FoundStone publica una herramienta gratuita que permite buscar en
Google la información sensible divulgada de una forma accidental.
Nos encontramos ante una nueva herramienta imprescindible en la
caja de herramientas de los profesionales de seguridad

Desde hace ya un tiempo, en varios weblogs especializados en
temas de seguridad, se ha comentado que algunos de los parámetros
avanzados de búsqueda disponibles en Google son especialmente
útiles para identificar las fugas de información provocadas por
páginas que nunca deberían ser accesibles desde Internet.

Un ejemplo clásico consiste en utilizar los parámetros inurl: e
intitle: para identificar los archivos de contraseñas
(/etc/passwd y /etc/shadow) de los sistemas Unix.

Recientemente FoundStone ha publicado una herramienta gratuita,
SiteDigger, que permite automatizar este proceso e identificar
cualquier información sensible almacenada dentro de Google, para
un dominio de Internet en concreto.

En su configuración por defecto, SiteDigger realiza búsquedas
dentro de Google de páginas que revelen archivos históricos (como
bash_history o .sh_history), archivos de contraseñas (.htpasswd,
/etc/shadow y similares), páginas de administración de
dispositivos o aplicaciones, documentos Excel que contienen
contraseñas, páginas por defecto de servidores web, mensajes de
error (algunos de los cuales incluyen información de las
credenciales del usuario que lo ha provocado), errores en
consultas SQL, expresiones mal construidas, servicios de
administración remota, vulnerabilidades conocidas…

También permite identificar archivos que comprometan la
privacidad (registro de actividad, archivos log, estadísticas,
datos financieros…).

SiteDigger realiza las consultas a partir de un archivo de
firmas, permitiendo seleccionar las búsquedas que se desean
realizar. El archivo de firmas es actualizable para incluir
nuevas opciones de búsqueda.

SiteDigger es una aplicación Windows (requiere el framework .NET,
que puede instalarse a través de Windows Update) y utiliza la API
de Google para automatizar la búsqueda de información sensible.
Para acceder a esta API es preciso disponer de una licencia, que
puede solicitarse de forma gratuita.

Xavier Caballé
xavi@hispasec.com

Más información:

SiteDigger
http://www.foundstone.com/resources/proddesc/sitedigger.htm

FoundStone SiteDigger: Identifying Information Leakage Using
Search Engines
http://www.foundstone.com/resources/whitepapers_registration.htm?file=wp_sitedigger.pdf

Eina: SiteDigger
http://www.quands.info/2004/06/24.html#a2752

Google, inurl: i intitle:
http://www.quands.info/2004/03/15.html#a1896

Herramienta: SiteDigger
http://t3k.ibernet.com/blog/2004/06/herramienta-sitedigger.html

API de Google
http://www.google.com/apis/

Compártelo: