PDF de programación - Google Hacking - Calendar Flavor

Introduccion: 

Google Hacking – Calendar Flavor 

 
 Ezequiel Sallis CISSP/CEH 
esallisATroot‐secure.com 
                                                                                                           Root‐Secure Director 
 No creo que sea necesario hoy en día entrar en detalle de lo que es Google 
Hacking, pero si por alguna razón alguien nunca ha oído hablar de ello, se trata 
de una manera creativa, particular e inteligente de realizar búsquedas en Google 
para obtener información que puede ir desde contraseñas hasta datos 
personales pasando por archivos de configuración de equipos de comunicación, 
archivos de configuración de acceso VPN y otros muy interesantes.  No puedo 
nombrar todas las búsquedas interesantes que pueden hacerse, pero si 
referenciar a alguien que se encargo de estudiar esta técnica desde sus inicios 
(Johnny Long) y de generar un espacio para que la comunidad alimente la GHDB 
(Google Hacking Data Base) http://johnny.ihackstuff.com/ghdb.php.  
 Esta técnica es hoy en día muy utilizada tanto por atacantes que dan sus 
primeros pasos en el análisis de sus objetivos, como así también por Security 
Testers que inteligentemente han incorporado esta técnica en las primeras 
etapas de los diferentes tipos de análisis de seguridad que existen. 
 Mas allá de lo antedicho, todo esto se basa en tres elementos principales, Google 
y su particular estructura de búsqueda y almacenamiento de información, la 
habilidad y desarrollo de técnicas de OSINT (Open Source Intelligence) y 
principalmente 
la  falta  de  conciencia  (Ignorancia,  Exceso  de  Confianza, 
Negligencia, Otros) por parte del usuario en la utilización de determinadas 
herramientas y tecnologías. 
 Cerrando esta introducción, hablemos entonces del Calendar Flavor de Google 
Hacking, que como ya habrán podido deducir, se trata e explotar la misma 
técnica antes mencionada, en la herramienta de Calendario que provee Google. 
 Veamos que podemos encontrar… 

 
Google Hacking – Calendar Flavor 

funcionalidades 

 
 Si bien debo admitir que no soy un usuario asiduo de esta herramienta, algunas 
de  sus 
llamaron  mi  atención  y  comencé  a  utilizarla 
periódicamente. 
Uno de esos días, decidí realizar por curiosidad búsquedas en calendarios 
públicos, para esto solo necesite contar con una cuenta en Google, ingresar con 
ella  a calendar.google.com y una vez dentro utilizar la caja de búsqueda 
disponible y el mágico botón de “Buscar Calendarios Públicos”, a ese botón 
también podríamos llamarlo “Buscar Usuarios y Contraseñas”, Buscar Accesos a 
Teleconferencias Privadas”, o bien “Buscar  Números de Tarjetas de Crédito” … y 
si lamentablemente es así, esa información es la que podrán encontrar. 
 Antes de que se sumergan en la búsqueda, es bueno aclarar que encontraran 
mucha información poco relevante, pero si buscan bien, es allí donde 
encontraran al usuario en su máximo esplendor de falta de conciencia. 
 Mayormente existen tres tipos de usos que se le dan a esta herramienta, estos 
son, el calendario de tipo “publico” (Eventos, Blogs, Webcast y demás) en donde 
encontraran información poco relevante que generalmente no representa riesgo 
alguno. Por otro lado, los dos usos restantes, si podrían transformarse en un 
verdadero dolor de cabeza para las áreas de seguridad de la información, y estos 
son los calendarios del tipo “corporativo” y del tipo “personal”, allí podríamos 
encontrar eventos internos de una organización que van desde una reunión de 
trabajo (agenda y minuta incluida en las notas del evento) hasta los inicios, 
cierres y tareas asociadas a proyectos, que brindarían información invaluable a 
la competencia. 
 Analicemos los dos últimos usos y como estos pueden abrir  brechas de 
seguridad en la organización. Cuando creamos un nuevo calendario, además de 
configurar variables funcionales como la zona horaria y demás, se nos permite 
seleccionar a quien le daremos acceso al mismo y con que tipo de privilegios 
(Creación de un evento, Modificación de un Evento y Eliminación de un Evento). 
Google por defecto marca la opción de “No compartir el calendario con todo el 
mundo” dejando en manos del usuario decidir si quiere: 
 ‐ Compartir el Calendario con Todo el Mundo (Upss) 
‐ Compartir la información solo de libre/ocupado (No se dan detalles del Evento) 
‐ Compartir con determinadas personas  (Permite agregar permisos por Usuario) 
 Podrán obtener un interesante detalle de sus otras opciones de configuración en 
http://www.google.com/support/calendar/?hl=es.  
 Ahora bien cual es la opción que según su opinión elegiría la mayoría de los 
usuarios… y si… lamentablemente es esa que están pensando !!!. 
 

Imaginemos a un usuario de una compañía X, que independientemente de lo que 
la política de seguridad diga, decide implementar Google Calendar para manejar 
la coordinación de proyectos de la compañía con proveedores externos, dado 
que en este caso los proveedores con los que debe interactuar son varios, decide 
compartir el calendario para todo el mundo… total, a quién mas le va a importar 
esa información, no?.   Ejemplos como ese abundan y no tienen mas que buscar 
de forma creativa para comenzar a perder su capacidad de asombro… 
 Entérate que estas despedido mediante Google Calendar, interesante no?! 

                 

 

 No olvidar 12 de Febrero cambiar password y comunicar a todo el mundo  
 

 
 

 

 

 

 Reunión con Todo el Mundo!!!! 
 
 

 

 

 

 Juro que no le dije a nadie que retire plata del banco???!!!!! 
 

 Papa Noel Existe!!!! Publico su numero de AMEX en Google Calendar 
 

 

 

 Dime que tienes y te diré como se configura 
 

 
 Estas libre el Sábado por la noche?? 
 

 
 

 

Conclusión: 

 Y si… vuelve a ocurrir lo mismo de siempre,  brechas de seguridad abiertas por el 
usuario sin mala intención, ausencia de controles, o quizá controles presentes 
mal implementados, brindando una falsa sensación de seguridad. 
 Cuando se decide hacer uso de estas herramientas y soluciones, cuando se decide 
participar de la gran comunidad que propone la Web 2.0, hay que tener en 
cuenta que todo lo que posteemos, publiquemos, comentemos y escribamos 
podría ser visto por terceros con la firme intención de obtener información, que 
por mas inútil que parezca por si sola, esta pueda correlacionarse con otra hasta 
convertirse en útil. Ya lo dice un aviso en Internet “Think Before You Post”. 
 Quizá la conclusión sea parecida a muchas otras que tratan esta problemática, 
pero eso marca algo importante y es que independientemente que estemos 
hablando de Google Hacking, OSINT, Google Calendar o Ingeniería Social el 
origen del problema siempre es el mismo…  el factor humano. La solución a esta 
problemática es educar a los usuarios (todos somos usuarios), de manera tal que 
tomen conciencia del riesgo que envuelve el uso de estas herramientas. 
 Por ultimo, quisiera dejarles una frase que un muy buen amigo mío suele repetir 
de vez en cuando y que pertenece a Albert Einstein, “Todos somos ignorantes, 
pero no todos ignoramos las mismas cosas”.