Haciendo uso de consultas basadas en parámetros de búsqueda sencillos, se puede obtener una gran cantidad de información relevante que, en principio, podría ser difícil de recopilar mediante las búsquedas habituales que se suelen hacer en los principales motores de búsqueda (por ejemplo, Google, Bing o Shodan). Es el arte del Hacking con Buscadores, donde apuntando a los keywords adecuados, puede obtenerse información privada que no ha sido convenientemente protegida en algunos servicios.
Son muchos los artículos en los que haciendo Hacking con Buscadores se puede sacar información muy delicada de las páginas indexadas o cacheadas en los motores de búsqueda, como fue el caso de Evernote o los leaks de sitios como la web de WhtasApp o de Faeebook. Esta técnica que vamos a ver hoy, que como veremos ahora nos ofrecerá una gran cantidad de información, es sólo una de las muchas posibles de las que disponemos para realizar hacking con buscadores, a través de las cuales se podrían realizar búsquedas automáticas que facilitarían una futura intrusión.
Es por ello por lo que es conveniente conocerse los pormenores de los motores de búsqueda - tal y como se cuentan en el libro de Hacking con Buscadores - y conocerse cosas como el truco de la barra en Google o la búsqueda en el índice secundario, o el funcionamiento de los modificadores de cada uno de los motores como Bing. Son muchos los artículos en los que se ha hablado de esto en este blog, y puedes leer algunos artículos publicados con anterioridad:
Recientemente nos topamos con un artículo que revelaba la posibilidad de encontrar información sensible de usuarios que hacían uso de la SaaS app Trello - muy similar al ejemplo de Google Hacking con Evernote - en aquellos boards que estaban configurados como públicos.
Esta vulnerabilidad se descubrió haciendo uso de Google Hacking, un método de ataque pasivo también conocido como Google Dorking, que nos permite obtener desde nombres de usuario y contraseñas hasta listas de emails, documentos con información sensible, información fiscal de personas o vulnerabilidades de sitios web susceptible de ser usada para actividades ilegales o no lícitas.
La sintaxis más básica comúnmente usada en un Google Dork query que nos permite restringir una búsqueda incluye los siguientes parámetros:
No sólo teníamos visibilidad de credenciales de acceso a cuentas de todo tipo, sino que también teníamos visibilidad total de todas las publicaciones, conversaciones, ficheros adjuntados dentro de cada tablón y usuarios que conformaban el tablón. Nos encontramos con múltiples tablones creados por empleados de empresas donde se intercambiaban información sensible relativa a los proyectos en los que estaban involucrados.
Algunas muestras de los criterios de búsqueda usados y evidencias de los resultados obtenidos se muestran a continuación:
Figura 6: Cómo proteger cuentas de WordPress con Latch en 10 minutos
Además de las prácticas comunes para garantizar la seguridad de tus cuentas, recomendamos hacer uso de segundos factores de autenticación como Latch o Latch Cloud TOTP para protegerte de accesos no autorizados tanto en los ejemplos de WordPress o PayPal usands aquí como de tus redes sociales. Podéis encontrar en los siguientes artículos algunos ejemplos de cómo aplicar este segundo factor de autenticación basado en el uso de sistemas TOTP (Time One-Time Password):
Figura 1: Google Hacking sobre Trello para buscar usuarios y passwords de WordPress o Paypal |
Son muchos los artículos en los que haciendo Hacking con Buscadores se puede sacar información muy delicada de las páginas indexadas o cacheadas en los motores de búsqueda, como fue el caso de Evernote o los leaks de sitios como la web de WhtasApp o de Faeebook. Esta técnica que vamos a ver hoy, que como veremos ahora nos ofrecerá una gran cantidad de información, es sólo una de las muchas posibles de las que disponemos para realizar hacking con buscadores, a través de las cuales se podrían realizar búsquedas automáticas que facilitarían una futura intrusión.
Figura 2: Hacking con Buscadores |
Es por ello por lo que es conveniente conocerse los pormenores de los motores de búsqueda - tal y como se cuentan en el libro de Hacking con Buscadores - y conocerse cosas como el truco de la barra en Google o la búsqueda en el índice secundario, o el funcionamiento de los modificadores de cada uno de los motores como Bing. Son muchos los artículos en los que se ha hablado de esto en este blog, y puedes leer algunos artículos publicados con anterioridad:
• Hacking con buscadores en los repositorios Open Source
• 10 motivos por los que debes pensar en hacer Bing Hacking
• Sacándole más partido a BING Hacking con Contains
• Cómo las invitaciones a grupos de WhatsApp filtradas en Internet afectan a tu Privacidad
• Hundir la flota por computador: Fallos de seguridad en miles de barcos navegando por el mundo.Google Hacking en Trello
Recientemente nos topamos con un artículo que revelaba la posibilidad de encontrar información sensible de usuarios que hacían uso de la SaaS app Trello - muy similar al ejemplo de Google Hacking con Evernote - en aquellos boards que estaban configurados como públicos.
