Formålet med artiklen er ikke at undervise I hacking, men at gøre webmastere og netværksadministratorer opmærksom på hvor meget Google faktisk kan afsløre af fortrolige og potentielt belastende oplysninger, samt give nogle bud på hvordan man tester sine egne sites for disse ting samt fjerner problemerne når man finder dem. Alle artiklens informationer og beskrivelser er frit tilgængelige på bl.a. Google.

The G00gle Attack Engine.

Google er en genial søgemaskine, der bruges af stort set alle mennesker. De fleste nøjes med at indtaste enkelt ord eller mindre sætninger og så lede efter et resultat der kan bruges mellem de første 3 sider. Google indeholder dog nogle meget avancerede muligheder for at forfine sin søgning og hvis man kombinere disse avancerede muligheder med viden om hvad man skal søge efter kan Google faktisk blive et utroligt stærkt værktøj for en hacker.


Lad os starte med at kikke på nogle af de avancerede muligheder Google giver os:



Hvis du starter med at indtaste et ret almindeligt ord som f.eks. "budget" i google vil du få over 35.900.000 hits, ikke særligt brugbart eller præcist og sandsynligheden for, at du finder det du leder efter er lille. Med operatoren "filetype" kan du specificere hvilken type fil, du leder efter og selvom Advanced Search page lister flere almindelige formater som f.eks. Microsoft Word, Microsoft Excel, and Adobe Acrobat PDF, så kan du sagtens søge efter flere formater end disse, hvilket vi vil udnytte senere. Prøv nu at søge i google med "budget filetype:xls" (uden ") du er nu nede på ca. 79,400 hits, stadig alt for mange, men dog betydeligt bedre end før.
Vi kan nu prøv at tilføje endnu en operator i vores forsøg. "site" operatoren giver dig mulighed for at gennemsøge et specifikt site. Prøv f.eks. med denne søgning  "site:www.securityfocus.com password cracking" som giver dig 465 resultater fra et hardcore site når vi taler om computersikkerhed. Faktisk kan du med fordel bruge denne metode til at søge et site igennem selvom sitet selv tilbyder en site-search, ofte er Google bedre, og ud fra et hacker synspunkt, så finder du flere interessante ting med Google end med den søgemulighed sitets egen webmaster har stillet til rådighed. . "site" operatoren er ikke begrænset til komplette sites, men kan også håndtere domæner, herunder toplevel domæner f.eks. "site:dk", der gennemsøger alle dk sites.

Og lad os så begynde på hackingen:

Med "intitle" operatoren kan du søge efter sider der har et bestemt ord I deres title. Hvis du f.eks. søger med "site:www.securityfocus.com intitle:password cracking" (bemærk her at det kun er ordet password, der skal stå I titlen. Ordet Cracking skal bare findes på siden).
Intitle opratoren i sig selv er ikke farlig, men hvis man kombinerer den med anden viden kan den udnyttes. Mange webservere er konfigureret til at vise mappe indholdet hvis der ikke findes en default Web page (index.htm eller default.htm) I biblioteket, og det kan udnyttes.  Titlen på disse sider er næsten altid "Index of", så prøv at søge med " intitle:"index of" site:edu password ". Omkring 2.930 resultater af hvilke de fleste er værdiløse for en hacker, men mange vil give dig passwordlister i klar tekst og andre vil give dig filer der kan crackes med frit tilgængelige værktøjer, hvis du ved lidt om hvilke filer der typisk indeholder passwords. Med en lille smule fantasi kan du sikkert selv finde på at prøve med ord som passwd. htpasswd. accounts. users.pwd. web_store.cgi. finances. admin. secret. fpadmin.htm. credit card. ssn. bash. History. Temporary. password.  Og så videre.
Hvis du har viden om hvilke scripts og utilities hackerne typisk bruger, kan du søge med " intitle:"index of" programnavn " og dermed finde alle de sites hvor hackere har gjort arbejdet for dig og placeret programmer der kan give adgang eller mulighed for at styre en webserver remote.

Operatorerne allinurl og inurl kan vi arbejde med selve url'en og dermed med kendte stier på web serveren og dermed snævre søgningerne ind. Brugbarheden af disse to operatorer afhænger stærkt af din viden. Både web servere, forskellige webfora og andre web værktøjer anvender faste stier og kendskab til hvor de default placerede interessante oplysninger kan hjælpe. Prøv f.eks. at søge med " inurl:sitebuildercontent", " inurl:sitebuilderfiles"  eller " inurl:sitebuilderpictures", der udnytter default placeringer af filer i Sitebuilder Web Design program. "allinurl:auth_user_file.txt" der udnytter default placeringerne for DCForum and for DCShop (Shopping cart program) passwords (hashede, men kan crackes relativt let). Af andre meget anvendelige operatorer kan nævnes allintext og intext samt inanchor og allinanchor. Hvad disse 4 operatorer kan anvendes til, kræver ikke megen fantasi, men dog lidt viden om hvordan de mest anvendte web løsninger er skruet sammen.

