Strona 1 Niebezpieczne Google – wyszukiwanie poufnych informacji Michał Piotrowski Artykuł opublikowany w numerze 3/2005 magazynu hakin9 Wszelkie prawa zastrzeżone. Bezpłatne kopiowanie i rozpowszechnianie artykułu dozwolone pod warunkiem zachowania jego obecnej formy i treści. Magazyn hakin9, Wydawnictwo Software, ul. Lewartowskiego 6, 00-190 Warszawa, [email protected] Strona 2 Niebezpieczne Google – wyszukiwanie poufnych informacji Michał Piotrowski Informacje które powinny być chronione, bardzo często są dostępne publicznie. Ujawniają je nieświadomie – na skutek niedbalstwa lub niewiedzy – sami użytkownicy. Efekt jest taki, że poufne dane są na wyciągnięcie ręki, w Internecie. Wystarczy użyć Google. G oogle odpowiada na około 80 procent wszystkich zapytań w Sieci, a tym sa- Z artykułu dowiesz się... mym jest najczęściej i najchętniej wy- korzystywaną wyszukiwarką. Zawdzięcza to • jak przy użyciu Google wyszukiwać bazy da- nie tylko wyjątkowo skutecznemu mechani- nych osobowych i inne poufne informacje, zmowi generowania wyników, ale też bardzo • jak odnaleźć informacje o podatnych na ataki systemach i usługach sieciowych, rozbudowanym możliwościom zadawania py- • jak znajdować w Google publicznie dostępne tań. Jednak należy pamiętać o tym, że Internet urządzenia sieciowe. jest bardzo dynamicznym medium, przez co wyniki prezentowane przez Google nie zawsze są aktualne. Zdarza się, że niektóre odnalezio- Co powinieneś wiedzieć... ne strony są mocno nieświeże, a jednocześnie • powinieneś potrafić korzystać z przeglądarki in- wiele podobnych jeszcze nie zostało odwiedzo- ternetowej, nych przez Googlebota (skrypt-automat prze- • powinieneś mieć podstawową wiedzę o proto- czesujący i indeksujący zasoby WWW). kole HTTP. Najważniejsze i najbardziej przydatne opera- tory precyzujące, wraz z opisem i efektem dzia- łania, zostały przedstawione w Tabeli 1, zaś Podstawy miejsca w dokumentach, do których operatory O autorze Michał Piotrowski, magister informatyki, ma wie- się odnoszą w trakcie przeszukiwania zasobów loletnie doświadczenie w pracy na stanowisku ad- Sieci (na przykładzie strony magazynu hakin9), ministratora sieci i systemów. Przez ponad trzy lata prezentuje Rysunek 1. To tylko przykłady – umie- pracował jako inspektor bezpieczeństwa w instytucji jętne zadawanie pytań w Google umożliwia uzy- obsługującej nadrzędny urząd certyfikacji w polskiej skanie o wiele ciekawszych informacji. infrastrukturze PKI. Obecnie specjalista ds. bezpie- czeństwa teleinformatycznego w jednej z najwięk- Szukamy ofiary szych instytucji finansowych w Polsce. W wolnych Dzięki wyszukiwarce Google można dotrzeć chwilach programuje i zajmuje się kryptografią. nie tylko do powszechnie dostępnych zasobów 2 www.hakin9.org hakin9 Nr 3/2005 Strona 3 Google hacking Tabela 1. Operatory zapytań w Google Operator Przeznaczenie Przykład wykorzystania site:google.com fox znajdzie wszystkie strony zawie- ogranicza wyniki do stron znajdujących się site rające w tekście wyraz fox, które znajdują się w do- w określonej domenie menie *.google.com ogranicza wyniki do dokumentów zawiera- intitle:fox fire znajdzie strony zawierające wyraz intitle jących podaną frazę w tytule fox w tytule i fire w tekście allintitle:fox fireznajdzie wszystkie strony zawie- ogranicza wyniki do dokumentów zawiera- allintitle rające w tytule wyrazy fox i fire; działa podobnie jak jących wszystkie podane frazy w tytule intitle:fox intitle:fire ogranicza wyniki do stron zawierających inurl:fox fire znajdzie strony zawierające w tekście inurl podaną frazę w adresie URL wyraz fire i fox w adresie URL allinurl:foxfire znajdzie strony zawierające w adre- ogranicza wyniki do stron zawierających allinurl sie URL wyrazy fox i fire; działa podobnie jak inurl: wszystkie podane frazy w adresie URL fox inurl:fire filetype:pdf fire zwróci dokumenty PDF zawierające ogranicza wyniki do dokumentów o poda- filetype, ext wyraz fire, a filetype:xls fox zwróci dokumenty arku- nym typie sza Excel zawierające fox numrange:1-100 firezwróci strony zawierające liczbę ogranicza