Jacek Zieliński Homepage

To zaskakujące, jak wiele ludzi nie ma absolutnie żadnej świadomości o ryzyku wiążącym się z lekceważeniem zabezpieczeń prywatnych sieci, a także poufności (a raczej jej braku) zamieszczanych w internecie plików/informacji. Spacerując po dowolnym osiedlu jesteśmy w stanie bez żadnego kłopotu zlokalizować i podłączyć się do ogólnodostępnej i niezabezpieczonej sieci, której właściciel najczęściej nawet nie zdaje sobie z tego sprawy. Co więcej, nawet będąc tego świadomym, nie widzi w tym problemu, bo przecież internet "działa". Na takich otwartych ruterach istnieje też największe prawdopodobieństwo, że nie zmieniono choćby domyślnego hasła administratora, a to już prawie jak wręczenie złodziejowi klucza do swojego mieszkania. Jednak nawet pracując w dobrze zabezpieczonej sieci można popełnić wiele gaf w trakcie pracy.

Google indeksuje niesamowitą ilość stron (już rok temu przełamana została magiczna granica biliona zindeksowanych adresów). Niektóre z nich odnoszą się do zasobów, które nigdy nie powinny być publicznie udostępniane, począwszy od wszelkiego rodzaju raportów firmowych, prywatnych zdjęć, stron konfiguracyjnych, baz adresów mailowych, nielegalnych plików i nie tylko. Aby uzyskać do nich dostęp, nie potrzeba żadnych dodatkowych umiejętności poza znajomością składni zapytań. Wiele kamer internetowych, czy sieciowych dysków charakteryzuje się wspólną cechą, tzn. mają jeden stały tytuł strony. I tak, wpisując np. "live view axis" dostajemy obszerną listę stron z podglądem z kamer firmy Axis. Podobnie sprawa wygląda z wszelakimi automatycznie generowanymi raportami. Belarc Advisor to darmowy program dostarczający kompleksowych informacji o komputerze, wraz z listą zarejestrowanych w systemie kont, zainstalowanych programów i... kluczy licencyjnych do nich. Problem w tym, że niektórzy użytkownicy postanawiają, z sobie tylko znanych względów, wrzucić taki raporcik do sieci. Wystarczy wtedy proste zapytanie typu: "Belarc Advisor Current Profile" Key:. Oczywiście nic nie stoi na przeszkodzie, żeby dołożyć do takiego zapytania chociażby nazwę systemu operacyjnego...
Wiele ciekawych informacji może dostarczyć też zapytanie "Index of/". Jeżeli na koncie nie znajduje się żadna strona internetowa, do tego wyłączone jest ukrywanie listowania plików, powyższa fraza zwróci nam zestawienie wszystkich plików zapisanych w danym katalogu. Tutaj znowu tylko wyobraźnia ogranicza nas w wymyślaniu haseł typu "Index of/backup", czy "Index of/documents", bądź "Index of/mp3". Jeszcze lepsze efekty uzyskamy łącząc takie zapytanie z "filetype:pdf", jeśli zależy nam tylko na tego typu plikach. Być może dodanie odpowiedniego słówka typu "poufne", albo "confidential" zaowocuje jeszcze ciekawszymi wynikami.
Wiele spamerów zaczyna swoje poszukiwania od znalezienia odpowiednich plików csv, gdzie nierzadko można trafić na bazy adresów mailowych.
Z przydatnych poleceń warto znać też "inurl:", pozwalające nam na wyszukanie odpowiedniej struktury w adresie internetowym. Przykładowo zapytanie "inurl:/administrator/index.php" Joomla! Administration Login pozwoli nam uzyskać dostęp do panelu administracyjnego CMSa Joomla! Co prawda sam formularz logowania nie przyniesie wiele korzyści, jednak stanowi pewien punkt wyjściowy do dalszych poszukiwań.
To niewiarygodne jak wiele prywatnych informacji można znaleźć przeszukując sieć. Warto być więc tego świadomym, aby samemu nie popełniać podobnych błędów.

Tags: bezmyślność | bezpieczeństwo | google

Comments (0)

Subscribe to this comment's feed

Name

Comment

smaller | bigger

Write the displayed characters

Add Comment