Hacking af kritisk hardware eller det der er værer!:

Meget forskelligt hardware administreres i dag via et web interface. Dette betyder at du kan bruge google til at finde ubeskyttet hardware hvis du ved lidt om hvordan web interfacet virker.
Prøv f.eks. søgningen " inurl:"ViewerFrame?Mode=" " , " inurl: "MultiCameraFrame?Mode=" " eller " inurl: "axis-cgi/mjpg" " disse vil give dig flere hundrede eksempler på overvågnings web kameraer der ikke er beskyttet godt nok (ser flere eksempler på forskellige søgninger her, der er ganske mange http://www.undertree.us/allcams.html).
I første omgang virker det måske relativt harmløst, at vi kan sidde i Danmark og kikke på andre personers mere eller mindre offentlige web cam's, men hvis du kan finde kameraets IP adresse med google, kan det også hackes og det kan have nogle uheldige konsekvenser.
Hvis der f.eks. er tale om et overvågnings kamera der er en del at tyverisikring af et firma eller et privat hjem, kan man måske SYN floode kameraet eller lave andre former for DOS angreb, så kameraet ikke virker når indbruddet sker, eller de kan bruges til at kontrollere om der er nogen hjemme og om der er noget der er værd at stjæle.

Mange af disse kameraer har både indbyggede web servere og indbyggede SMTP servere (til udsending af still fotos som en del at deres overvågnings kapacitet). Kan disse servere hackes, kan de f.eks. bruges som Mail relay's til udsending af spam, defacing og andre ting du måske ikke har lyst til at deltage i.
Nu har jeg cirklet lidt om web cam's, men det samme er muligt med flere andre forskellige enheder, f.eks. printere, routere hvis der ikke er sat nogen form for filtrering op eller hvis de er fejlkonfigurerede, firewall's hvis de er fejlkonfigurerede. Faktisk er det kun fantasien der sætter grænsen, både for hvilke enheder der kan udnyttes og for hvad der kan gøres med dem




Hjælp til at finde sårbarheder og fortrolige informationer.

Der findes faktisk sites der har gjort det til deres mission at finde sites der udstiller deres uvidenhed og fortrolige informationer. Googledorks http://johnny.ihackstuff.com/index.php?module=prodreviews er en at de bedste, prøv selv og se om dit site skulle være at finde her. Lidt analyse af de ting Googledorks finder kan også give dig et godt billede af hvad du skal kikke efter, og er du en haj til f.eks. Perl og kender Google's Web API, kan du faktisk selv lave scripts der kan gennemsøge et site og lave meget brugbare rapporter til dig. Brug nogle timer på Googledorks, og du vil have et meget brugbart billede af hvordan du finder de fortrolige informationer og hvordan du selv undgår at afsløre ting der kan skade dig.

"Select a database to view."
Web-enabled databaser udgør en andet mulighed for hackerne i forbindelse med google. Databasemanagement tools betjener sig ofte af skabeloner til at præsentere dynamiske websider. Hvis du kender disse skabeloner, kan su søge på typiske formuleringer, og dermed finde disse sider direkte. En søgning med "Select a database to view"  I Google vil give dig næsten 600 links, hvoraf de fleste vil fører dig direkte til databaser der kan tilgås direkte fra nettet. Alle disse databaser er lavet med FileMaker Pro database interface.
De fleste at disse databaser er relativt harmløse, men enkelte af dem vil indeholde fortrolige oplysninger med bl.a. brugernavne og passwords. Der findes to veldokumenterede sager på nette, den ene hvor Apple Computer havde en database med meget personlige oplysninger på flere hundrede lærere og den anden hvor Drexel University College of Medicine havde lagt en database med 5.500 Neurokirurgiske patienters komplette journaler ud til offentlig tilgang.



Google Cache som hacker værktøj.