wyniki do dokumentów zawiera- numrange z zakresu od 1 do 100 i wyraz fire. Identyczny efekt jących w treści liczbę z podanego zakresu można uzyskać pytaniem: 1..100 fire ogranicza wyniki do stron zawierających link:www.google.plzwróci dokumenty zawierające co link odnośniki do podanej lokalizacji najmniej jeden odnośnik do strony www.google.pl inanchor:fire zwróci dokumenty zawierające odno- ogranicza wyniki do stron z odnośnikami śniki, które posiadają wyraz fire w opisie (nie w adre- inanchor zawierającymi w opisie podaną frazę sie URL, na który wskazują, ale w podkreślonej czę- ści tekstu) ogranicza wyniki do dokumentów zawiera- jących podaną frazę w tekście i jednocze- allintext:"fire fox" zwróci dokumenty, które posia- allintext śnie nie zawierające jej w tytule, odnośni- dają frazę fire fox tylko w tekście kach i adresach URL wymusza częste występowanie podanej segreguje wyniki zgodnie w dużą ilością wystę- +fire + frazy w wynikach powania wyrazu fire wymusza niewystępowanie podanej frazy - -fire zwróci dokumenty nie zawierające wyrazu fire w wynikach pozwala wyszukiwać całe frazy, nie tylko "" "fire fox" zwróci dokumenty zawierające frazę fire fox wyrazy fire.foxzwróci dokumenty zawierające frazy fire fox, . jest zastępowany pojedynczym znakiem fireAfox, fire1fox, fire-fox itp. fire * fox zwróci dokumenty zawierające frazy fire * jest zastępowany pojedynczym wyrazem the fox, fire in fox, fire or fox itp. "fire fox" | firefox zwróci dokumenty zawierające | logiczne OR frazę fire fox lub wyraz firefox Internetu, ale również do takich, któ- Wyobraźmy sobie, że w pewnym kilka maszyn z tym oprogramowa- re nigdy nie powinny zostać ujawnio- powszechnie wykorzystywanym pro- niem, aby je zaatakować. Oczywi- ne. Jeśli zadamy odpowiednie pyta- gramie zostaje odnaleziona luka. ście mógłby do tego celu użyć ja- nie, często otrzymamy naprawdę za- Przypuśćmy, że dotyczy ona serwe- kiegoś skanera, jednak woli skorzy- dziwiające wyniki. Zacznijmy od cze- ra Microsoft IIS w wersji 5.0 i że hi- stać z Google – wpisuje więc nastę- goś prostego. potetyczny napastnik chce znaleźć pujące pytanie: "Microsoft-IIS/5.0 hakin9 Nr 3/2005 www.hakin9.org 3 Strona 4 wych pytań dla Google o inne typy serwerów zawiera Tabela 2. Innym sposobem znalezienia konkretnych wersji serwerów WWW jest szukanie standardowych stron, które są z nimi dostarczane i dostęp- ne po poprawnej instalacji. Może wydawać się to dziwne, ale w Sieci znajduje się mnóstwo serwerów, któ- rych domyślna zawartość nie została zmieniona po instalacji. Bardzo czę- sto są to słabo zabezpieczone, za- pomniane maszyny stanowiące ła- twy cel dla włamywaczy. Można je odnaleźć wykorzystując pytania za- prezentowane w Tabeli 3. Ta metoda jest bardzo prosta i jednocześnie niezwykle użytecz- na. Za jej pomocą można uzyskać dostęp do ogromnej ilości różnych Rysunek 1. Wykorzystanie operatorów w wyszukiwaniu na przykładzie serwisów sieciowych czy systemów witryny magazynu hakin9 operacyjnych wykorzystujących apli- kacje, w których znaleziono błędy i których leniwi lub nieświadomi ad- ministratorzy nie usunęli. Za przy- kład niech posłużą dwa dosyć popu- larne programy: WebJeff Filemana- ger i Advanced Guestbook. Pierwszy z nich jest webowym menadżerem plików, umożliwiają- cym przesyłanie plików do serwera oraz tworzenie, przeglądanie, usu- wanie i modyfikowanie plików znaj- dujących się na serwerze. Nieste- ty, WebJeff Filemanager w wersji 1.6 ma błąd, który umożliwia odczytanie zawartości dowolnego pliku znajdu- jącego się na serwerze, do którego ma dostęp użytkownik uruchamiają- cy demona WWW. Wystarczy więc, że intruz wpisze w podatnym syste- mie adres /index.php3?action=telec harger&fichier=/etc/passwd, a uzy- ska zawartość pliku /etc/passwd (patrz Rysunek 3). Oczywiście aby Rysunek 2. Odnalezienie serwera IIS 5.0 przy użyciu operatora intitle znaleźć podatne serwery napastnik wykorzysta Google zadając pytanie: Podstawy Server at" intitle:index.of i w re- ce swoją nazwę i wersję (widać to na "WebJeff-Filemanager 1.6" Login. zultacie otrzymuje odnośniki do