Google hacking: el genio sale de la botella

Enviado por JMG el 16. Enero 2005 - 12:39.

Por José Manuel Gómez

No hace mucho, Bruce Schneier hablaba aquí sobre el potencial del buscador de ficheros locales de Google para localizar vulnerabilidades en la propia máquina. Pero hoy vamos a hablar sobre el potencial del propio Google como herramienta de búsqueda de vulnerabilidades en todo Internet, un tema suficientemente importante como para que ya empiece a hablarse de los "Google hackers".

Hay muchos ejemplos acerca de cómo Google puede ser utilizado para acceder a información, programas o dispositivos sensibles. Sin ir más lejos, la prensa se hizo eco ampliamente de un ejemplo de este tipo de 'hacking', cuando habló de la localización de cámaras web accesibles desde la Red.

En general, la publicación de una nueva vulnerabilidad proporciona muchas veces un nuevo término o cadena que buscar, y la extraordinaria potencia de Google a la hora de indexar se encarga del resto. Otras veces se utilizan operadores avanzados -y no muy conocidos- del propio buscador (como site, filetype, link, cache, intitle, inurl y similares). Para colmo de males, las búsquedas no han de realizarlas necesariamente humanos, sino que también pueden encargarse a robots o gusanos...

A primeros de diciembre se puso a la venta Google Hacking for Penetration Testers. El libro desgrana, a lo largo de sus más de 500 páginas, abundantes ejemplos de cómo puede utilizarse el popular buscador para localizar sitios web vulnerables o información sensible que sus propietarios consideraban a salvo.

El autor del libro es Johnny Long, que mantiene un sitio web donde continúa recopilando nuevos trucos para perfeccionar la búsqueda de vulnerabilidades mediante el uso de Google.

Long mantiene además una base de datos de lo que él llama 'Googledorks' (queriendo designar algo así como 'víctimas estúpidas del buscador'). Los hay para todos los gustos: desde las búsquedas de significativos mensajes de error, hasta los sitios web que muestran directorios sensibles, pasando por la búsqueda de cámaras, impresoras, nombres de usuarios, etc, etc... Hoy por hoy, según los expertos, la única línea de defensa que pueden interponer los webmasters es un fichero robots.txt bien configurado.

Con independencia de que pueda haber quien opine que toda esta información debería ser ocultada, lo cierto es que el sitio web y el libro de Long bien merecen atención porque, para bien o para mal, el genio ya está fuera de la botella y haríamos muy mal en mirar hacia otro lado. Los expertos esperan que 2005 sea el año de despegue del 'Google hacking' y ya existen antecedentes preocupantes: baste recordar que una variante del tristemente célebre MyDoom ya utilizó Google, en agosto pasado, para obtener direcciones de correo electrónico.

»

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...