De fleste ved sikkert at Google cacher alle de sider den optager i sin database. Dette betyder at selv gamle oplysninger vil være til rådighed for den hacker der kender Googles søgemuligheder og Googles cache funktion. Fortrolige oplysninger, der en gang har været lagt på nettet, risikere altså at være til rådighed for hackerne meget længe. Dette betyder at det er en god ide at gennemtænke hvem i organisationen der publicere informationer på internettet, det skulle gerne være en person der ved vad han/hun gør, og som har en grundlæggende forståelse for sikkerhed og systemsammenhæng.
Grundlæggende ligger vores eneste chance for at opdage at hackeren er i gang i de spor hackeren efterlader i vores logfiler. Hvis vi er vågne, og har de rigtige værktøjer til vores rådighed vil vi kunne opdage hackeren allerede mens har er i undersøgelsesfasen. Hackeren har brug for mange informationer før han kan trænge ind og her giver Google's Cache funktion os problemer. Denne funktion giver nemlig hackeren mulighed for at opdage en masse oplysninger uden at sætte spor i vores logfiler og dermed bruge Google til at skjule hvad han har gang i. Løsningen på dette problem er at vi selv bruger Google til at undersøge vores site, så vi fjerner så mange af de farlige informationer som muligt og så vi ved hvilke informationer der trods alt findes på Google. Til det brug kan du anvende Googledorks og så tilføje "site:www.mitsite.dk " til alle søgningerne. Hvis du er heldig, vil du intet finde, og hvis du først analyserer googledorks, kan du også minimere det nødvendige antal søgninger. Om Google faktisk kan bruges til at skjule iværksættelsen af angreb har jeg ikke fundet bevis for.

Frontpage.
Frontpage, med sin funktionalitet, der på samme tid er let at bruge og svær at gennemskue betyder at mange får publiceret alt for meget. Prøv f.eks. at søge med vti_pvt password intitle:index.of", lidt tålmodighed skulle kunne afsløre ting der kan få det løbe koldt ned af ryggen på enhver der interessere sig for sikkerhed. Hvis du bruger FrontPage, eller et af de andre gode WYSIWYG web editorer, så hold øje med, hvad du faktisk publicere på nettet, brug e.v.t. et ftp program til at uploade med, og vær så opmærksom på hvad du faktisk uploader.

Peer-to-Peer.
P2P her intet med Google at gøre, men da problematikken er den samme har jeg valgt at tage emnet med her. Problemet er selvfølgelig, at folk ikke tænker sig om, og får delt alt for meget ud. Tilsyneladende bruger nogle af P2P tjenesterne at jo mere du deler ud, jo mere får du også selv ud af tjenesten. Dette får nogle til, fuldstændigt ukritisk, at uddele hele deres harddisk. Hvis du kender navnene på de filer der indeholder kritiske oplysninger som brugernavne og passwords, konto oplysninger og andet, vil en søgning med de mest populære P2P programmer give dig alt hvad du behøver til at overtage kontrollen med adskillelige maskiner. Bruger du P2P, SÅ TÆNK DIG OM


Hvad bør jeg gøre for at sikre mig.

BRUG HOVED OG TÆNK DIG OM.

Ændre alle default navne. Dette gælder overskrifter, filnavne (både html, asp, php og database filer), mappenavne, tabelnavne (i databasen) title taggen og især brugernavne og passwords.

Undlad at placere fortrolige informationer på en webserver. Heller ikke midlertidigt. Husk at selvom du indskriver placeringen af disse informationer i robots.txt, så søgemaskinen ikke indexisere det, så vil hackerne stadig kunne tilgå og især finde, de biblioteker der er indskrevet i robots.txt. og Googles cache funktion tilsikre at de også kan finde din gamle robots.txt.

Tillad ikke directorie listing. Ved at sørge for at din web server ikke viser indholdet af mapperne, når der ikke er en default web page, fjerner du en del muligheder for hackeren. Har du brug for denne funktionalitet, vær da meget opmærksom på de filer der ligger i ALLE dine web mapper. Og placer ALDRIG filer her midlertidigt, du ikke vil finde igen i f.eks. Google's cache.

Tænk som en Hacker. Hvis du tænker som en hacker, og gennemprøver de værktøjer der findes på dig selv, kan du måske finde nogle huller og uheldigheder der vil kunne udnyttes. Den gamle tese om at "det kræver en tyv for at fange en tyv" er nogenlunde holdbar i denne sammenhæng.

Hack ALDRIG andre ikke engang for sjov, eller for at hjælpe dem med deres sikkerhed. For det første er det strafbart at hacke, og for det andet vil du opdage at folk oftest ikke bliver lykkelige over at du udstiller deres utilstrækkelighed. Du risikere meget let at din hjælpsomhed belønnes med en politianmeldelse og du har under alle omstændigheder et forklaringsproblem. LAD VÆRE, dygtigere folk end dig har fået ødelagt deres fremtid.


Skulle du have spørgsmål, kommentarer eller rettelsen (herunder især stavefejl) er du velkommen til at kontakte mig på kim@bufferzone.dk, ligesom jeg ofte er at finde på Eksperten.