po- Rysunku 2). Druga aplikacja – Advanced Gu- szukiwanych serwerów, a konkretnie Jest to przykład informacji, która estbook – jest napisanym w języ- do wylistowanych zawartości katalo- sama w sobie jest niegroźna; z tego ku PHP programem korzystającym gów, znajdujących się na tych ser- powodu bardzo często jest ignoro- z bazy danych SQL, który umożliwia werach. Dzieje się tak dlatego, że wana i pozostawiana w standardowej dodawanie ksiąg gości do serwisów w standardowej konfiguracji opro- konfiguracji. Niestety jest to również WWW. W kwietniu 2004 roku zosta- gramowanie IIS (i wiele innych) do- informacja, która w pewnych okolicz- ła opublikowana informacja o luce daje do niektórych dynamicznie ge- nościach może mieć dla napastnika dotyczącej wersji 2.2 tego progra- nerowanych stron banery zawierają- istotne znaczenie. Więcej przykłado- mu, która umożliwia (dzięki wstrzyk- 4 www.hakin9.org hakin9 Nr 3/2005 Strona 5 Google hacking Tabela 2. Google – pytania o różne rodzaje serwerów WWW Pytanie Serwer "Apache/1.3.28 Server at" intitle:index.of Apache 1.3.28 "Apache/2.0 Server at" intitle:index.of Apache 2.0 "Apache/* Server at" intitle:index.of dowolna wersja Apache "Microsoft-IIS/4.0 Server at" intitle:index.of Microsoft Internet Information Services 4.0 "Microsoft-IIS/5.0 Server at" intitle:index.of Microsoft Internet Information Services 5.0 "Microsoft-IIS/6.0 Server at" intitle:index.of Microsoft Internet Information Services 6.0 "Microsoft-IIS/* Server at" intitle:index.of dowolna wersja Microsoft Internet Information Services "Oracle HTTP Server/* Server at" intitle:index.of dowolna wersja serwera Oracle "IBM _ HTTP _ Server/* * Server at" intitle:index.of dowolna wersja serwera IBM "Netscape/* Server at" intitle:index.of dowolna wersja serwera Netscape "Red Hat Secure/*" intitle:index.of dowolna wersja serwera Red Hat Secure "HP Apache-based Web Server/*" intitle:index.of dowolna wersja serwera HP Tabela 3. Pytania o standardowe poinstalacyjne strony serwerów WWW Pytanie Serwer intitle:"Test Page for Apache Installation" "You are Apache 1.2.6 free" intitle:"Test Page for Apache Installation" "It Apache 1.3.0–1.3.9 worked!" "this Web site!" intitle:"Test Page for Apache Installation" "Seeing Apache 1.3.11–1.3.33, 2.0 this instead" intitle:"Test Page for the SSL/TLS-aware Apache Apache SSL/TLS Installation" "Hey, it worked!" intitle:"Test Page for the Apache Web Server on Red Apache w systemie Red Hat Hat Linux" intitle:"Test Page for the Apache Http Server on Apache w systemie Fedora Fedora Core" intitle:"Welcome to Your New Home Page!" Debian Apache w systemie Debian intitle:"Welcome to IIS 4.0!" IIS 4.0 intitle:"Welcome to Windows 2000 Internet Services" IIS 5.0 intitle:"Welcome to Windows XP Server Internet IIS 6.0 Services" nięciu kodu SQL – patrz Artykuł Ata- do panelu (patrz Rysunek 4) i zalo- a w polu username wpisując ? or 1=1 ki SQL Injection na PHP/MySQL w gować się pozostawiając pole user- --. Nasz przykładowy napastnik, aby hakin9 2/2005) uzyskanie dostępu name puste, a w polu password wpi- znaleźć w sieci podatne witryny, mo- do panelu administracyjnego. Wy- sując ') OR ('a' = 'a, lub odwrotnie że zadać wyszukiwarce Google jed- starczy odnaleźć stronę logowania – pole password zostawiając puste, no z następujących pytań: intitle: hakin9 Nr 3/2005 www.hakin9.org 5 Strona 6 Guestbook "Advanced Guestbook 2.2 Powered" lub "Advanced Guestbook 2.2" Username inurl:admin. Aby zapobiec działającemu w opisany sposób wyciekowi da- nych, administrator musi na bie- żąco śledzić informacje o wszyst- kich programach, które wykorzystu- je w utrzymywanych przez siebie serwisach i dokonywać aktualizacji w razie pojawienia się błędu w któ- rymkolwiek z nich. Drugą rzeczą, o którą warto zadbać jest usunięcie banerów, nazw i numerów wersji pro- gramów ze wszystkich stron lub pli- Rysunek 3. Podatna wersja programu WebJeff Filemanager ków, w których występują. Informacje o sieciach i systemach Prawie każdy atak na system kom- puterowy jest poprzedzony rozpo- znaniem celu. Zazwyczaj polega to