È di pochi giorni fa la notizia che i dati di circa 19.000 carte di credito relative a utenti britannici che avevano effettuato acquisti online fossero disponibili su Google.
Tramite il noto motore di ricerca, chiunque avrebbe potuto accedere ai nomi e agli indirizzi di migliaia di clienti Visa, Mastercard e American Express nonché ai dati completi delle loro carte di credito.
Si ritiene che i criminali, dopo aver collezionato quell’enorme mole di dati probabilmente da diverse fonti al momento ignote, stessero cercando di rivenderle sul mercato nero; in particolare è sotto accusa un forum vietnamita usato da diversi gruppi di cybercriminali.
Benché il sito fosse stato chiuso a febbraio, le informazioni postate su di esso erano state indicizzate da Google e risultavano disponibili tramite la sua funzione di cache anche a forum chiuso.
BigG ora conferma di aver rimosso tutti i dati riservati.
In linea con questo sconcertante furto di dati riservati vi è uno studio della Symantec di pochi mesi fa in cui si stima a 5 miliardi di dollari la quantità di denaro a cui i criminali informatici hanno potuto avere accesso tramite furti di carte di credito online.
In particolare, i dati delle carte di credito rubate rappresentano circa il 30% degli scambi di beni sul mercato nero informatico. Un altro 20% è rappresentato dalle credenziali di accesso a conti bancari online.
La notizia di apertura mi permette di parlare di un tema che trovo piuttosto interessante, rilevante e affascinante: il Google Hacking.
È sotto gli occhi di tutti la potenza di uno strumento come Google, ma, per citare Peter Parker, “a un grande potere corrisponde una grande responsabilità”. Fin dove è in grado di spingersi il potere del motore di ricerca di Mountain View? Cosa implica un suo abuso?
Data la sua incredibile capacità di indicizzazione, Google è in grado anche di raccogliere dati che molti vorrebbero restassero ben segreti. Un malintenzionato non deve fare altro che fargli la domanda giusta e migliaia di informazioni confidenziali saranno a sua disposizione.
Era il 2003 quando Johnny Long pubblicò per la prima volta il Google Hacking Database (GHDB), ormai diventato parte integrante di numerosi tools per il security testing. Il progetto mirava, e mira ancora, a collezionare tutte le possibili query di ricerca che è possibile effettuare tramite Google e il cui risultato abbia rilevanza sul piano della sicurezza informatica.
Il tema ha avuto talmente successo che Long ha anche pubblicato un libro, intitolato “Google Hacking for Penetration Testers”, di cui è stata rilasciata poco più di un anno fa la seconda edizione.
Un anno fa circa è entrato anche in gioco lo storico gruppo hacker Cult of the Dead Cow che ha rilasciato uno specifico tool per il Google hacking su Windows, Goolag.
Mi piacerebbe fare qualche esempio della potenza e della semplicità di certe query, ma non amo l’idea di mettere a repentaglio dati riservati (malamente custoditi) di chi che sia.
Vediamo qualche esempio non troppo devastante, giusto per dare un’idea.
Parecchi anni fa, ormai, era stata scoperta una grave vulnerabilità per Apache su Windows (1.2.x – 1.3.24) che, se sfruttata correttamente, poteva portare alla totale compromissione del server; un attaccante potrebbe usare Google per localizzare centinaia o migliaia di server potenzialmente vulnerabili da attaccare, ecco un semplice esempio:
“Apache/1.3.19 Server at” intitle:index.of
Un bersaglio interessante per un malintenzionato sono i file di configurazione dei software che spesso contengono dati riservati. Non dovrebbero assolutamente esposti su Internet senza un’adeguata difesa. Ecco un esempio:
filetype:conf OR filetype:config OR filetype:cfg
Questa semplice query non fa altro che restituire i link a generici file di configurazione liberamente visionabili da chiunque.
Se un attaccante conosce il nome esatto di un file di configurazione di uno specifico software, può facilmente creare una query che faccia debitamente uso degli operatori filetype e inurl che ricerchi tale file.