Esta vulnerabilidad se descubrió haciendo uso de Google Hacking, un método de ataque pasivo también conocido como Google Dorking, que nos permite obtener desde nombres de usuario y contraseñas hasta listas de emails, documentos con información sensible, información fiscal de personas o vulnerabilidades de sitios web susceptible de ser usada para actividades ilegales o no lícitas.
La sintaxis más básica comúnmente usada en un Google Dork query que nos permite restringir una búsqueda incluye los siguientes parámetros:
• inurl: seguido por una url, hacia donde apuntamos la búsqueda.
• intext: seguido por un string, para quedarnos sólo con aquellos resultados que contengan esa palabra.
• site: concatenado por un dominio, al que se restringe la búsqueda.
• filetype: especifica la extensión de ficheros en las que estamos interesados (i.e., .doc, .docx, .pdf., .xls, .xlsx… Se puede extender la búsqueda dentro de un mismo query a varios formatos separando las extensiones con “|”.Un query de este tipo presentaría una estructura similar a la siguiente:
inurl:[target_url] AND intext:[target_text_1] AND intext:[target_text_2] AND filetype:[filetype_target] …Quisimos probar si, tras habérsele notificado el descubrimiento de la vulnerabilidad a Trello hace ya dos meses, habían puesto algún remedio el filtrado de información. Para nuestra sorpresa, la información sensible seguía disponible en aquellos tablones que fueron creados como públicos. Comenzamos a hacer pruebas rápidas con queries muy simples. En sólo diez minutos, pudimos ver la ingente cantidad de información que actualmente hay disponible en los tablones públicos de Trello.
No sólo teníamos visibilidad de credenciales de acceso a cuentas de todo tipo, sino que también teníamos visibilidad total de todas las publicaciones, conversaciones, ficheros adjuntados dentro de cada tablón y usuarios que conformaban el tablón. Nos encontramos con múltiples tablones creados por empleados de empresas donde se intercambiaban información sensible relativa a los proyectos en los que estaban involucrados.
Algunas muestras de los criterios de búsqueda usados y evidencias de los resultados obtenidos se muestran a continuación:
• Para buscar por usuarios y contraseñas de correos electrónicos almacenados en los tablones públicos de Trello:
inurl:https://trello.com AND intext:@gmail.com AND intext:password
Figura 4: Credenciales de acceso a WordPress disponibles en un tablón público de Trello |
inurl:https://trello.com AND intext:@yahoo.com AND intext:passwordComo podéis observar en la figura anterior, con sólo apuntar a los dominios de correo más usados, y sin necesidad de refinar mucho la búsqueda, somos capaces de obtener credenciales de accesos no sólo a los mails de ese dominio, sino también a otras plataformas como Wordpress.
• Para tener visibilidad de información sensible de acceso a cuentas de PayPal:
inurl:https://trello.com AND intext:paypal AND intext:password
Figura 5: Usuarios y contraseñas de PayPal al descubierto en tablones públicos de Trello |
• Si lo que queremos es encontrar credenciales de acceso a cuentas de redes sociales como Twitter, Instagram o Facebook, basta con una mínima modificación del query:
inurl:https://trello.com AND intext:twitter AND intext:password
inurl:https://trello.com AND intext:instagram AND intext:password
inurl:https://trello.com AND intext:facebook AND intext:passwordEste post debe servir para concienciar sobre la importancia de educar a los usuarios a gestionar de manera adecuada cómo almacenar (o no almacenar) información sensible. No sólo las credenciales deben ser gestionadas de manera adecuada, ser lo suficientemente complejas y modificarse con cierta frecuencia; además, la información que intercambiemos con otras personas debe transcurrir a través de canales lo más seguros posibles.
Figura 6: Cómo proteger cuentas de WordPress con Latch en 10 minutos
Además de las prácticas comunes para garantizar la seguridad de tus cuentas, recomendamos hacer uso de segundos factores de autenticación como Latch o Latch Cloud TOTP para protegerte de accesos no autorizados tanto en los ejemplos de WordPress o PayPal usands aquí como de tus redes sociales. Podéis encontrar en los siguientes artículos algunos ejemplos de cómo aplicar este segundo factor de autenticación basado en el uso de sistemas TOTP (Time One-Time Password):
• Cómo proteger tu cuenta de Paypal con Latch Cloud TOTP
• Cómo proteger tu cuenta de Twitter con Latch Cloud TOTP
• Latch Cloud TOTP en Facebook sin SMS ni número de Teléfono
• Cómo proteger WordPress con LatchAutor: Enrique Blanco (@eblanco_h) es Investigador en el departamento de Ideas Locas CDO de Telefónica
ESe comentario arriba es spam, gracias por la información en mi País están obsesionados con scrum y trello. Esto me sirve de ejemplo para educarlos
ResponderEliminar