na skanowaniu komputerów – próbie określenia działających usług, ro- dzaju systemu operacyjnego i wersji oprogramowania usługowego. Naj- częściej wykorzystuje się do tego ce- lu skanery typu Nmap lub amap, ale istnieje jeszcze inna możliwość. Wie- lu administratorów instaluje aplikacje WWW, które na bieżąco generują statystyki z pracy systemu, informują Rysunek 4. Advanced Guestbook – strona logowania o zajętości dysków twardych, zawie- rają listy uruchomionych procesów lub nawet logi systemowe. Dla włamywacza są to bardzo wartościowe informacje. Wystarczy, że zapyta Google o statystyki pro- gramu phpSystem: "Generated by phpSystem" , a otrzyma strony podob- ne do zaprezentowanej na Rysun- ku 5. Może również zapytać o stro- ny generowane przez skrypt Sysin- fo: intitle:"Sysinfo * " intext: "Generated by Sysinfo * written by The Gamblers.",które zawierają znacznie więcej informacji o syste- Podstawy mie (Rysunek 6). Możliwości jest bardzo dużo (przy- kładowe zapytania o statystyki i infor- macje tworzone przez najpopularniej- sze programy zawiera Tabela 4). Zdo- bycie tego typu informacji może za- chęcić intruza do przeprowadzenia ataku na znaleziony system i pomóc mu w dobraniu odpowiednich narzędzi Rysunek 5. Statystyki phpSystem czy exploitów. Dlatego, jeśli korzysta- 6 www.hakin9.org hakin9 Nr 3/2005 Strona 7 Google hacking my z programów umożliwiających mo- nitorowanie zasoby naszych kompute- rów, musimy zadbać o to, aby dostęp do nich był chroniony i wymagał poda- nia hasła. Szukamy błędów Komunikaty o błędach mogą być dla włamywacza niezwykle wartościo- we – właśnie z tych informacji moż- na otrzymać mnóstwo danych o sys- temie oraz konfiguracji i budowie baz danych. Przykładowo, aby odnaleźć błędy generowane przez bazę Infor- mix wystarczy zadać wyszukiwar- ce następujące pytanie: "A syntax error has occurred" filetype:ihtml. W rezultacie włamywacz odnajdzie komunikaty zawierające informacje o konfiguracji bazy danych, układzie plików w systemie a czasem również hasła (patrz Rysunek 7). Aby zawę- zić wyniki tylko do stron zawierają- Rysunek 6. Statystyki Sysinfo Tabela 4. Programy tworzące statystyki pracy systemu Pytanie Rodzaj informacji rodzaj i wersja systemu operacyjnego, konfiguracja sprzętowa, "Generated by phpSystem" zalogowani użytkownicy, otwarte połączenia, zajętość pamięci i dysków twardych, punkty montowania "This summary was generated by wwwstat" statystyki pracy serwera WWW, układ plików w systemie "These statistics were produced by getstats" statystyki pracy serwera WWW, układ plików w systemie "This report was generated by WebLog" statystyki pracy serwera WWW, układ plików w systemie statystyki pracy systemu w postaci wykresów MRTG, konfigu- intext:"Tobias Oetiker" "traffic analysis" racja sieci intitle:"Apache::Status" (inurl:server-status | wersja serwera, rodzaj systemu operacyjnego, lista procesów inurl:status.html | inurl:apache.html) potomnych i aktualne połączenia intitle:"ASP Stats Generator *.*" "ASP Stats aktywność serwera WWW, dużo informacji o odwiedzających Generator" "2003-2004 weppos" intitle:"Multimon UPS status page" statystyki pracy urządzeń UPS intitle:"statistics of" "advanced web statystyki pracy serwera WWW, informacje o odwiedzających statistics" intitle:"System Statistics" +"System and statystyki pracy systemu w postaci wykresów MRTG, konfigu- Network Information Center" racja sprzętowa, działające usługi intitle:"Usage Statistics for" "Generated by statystyki pracy serwera WWW, informacje o odwiedzających, Webalizer" układ plików w systemie intitle:"Web Server Statistics for ****" statystyki pracy serwera WWW, informacje o odwiedzających inurl:"/axs/ax-admin.pl" -script statystyki pracy serwera WWW, informacje o odwiedzających inurl:"/cricket/grapher.cgi" wykresy MRTG z pracy interfejsów sieciowych wersja i konfiguracja serwera WWW, rodzaj systemu operacyj- inurl:server-info "Apache Server Information" nego, układ plików w systemie rodzaj i wersja systemu operacyjnego, zalogowani użytkowni- "Output produced by SysWatch *" cy, zajętość pamięci