Altri esempi di dati riservati che è possibile trovare tramite Google sono i dump testuali di un database (o l’archivio del database per intero), le password delle applicazioni e dei servizi più disparati, numeri di carta di credito (come abbiamo visto all’inizio), file di log e di backup critici, pannelli di amministrazione di router, firewall, switch, non protetti (o con password di default, che è come non averla), hardware in rete (stampanti e Web cam di mezzo mondo, per esempio) e messaggi di errore di vario genere, utili per ricavare informazioni su un’applicazione, magari vulnerabile.
Applicare queste tecniche di attacco sul proprio sito Web può essere utile per verificare che non si esponga niente di rilevante a chi non sia autorizzato.
Spero di avervi dato un’idea del lato oscuro di Google e della sua potenza. Avrei voluto impressionarvi e spaventarvi di più per far maturare una significativa presa di coscienza di questo serio problema che può comportare incidenti a dir poco spiacevoli.
Per gli amministratori di Web server proteggersi da questi attacchi è importante e l’adozione di adeguate security policy è d’obbligo. Anche l’uso di robots.txt può aiutare ad impedire che i bot dei vari motori di ricerca non indicizzino certe parti di un sito. Ma non fidatevi troppo, anche perché chiunque può poi usare quello stesso file per individuare velocemente directory critiche (spesso non adeguatamente protette).
Scusa Alberto, ma i dati delle CC non sono dati Sensibili ma dati riservati.
Ciao
Per Sèvero:
Hai ragione, formalmente, secondo la normativa sulla privacy, i dati sensibili sono tutt’altra cosa.
Ero malamente abituato a usare “sensibile” come generico sinonimo di “critico”.
Articolo sistemato, grazie.
adesso la colpa e’ di google che indicizza i server di gente che non sa configurarli?
meglio, ci pensera’ la “selezione naturale” a eliminare certi figuri dal web :p
Purtroppo vi è molta confusione tra “Sensibili” e “Riservati”.
Spesso si una la parola Sensibili a sproposito anche sulla stampa generalista.
Ciao
Sèvero
Da grandi poteri derivano grandi responsabilità, concordo…ma cmq la colpa è + di chi permette l’indicizzazione di dati sensibili, riservati o sfruttabili per eventuali vulnerabilità, consapevolmente o inconsapevolmente. D’altronde a parte casi semplici come l’esposizione di files di configurazione, non vedo come un crawler, nell’enorme mole di informazioni presenti nel web, possa fare un esatto discernimento tra dati sensibili riservati e non. Almeno fino a che non arriveremo al semantic web.
Non è detto che la responsabilità sia soprattutto di chi non esclude il proprio sito dalla indicizzazione.
Sarebbe meglio che chi desidera essere indicizzato lo chiedesse con un file specifico e che venissero indicizzati solo loro.
Sarebbe più probabile che chi sa far indicizzare il proprio sito sia anche capace di proteggerlo o almeno sappia di averci messo solo dati pubblici.
Siccome non siamo più al tempo dell’Internet di pochi nobili cavalieri… chi agisce sulla rete con servizi che riguardano la rete stessa, o che virano simili servizi materiali innocui rendendoli potenzialmente pericolosi in rete, deve farsi carico di questa responsabilità: deve controllare che i propri servizi non siano *facile* strumento di delinquenza…
Sempre a prescindere dal fatto che i più delinquenti sono quelli che scrivono le leggi eccetera :D
Penso anche che non è una logica corretta incolpare chi non sa difendersi per le aggressioni subite da un aggressore più capace.
Anche per quelli che ti tirano giù per insegnarti come stare in piedi…
La rete o meglio: la comunità della rete, mi sembra abbastanza matura per affrontare il tema del bene/male sulla rete, è tempo di smettere di considerare “furbo” o “simpatico” che approfitta degli altri, solo perchè lo fa attraverso la rete…
sarà che sto invecchiando :) ma non me la sento più di lodare quello che cambia i connotati alla pagina di qualcun altro per dimostrare al mondo che esiste.
seguendo questa filosofia, dovremmo metterci tutti nelle mani del primo cialtrone tecnologico che passa e che ci promette (a chiacchiere, metodo in gran voga in Italia) di occuparsi della nostra sicurezza digitale.
per fortuna, la fuori, c’è ancora qualcuno che non ha delegato a terzi l’utilizzo delle proprie meningi…