Google hacking

¿No sabes qué es el Google hacking? Quizás no hayas oído hablar de él, pero probablemente ya puedas imaginar en qué consiste. Se trata de aprovechar el poderoso poder de indexado de Google, como herramienta para poder sacar información que no debería ser pública, pero que por cualquier causa ha sido indexada. Google dispone de diferentes formas para poder hacer búsquedas múltiples, emplear comodines, restricciones de dominio, etc. De ésta manera y gracias a determinadas palabras clave podemos obtener información con fines no muy constructivos. Por ejemplo podemos buscar puntos de posibles ataques, servidores vulnerables incluso contraseñas. Un ejemplo muy sencillo para poder hacer daño, sin necesidad de ser un hacker ni un auténtico genio sería buscar una versión antigua de un CMS, por ejemplo WordPress. Sin necesidad de buscar mucho podrías encontrar un exploit para obtener usuario y contraseña, pero ¿Cómo encontrar versiones antiguas de WordPress? Por ejemplo buscando en Google lo siguiente encontraríamos versiones de WordPress desactualizados y vulnerables a exploits:

“Powered by WordPress 2.1.3″

De ésta manera aprovechamos el descuido de usuarios, que podrían ser sensibles a ataques de cualquier persona con unos mínimos de conocimientos. Y éste es un ejemplo muy simple, aquí tienes un listado de expresiones para obtener diversa información con Google:

• Productos vulnerables
• Mensajes de error
• Ficheros que contienen información sensible
• Ficheros que contienen claves
• Ficheros que contienen nombres de usuario
• Footholds e información de apoyo al acceso
• Páginas con formularios de acceso
• Páginas que contienen datos relativos a vulnerabilidades
• Directorios sensibles
• Información sensible sobre comercio y banca electrónica
• Dispositivos hardware online
• Ficheros vulnerables
• Servidores vulnerables
• Detección de servidores web

¿Como prevenir éste tipo de ataques?

Para ello debemos entender el funcionamiento del archivo robots.txt, que evitará que se indexe contenido que no deseamos exponer. También conocer la forma de realizar diversas búsquedas mediante Google nos ayudará a tomar conciencia del problema, y por último tener en cuenta el uso de honeypots, empleados para simular sistemas o servidores vulnerables, para poder así obtener información y datos de los atacantes. Éste tipo de sistemas sueleser utilizado por la policía para atraer a pedófilos y criminales de la red.

Espero que con éstas ideas hayas tomado conciencia del peligro del Google Hacking. Es muy fácil encontrar la base de datos de Google Hacking con la cual podemos encontrar multitud de sitios vulnerables. Recuerda éste artículo es para concienciar de los peligros de Google Hacking, no para enseñar a destruir. Piensa que no te gustaría que alguién aprovechara un fallo en tu web.

Fuente: | Google hacking, ejemplos y medidas