i dysków twardych, punkty montowania, uruchomione procesy, logi systemowe hakin9 Nr 3/2005 www.hakin9.org 7 Strona 8 cych hasła, można nieco zmodyfi- nie oprogramowania w taki sposób, Szukamy haseł kować pytanie: "A syntax error has aby informacje o błędach były zapi- W sieci można znaleźć mnóstwo ha- occurred" filetype:ihtml intext: sywane w przeznaczonych specjal- seł do wszelkiego rodzaju zasobów LOGIN. nie do tego celu plikach, a nie wy- – kont pocztowych, serwerów FTP Równie ciekawe informacje moż- syłane na strony dostępne użytkow- czy nawet kont shellowych. Wynika na uzyskać z błędów bazy danych nikom. to głównie z niewiedzy użytkowników MySQL. Widać to choćby na przy- Należy przy tym pamiętać, że na- nieświadomie umieszczających hasła kładzie zapytania "Access denied for wet jeśli błędy będziemy usuwać do- w publicznie dostępnych miejscach, user" "Using password" – Rysunek 8 syć szybko (a tym samym powodo- ale też z niedbalstwa producentów przedstawia jedną ze stron odnale- wać, że strony wskazywane przez oprogramowania, którzy albo nieod- zionych tym sposobem. Inne przy- Google będą już nieaktualne), to powiednio chronią dane użytkowni- kładowe pytania wykorzystujące ta- intruz może obejrzeć kopię strony ków, albo nie informują ich o koniecz- kie błędy znajdują się w Tabeli 5. przechowywaną przez cache wyszu- ności modyfikacji standardowej konfi- Jedynym sposobem ochrony kiwarki Google. Wystarczy, że na li- guracji swoich produktów. naszych systemów przed publicz- ście z wynikami kliknie w odnośnik Rozważmy przykład WS_FTP, nym informowaniem o błędach jest do kopii witryny. Na szczęście, ze dobrze znanego i powszechnie uży- przede wszystkim szybkie usuwa- względu na ogromną ilość zasobów wanego klienta FTP, który podob- nie nieprawidłowości oraz, jeśli ma- internetowych, kopie są przechowy- nie jak większość oprogramowania my taką możliwość, skonfigurowa- wane w cache przez krótki okres. użytkowego umożliwia zapamięty- wanie haseł do kont. WS_FTP za- pisuje swoją konfigurację i informa- cje o kontach użytkownika w pli- ku WS_FTP.ini. Niestety nie wszy- scy zdajemy sobie sprawę z tego, że każdy, kto uzyska dostęp do kon- figuracji klienta FTP będzie miał jed- nocześnie dostęp do naszych zaso- bów. Co prawda hasła przechowy- wane w pliku WS_FTP.ini są zaszy- frowane, ale nie jest to wystarczają- ce zabezpieczenie – mając plik konfi- guracyjny, włamywacz może skorzy- Rysunek 7. Błąd bazy danych Informix stać z narzędzi pozwalających hasła odszyfrować lub po prostu zainsta- lować program WS_FTP i urucho- mić go z naszą konfiguracją. A w ja- ki sposób włamywacz może dotrzeć do tysięcy plików konfiguracyjnych klienta WS_FTP? Oczywiście przez Google. Dzięki pytaniom "Index of/ " "Parent Directory" "WS _ FTP.ini" lub filetype:ini WS _ FTP PWD otrzy- ma mnóstwo odnośników do intere- sujących go danych, które w swojej niewiedzy sami wkładamy mu w rę- ce (Rysunek 9). Inny przykład to aplikacja we- Podstawy bowa o nazwie DUclassified, któ- ra umożliwia dodawanie i zarządza- nie reklamami w serwisach interne- towych. W standardowej konfigura- cji tego programu nazwy użytkowni- ków, hasła i inne dane są przecho- wywane w pliku duclassified.mdb, który znajduje się w niechronio- nym przed odczytem podkatalo- Rysunek 8. Błąd bazy MySQL gu _private. Wystarczy zatem zna- 8 www.hakin9.org hakin9 Nr 3/2005 Strona 9 Google hacking Tabela 5. Komunikaty o błędach Pytanie Rezultat "A syntax error has occurred" filetype: Błędy bazy Informix – mogą zawierać nazwy funkcji, nazwy plików, ihtml informacje o układzie plików, fragmenty kodu SQL oraz hasła błędy autoryzacji – mogą zawierać nazwy użytkownika, nazwy funk- "Access denied for user" "Using password" cji, informacje o układzie plików i fragmenty kodu SQL "The script whose uid is " "is not błędy PHP związane z kontrolą dostępu – mogą zawierać nazwy pli- allowed to access" ków, nazwy funkcji i informacje o układzie plików "ORA-00921: unexpected end of SQL błędy bazy Oracle – mogą zawierać nazwy plików, nazwy funkcji i in- command" formacje o układzie