reklama

Google ze strany hackingu

Prakticky každý uživatel ví, že Google není jen běžným vyhledávačem. Jeho důmyslné operátory mohou být snadno využity i k odhalení na první pohled skrytých informací.
Kapitoly článku

Drtivá většina uživatelů bere Google jako všemocného pomocníka při hledání rozličných informací, webových stránek a využívá také další z široké nabídky jeho služeb nebo aplikací. To je ta líbivá strana mince Googlu, druhá naopak může přinést některá negativa: Řeč bude především o takzvaném Google hackingu, ale existují také další úskalí, třeba populární Google bomby.

Hledání na první pohled neexistujícího

Pojďme se blíže podívat na Google hacking. Co to vlastně je? Nic tajného, nic těžkého, nic nepochopitelného. Google hacking obecně označuje kladení speciálních dotazů vyhledávači, s jejichž pomocí se uživatel snaží nalézt některé zajímavé informace. Už z toho je jasné, že nejde o žádnou chybu ze strany Googlu, ale vlastnost, nezodpovědnost zpravidla spočívá na straně nedůsledných uživatelů, kteří svá citlivá data (byť nechtěně) vystavují celému světu.

Útočníci takto nejčastěji hledají například omylem sdílené dokumenty, které prostě správce webu umístil do volně přístupného adresáře, namísto toho, aby je na serveru „uklidil“ do síti skryté části. To ale nemusí být jediný případ, kdy lze umně vytvořenými dotazy nalézt na první pohled nedostupné informace. Je totiž možné dopídit se také údajů o softwarovém vybavení vzdáleného serveru, najít řadu strojů s aktuálně zranitelnými službami apod. Opět ale dodejme, že Google se tohoto zneužití dočkal jen díky kvalitnímu hledání, za pomoci obdobných dotazů je možné podobně postupovat také v jiných vyhledávačích. I když třeba ne s tak uspokojivými výsledky.

Ještě než se pustíme do představení některých konkrétních dotazů, není od věci vypíchnout jednu úzce související vlastnost Googlu, jmenovitě se jedná o archív. V seznamu stránek kromě přímého odkazu naleznete také odkazy do archívu, tedy dřívější podobu. Jedna z možností využití je prohlížení stránky, i když právě není dostupná, z pohledu slídila po informacích ale archív nabízí také možnost podívat se na dřívější zajímavé údaje, které správce později úmyslně odstranil. Aktualizace archívu nějakou dobu trvá a právě v tomto mezidobí má útočník šanci nalézt již jako by nedostupné informace.

Základní operátory a nahlédnutí do dazabáze

Mezi základní techniky Google hackingu patří prohledávání souborů předem vyhlédnutých typů, k čemuž slouží operátor filetype. Pokud tak například chcete hledání omezit pouze na zaindexované tabulky aplikace Microsoft Excel, přidáte k dotazu filetype:xls, podobně pak třeba pro dokumenty textového procesoru Word zase filetype:doc. Podporovány jsou samozřejmě také třebas čistě textové soubory TXT, formáty RTF, PDF a další.

Klepněte pro větší obrázek
Google Hacking Database patří mezi nejlepší zdroje při hledání praktických ukázek Google hackingu

Další zajímavou technikou je omezení hledání pouze na vybrané domény, a to prostřednictvím operátoru site. Tak například pokud chcete vyhledat jen stránky v doméně cpress.cz, rozšiřte dotaz o site:cpress.cz. Podporovány jsou i další řády, tedy třeba site:knihy.cpress.cz apod. A proč rovnou nezkombinovat již představené hledání v rámci určitých typů a souborů a domén? Konkrétní příklady hledání můžete nalézt například ve slavné online databázi Google Hacking Database.

Stranou při Google hackingu nezůstává ani omezení textu v adrese, přesněji v celém URL, prostřednictvím operátoru inurl. Pokud tak chcete vyhledat stránky, jež ve své cestě mají například slovo hesla, doplňte dotaz o inurl:hesla. Pro představu zkuste zalistovat například výsledky jednoduchého dotazu inurl:hesla filetype:txt.

