Viviamo nella società dell’informazione e i motori di ricerca che ordinano masse enormi di dati hanno un potere immenso. E’ possibile far restituire dai search engine dei dati per utilizzarli con finalità molto diverse da quelle per cui gli stessi erano stati raccolti. Si tratta di tecniche di information gathering basate sull’interrogazione dei motori di ricerca, “googling” dal nome di quello più famoso. Applicazione su larga scala di questa tecnica viene fatta da molti worm che la utilizzano per trovare siti vulnerabili, ne avevamo parlato circa un anno fa a proposito di Santy (il worm di Natale 2004).

L’idea è semplice e si basa sul fatto che gli spider di indicizzazione raccolgono ogni stringa che incontrano; queste stringhe possono non essere parte dei testi delle pagine ma indicazioni di servizio come la versione dei software di creazione di siti dinamici. Talvolta rilevano link errati che li portano su pagine di errore dove possono indicizzare il tipo di software usato per implementare il webserver o addirittura “sfruttare” errori di configurazione e trovare indicazioni sul file system e su documenti che normalmente non dovrebbero comparire pubblicamente. In sostanza più gli spider sono precisi nel fare il loro lavoro più raccolgono, tra le tante, informazioni utili ad un attaccante. Un idea delle richieste “non convenzionali” che si possono fare ad un motore di ricerca per ricevere questi dati si può avere tramite la consultazione di GHDB (Google Hacking Database).
http://johnny.ihackstuff.com/index.php?module=prodreviews
Ne parliamo in questa rubrica di vulnerabilità perché si possono utilizzare gli stessi strumenti, preventivamente, per fare un assessment dei propri sistemi ed evitare di dare vantaggi strategici agli attaccanti (worm o umani).
Altro esempio di uso improprio dei motori di ricerca, che può essere fatto da chi ha intenzione di commettere qualche azione scorretta su un sistema, consiste nell’utilizzare le pagine cachate per “navigare” su un sito senza mai entrare in contatto con il sistema reale. Sarà impossibile in un’azione di forensic successiva ad un attacco notare attività ricognitive legate ad un indirizzo IP. Le tecniche per difendersi sono un po’ drastiche ma esistono e sono utili soprattutto nei casi di sistemi che in qualsiasi caso non devono essere pubblici: si tratta di disabilitare l’indicizzazione dei loro contenuti ad esempio tramite il file di configurazione di Apache disabilitando l’user-agent “goooglebot”.
L’uso improprio dei motori di ricerca dimostra che i search engine funzionano tanto bene da trovare anche quello che non si dovrebbe.