plików "error found handling the request" błędy programu Cocoon – mogą zawierać numer wersji Cocoon, na- cocoon filetype:xml zwy plików, nazwy funkcji i informacje o układzie plików błędy forum dyskusyjnego Invision Power Board – mogą zawierać "Invision Power Board Database Error" nazwy funkcji, nazwy plików, informacje o układzie plików w systemie oraz fragmenty kodu SQL "Warning: mysql _ query()" "invalid błędy bazy MySQL – mogą zawierać nazwy użytkowników, nazwy query" funkcji, nazwy plików i informacje o układzie plików błędy skryptów CGI – mogą zawierać informacje o rodzaju systemu "Error Message : Error loading required operacyjnego i wersji oprogramowania, nazwy użytkowników, nazwy libraries." plików oraz informacje o układzie plików w systemie błędy bazy MySQL – mogą zawierać informacje o strukturze i zawar- "#mysql dump" filetype:sql tości bazy danych leźć serwis korzystający z DUc- lassifield o przykładowym adresie http://<host>/duClassified/ i zmie- nić go na http://<host>/duClas- sified /_ private /duclassified.mdb, aby otrzymać plik z hasłami i tym samym uzyskać nieograniczony do- stęp do aplikacji (pokazuje to Ry- sunek 10). Natomiast w znalezie- niu witryn, które korzystają z oma- wianej aplikacji może pomóc nastę- pujące pytanie zadane w Google: "Powered by DUclassified" -site: duware.com (aby uniknąć wyników dotyczących witryny producenta). Co ciekawe, producent DUclassi- fied – firma DUware – stworzyła kil- ka innych aplikacji, które również są podatne na podobne nadużycia. Teoretycznie wszyscy wiemy, że nie należy przylepiać haseł do mo- nitora lub ukrywać ich pod klawia- turą. Tymczasem sporo ludzi za- pisuje hasła w plikach i umiesz- cza je w swoich katalogach domo- wych, które, wbrew oczekiwaniom, są osiągalne z Internetu. W dodat- Rysunek 9. Plik konfiguracyjny programu WS_FTP hakin9 Nr 3/2005 www.hakin9.org 9 Strona 10 Tabela 6. Hasła – przykładowe zapytania w Google Pytanie Rezultat hasła do strony site, zapisane w postaci "http://username: "http://*:*@www" site password@www..." filetype:bak kopie zapasowe plików, w których mogą znajdować się infor- inurl:"htaccess|passwd|shadow|htusers" macje o nazwach użytkowników i hasła filetype:mdb inurl:"account|users|admin| pliki typu mdb, które mogą zawierać informacje o hasłach administrators|passwd|password" pliki pwd.db mogą zawierać nazwy użytkowników i zakodowa- intitle:"Index of" pwd.db ne hasła inurl:admin inurl:backup intitle:index.of katalogi zawierające w nazwie słowa admin i backup "Index of/" "Parent Directory" "WS _ FTP.ini" pliki konfiguracyjne programu WS_FTP, które mogą zawierać filetype:ini WS _ FTP PWD hasła do serwerów FTP ext:pwd inurl:(service|authors|administrators| pliki zawierające hasła programu Microsoft FrontPage users) "# -FrontPage-" filetype:sql ("passwd values ****" | "password pliki zawierające kod SQL i hasła dodawane do bazy danych values ****" | "pass values ****" ) intitle:index.of trillian.ini pliki konfiguracyjne komunikatora Trillian eggdrop filetype:user user pliki konfiguracyjne ircbota Eggdrop filetype:conf slapd.conf pliki konfiguracyjne aplikacji OpenLDAP inurl:"wvdial.conf" intext:"password" pliki konfiguracyjne programu WV Dial ext:ini eudora.ini pliki konfiguracyjne programu pocztowego Eudora pliki Microsoft Access, które mogą zawierać informacje o kon- filetype:mdb inurl:users.mdb tach serwisy WWW korzystające z aplikacji Web Wiz Jour- nal, która w standardowej konfiguracji umożliwia pobra- intext:"powered by Web Wiz Journal" nie pliku zawierającego hasła; zamiast domyślnego adresu http://<host>/journal/ należy wpisać http://<host>/journal/ journal.mdb "Powered by DUclassified" -site:duware.com "Powered by DUcalendar" -site:duware.com serwisy WWW, korzystające z aplikacji DUclassified, DU- "Powered by DUdirectory" -site:duware.com calendar, DUdirectory, DUclassmate, DUdownload, DUpay- "Powered by DUclassmate" -site:duware.com pal, DUforum lub DUpics, które w standardowej konfigura- "Powered by DUdownload" -site:duware.com cji umożliwiają pobranie pliku zawierającego hasła; zamiast Podstawy "Powered by DUpaypal" -site:duware.com domyślnego adresu (dla DUclassified) http://<host>/duClas- "Powered by DUforum" -site:duware.com sified/ należy wpisać http://<host>/duClassified/_private/ intitle:dupics inurl:(add.asp | default.asp | duclassified.mdb view.asp | voting.asp) -site:duware.com serwisy WWW korzystające z aplikacji Bitboard2, która w standardowej konfiguracji umożliwia pobranie pliku zawie- intext:"BiTBOARD v2.0" "BiTSHiFTERS Bulletin rającego hasła; zamiast domyślnego adresu http://<host>/ Board" forum/forum.php należy wpisać http://<host>/forum/admin/ data_passwd.dat 10 www.hakin9.org hakin9 Nr 3/2005 Strona 11 Google hacking ku wielu z nich piastuje funkcje ad- ministratorów sieci lub podobne, przez co pliki te osiągają pokaź- ne rozmiary. Trudno podać konkret- ną zasadę szukania takich danych, ale dobrze sprawdzają się kombina- cje słów account, users, admin, ad- ministrators, passwd, password itp. W połączeniu z typami plików .xls, .txt, .doc, .mdb i .pdf. Warto również zwrócić uwagę na katalogi zawiera- jące w nazwie słowa admin, backup lub podobne: inurl:admin intitle: index.of. Przykładowe pytania o da- ne związane z hasłami można zna- leźć w Tabeli 6. Aby utrudnić intruzom dostęp do naszych haseł, musimy przede wszystkim myśleć o tym, gdzie i po co je wpisujemy, jak są przechowy- wane oraz co się z nimi dzieje. Je- śli opiekujemy się serwisem interne- towym, powinniśmy przeanalizować konfigurację wykorzystywanych apli- kacji, odnaleźć słabo chronione lub Rysunek 10. Standardowo skonfigurowany program DUclassified wrażliwe dane i odpowiednio je za- bezpieczyć. Dane osobowe i dokumenty poufne Zarówno w Polsce czy Unii Euro- pejskiej, jak i w Stanach Zjedno- czonych istnieją odpowiednie re- gulacje prawne, które mają za za- danie ochraniać naszą prywatność. Niestety zdarza się, że wszelkiego rodzaju poufne dokumenty zawie- rające nasze dane są umieszcza- ne w publicznie dostępnych miej- scach lub przesyłane przez sieć bez właściwego zabezpieczenia. Wystarczy, że intruz uzyska dostęp do poczty elektronicznej zawierają- cej nasze Curriculum Vitae wysłane podczas poszukiwania pracy, a po- zna nasz adres, numer telefonu, da- tę urodzenia, przebieg edukacji, wiedzę i doświadczenie. Rysunek 11. Elektroniczna książka adresowa zdobyta dzięki Google W Internecie można znaleźć mnóstwo dokumentów tego ty- pu. Aby je odszukać, należy za- W Sieci dać następujące pytanie: intitle: • – największe repozytorium informacji o Google hac- "curriculum vitae" "phone * * *" king, "address *" "e-mail". Łatwo rów- • – skaner sieciowy Nmap, nież znaleźć dane teleadresowe • – skaner amap. w postaci list nazwisk, numerów telefonów i adresów e-mail (Rysu- hakin9 Nr 3/2005 www.hakin9.org 11 Strona 12 Tabela 7. Szukanie danych osobowych i poufnych dokumentów Pytanie Rezultat filetype:xls inurl:"email.xls" pliki email.xls, które mogą zawierać dane teleadresowe "phone * * *" "address *" "e-mail" intitle: dokumenty CV "curriculum vitae" "not for distribution" confidential dokumenty opatrzone klauzulą confidential buddylist.blt listy kontaktów komunikatora AIM intitle:index.of mystuff.xml listy kontaktów komunikatora Trillian filetype:ctt "msn" listy kontaktów MSN filetype:QDF QDF baza danych programu finansowego Quicken pliki finances.xls, które mogą zawierać informacje o kontach intitle:index.of finances.xls bankowych, zestawienia finansowe i numery kart kredytowych intitle:"Index Of" -inurl:maillog maillog size pliki maillog, które mogą zawierać wiadomości e-mail "Network Vulnerability Assessment Report" "Host Vulnerability Summary Report" raporty z badania bezpieczeństwa sieci, testów penetracyjnych filetype:pdf "Assessment Report" itp. "This file was generated by Nessus" Tabela 8. Ciągi charakterystyczne dla urządzeń sieciowych Pytanie Urządzenie "Copyright (c) Tektronix, Inc." "printer status" drukarki PhaserLink inurl:"printer/main.html" intext:"settings" drukarki Brother HL intitle:"Dell Laser Printer" ews drukarki Della z technologią EWS intext:centreware inurl:status drukarki