FTP a další soubory

Když už jsme nakousli problematiku hesel v souvislosti s Google hackingem, můžeme se pozastavit u některých konkrétních příkladů. Právě na nich je vidět, že sami uživatelé, resp. nedůslední správci dovolují najít zajímavé informace také z tohoto soudku. Například populární správce souborů Total Commander hesla k FTP serverům ukládá šifrovaná do souboru s názvem wcx_ftp.ini, není proto nic jednoduššího, než se na ně zaměřit – zkuste v Googlu například dotaz inurl:wcx_ftp.ini.

A že jsou hesla šifrovaná? To vzhledem k nepříliš silnému šifrovacímu algoritmu není zas až takový problém, k dispozici se totiž nabízejí utility k jejich rekonstrukci. Nebo ještě jednodušeji stačí, abyste nalezeným INI souborem přepsali vlastní, všechna připojení pak budete mít k dispozici v Total Commanderu i bez lámání šifrovaných hesel.

Klepněte pro větší obrázek
Obsah jednoho ze souborů wcx_ftp.ini získaného prostřednictvím Googlu

O tom, že základní techniky Google hackingu nemusí sloužit pouze k hledání citlivých informací, svědčí například možnost nalezení hudby, videa nebo dalších věcí. I když dotazy v poměrně vysoké míře připomínají ty, jimiž se lze pídit po nechtěně sdíleném obsahu. Tak například operátor allintitle, který vybere stránky o určitém názvu, může najít uplatnění při hledání MP3 od určitého interpreta dotazem allintitle:“index of “ “mp3“ apod. Získáte tak seznam všech stránek, které ve svém názvu obsahují mp3, spojení index of navíc vybere hlavně ty výsledky, které zobrazují výpis souborů ve vzdálené složce.

Témata článku: Software, Google, Web, Bezpečnost, Rapidshare, Site, Login, Microsoft Excel, Bomb, LR

24 komentářů

Nejnovější komentáře

  • Important 13. 12. 2007 8:30:21
    Hi! You've got a nice list, and there are a lot of stuff that I would...
  • janek 18. 10. 2007 17:55:17
    Pekny clanek. Problematika Google hackingu uz se v soucasnosti dokonce...
  • Pamela88 1. 9. 2007 10:38:02
    [General] e-mail=user@domain.com ASCII=*.txt *.htm *.html *.pas *.c...
reklama
Určitě si přečtěte

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

** Microsoft pomalu začíná kritizovat svůj nejpopulárnější OS ** Chce konečně dostat podniky na Desítky ** Bezpečnostní podpora Sedmiček vydrží ještě necelé tři roky

17.  1.  2017 | Jakub Čížek | 406

Vyzkoušeli jsme FM štěnici: Když si vtipálci hrají na pirátské rozhlasové vysílání

Vyzkoušeli jsme FM štěnici: Když si vtipálci hrají na pirátské rozhlasové vysílání

** Dnes žádnou elektroniku programovat nebudeme ** Štěnice totiž funguje sama o sobě ** Stačí připojit baterii a naladit frekvenci

Včera | Jakub Čížek | 11

8 produktů, o kterých byste neřekli, že nesou značku Apple

8 produktů, o kterých byste neřekli, že nesou značku Apple

** Věděli jste, že Apple vyvinul celkem 45 modelů tiskáren? ** ** Monitor na výšku, plotter nebo herní konzole - to vše měl Apple ve své nabídce ** Většinu z těchto produktů pohřbil Steve Jobs

19.  1.  2017 | Stanislav Janů | 42

Umělá inteligence dokáže ze snímků srdce předpovědět, kdy zemřete

Umělá inteligence dokáže ze snímků srdce předpovědět, kdy zemřete

** Strojové učení lze skvěle použít pro vylepšení modelů pro předpověď srdečních komplikací ** Nová technologie umožňuje přesněji určit rizikové pacienty ** Dřívější diagnostika může díky včasně léčbě do budoucna zachránit životy

21.  1.  2017 | Karel Javůrek | 6


Aktuální číslo časopisu Computer

99 nejlepších programů pro váš počítač

Zvykejte si na umělou inteligenci

Velké testy PC zdrojů a gamepadů

Alternativní zdroje energie

reklama
reklama