Xerox Phaser 4500/6250/8200/8400 inurl:hp/device/this.LCDispatcher drukarki HP intitle:liveapplet inurl:LvAppl kamery Canon Webview intitle:"EvoCam" inurl:"webcam.html" kamery Evocam inurl:"ViewerFrame?Mode=" kamery Panasonic Network Camera (intext:"MOBOTIX M1" | intext:"MOBOTIX M10") intext: kamery Mobotix "Open Menu" Shift-Reload inurl:indexFrame.shtml Axis kamery Axis SNC-RZ30 HOME kamery Sony SNC-RZ30 Podstawy intitle:"my webcamXP server!" inurl:":8080" kamery dostępne przez aplikację WebcamXP Server allintitle:Brains, Corp. camera kamery dostępne przez aplikację mmEye intitle:"active webcam page" kamery z interfejsem USB nek 11). Wynika to z faktu, że pra- przeciętnego intruza, ale już wpra- dobrze w tym przypadku sprawdza wie wszyscy użytkownicy Interne- wiony socjotechnik będzie potra- się na przykład pytanie: filetype: tu tworzą różnego rodzaju elek- fił wykorzystać zawarte w nich da- xls inurl:"email.xls", które wyszu- troniczne książki adresowe – ma- ne, zwłaszcza jeśli dotyczą kontak- ka arkusze kalkulacyjne o nazwie ją one niewielkie znaczenie dla tów w obrębie jednej firmy. Dosyć email.xls. 12 www.hakin9.org hakin9 Nr 3/2005 Strona 13 Google hacking watnych informacji możemy jedy- nie zachować ostrożność i pano- wać nad publikowanymi danymi. Firmy i instytucje powinny (a w wie- lu przypadkach nawet muszą) opra- cować i wdrożyć odpowiednie regu- laminy, procedury oraz zasady po- stępowania określające wewnętrz- ny obieg informacji, odpowiedzial- ność i konsekwencje za ich nie- przestrzeganie. Urządzenia sieciowe Wielu administratorów nie traktu- je poważnie bezpieczeństwa ta- kich urządzeń, jak drukarki siecio- we czy kamery webowe. Tymcza- sem źle zabezpieczona drukarka Rysunek 12. Zastrzeżony dokument odnaleziony przez wyszukiwarkę może być przyczółkiem, który wła- mywacz zdobywa w pierwszej ko- lejności, a potem wykorzystuje do przeprowadzania ataków na pozo- stałe systemy w sieci lub poza nią. Kamery internetowe oczywiście nie są aż tak niebezpieczne, więc moż- na je traktować jako rozrywkę, jed- nak nietrudno wyobrazić sobie sytu- ację, kiedy takie dane miałyby zna- czenie (szpiegostwo przemysłowe, napad rabunkowy). Pytania o dru- karki i kamery zawiera Tabela 8, zaś Rysunek 13 prezentuje znale- zioną w sieci stronę konfiguracyj- ną drukarki. Poufne w indeksie Dzisiejszy świat jest światem infor- macji, w którym wiedza jest cennym towarem – jej posiadanie przekłada się na realne korzyści, takie jak pie- niądze, zaufanie klientów lub prze- Rysunek 13. Odnaleziona przez Google strona konfiguracyjna drukarki HP waga nad konkurencją. Informa- Podobnie wygląda sytuacja z ko- mym zawierają zastrzeżone infor- cja sama w sobie przybiera bardzo munikatorami sieciowymi i zapisywa- macje. Mogą to być plany projek- zróżnicowaną postać, coraz częściej nymi w nich listami kontaktów – po towe, dokumentacja techniczna, elektroniczną. zdobyciu takiego zestawienia intruz różne ankiety, raporty, prezentacje Włamywaczy interesuje specy- będzie mógł próbować podszyć się i całe mnóstwo innych wewnętrz- ficzny rodzaj informacji – dane han- pod naszych przyjaciół. Co ciekawe, nych dokumentów firmowych. Moż- dlowe, wewnętrzne dokumenty firmo- dosyć dużo danych osobowych moż- na je znaleźć, gdyż bardzo często we, plany projektowe, dane teleadre- na znaleźć we wszelkiego rodza- zawierają wyraz confidential, fra- sowe, numery kart płatniczych, ha- ju dokumentach urzędowych – ra- zę Not for distribution lub podobne sła... Wszystko można odnaleźć pod portach policyjnych, pismach sądo- (patrz Rysunek 12). Tabela 7 zawie- adresem , wych czy nawet kartach przebiegu ra kilka przykładowych pytań o do- w wyszukiwarce i jednocześnie zbio- choroby. kumenty mogące zawierać dane rze odnośników do wszystkiego, co W Sieci można również odna- osobowe i informacje poufne. może być dostępne w Sieci dla zwy- leźć dokumenty, którym nadano ja- Tak jak w przypadku haseł, aby kłego użytkownika. Trzeba tylko po- kąś klauzulę tajności i które tym sa- uniknąć ujawniania naszych pry- googlać.n hakin9 Nr 3/2005 www.hakin9.org 13