Publicado el 2 de Abril del 2018
433 visualizaciones desde el 2 de Abril del 2018
564,0 KB
7 paginas
Creado hace 16a (13/03/2008)
Introduccion:
Google Hacking – Calendar Flavor
Ezequiel Sallis CISSP/CEH
esallisATroot‐secure.com
Root‐Secure Director
No creo que sea necesario hoy en día entrar en detalle de lo que es Google
Hacking, pero si por alguna razón alguien nunca ha oído hablar de ello, se trata
de una manera creativa, particular e inteligente de realizar búsquedas en Google
para obtener información que puede ir desde contraseñas hasta datos
personales pasando por archivos de configuración de equipos de comunicación,
archivos de configuración de acceso VPN y otros muy interesantes. No puedo
nombrar todas las búsquedas interesantes que pueden hacerse, pero si
referenciar a alguien que se encargo de estudiar esta técnica desde sus inicios
(Johnny Long) y de generar un espacio para que la comunidad alimente la GHDB
(Google Hacking Data Base) http://johnny.ihackstuff.com/ghdb.php.
Esta técnica es hoy en día muy utilizada tanto por atacantes que dan sus
primeros pasos en el análisis de sus objetivos, como así también por Security
Testers que inteligentemente han incorporado esta técnica en las primeras
etapas de los diferentes tipos de análisis de seguridad que existen.
Mas allá de lo antedicho, todo esto se basa en tres elementos principales, Google
y su particular estructura de búsqueda y almacenamiento de información, la
habilidad y desarrollo de técnicas de OSINT (Open Source Intelligence) y
principalmente
la falta de conciencia (Ignorancia, Exceso de Confianza,
Negligencia, Otros) por parte del usuario en la utilización de determinadas
herramientas y tecnologías.
Cerrando esta introducción, hablemos entonces del Calendar Flavor de Google
Hacking, que como ya habrán podido deducir, se trata e explotar la misma
técnica antes mencionada, en la herramienta de Calendario que provee Google.
Veamos que podemos encontrar…
Google Hacking – Calendar Flavor
funcionalidades
Si bien debo admitir que no soy un usuario asiduo de esta herramienta, algunas
de sus
llamaron mi atención y comencé a utilizarla
periódicamente.
Uno de esos días, decidí realizar por curiosidad búsquedas en calendarios
públicos, para esto solo necesite contar con una cuenta en Google, ingresar con
ella a calendar.google.com y una vez dentro utilizar la caja de búsqueda
disponible y el mágico botón de “Buscar Calendarios Públicos”, a ese botón
también podríamos llamarlo “Buscar Usuarios y Contraseñas”, Buscar Accesos a
Teleconferencias Privadas”, o bien “Buscar Números de Tarjetas de Crédito” … y
si lamentablemente es así, esa información es la que podrán encontrar.
Antes de que se sumergan en la búsqueda, es bueno aclarar que encontraran
mucha información poco relevante, pero si buscan bien, es allí donde
encontraran al usuario en su máximo esplendor de falta de conciencia.
Mayormente existen tres tipos de usos que se le dan a esta herramienta, estos
son, el calendario de tipo “publico” (Eventos, Blogs, Webcast y demás) en donde
encontraran información poco relevante que generalmente no representa riesgo
alguno. Por otro lado, los dos usos restantes, si podrían transformarse en un
verdadero dolor de cabeza para las áreas de seguridad de la información, y estos
son los calendarios del tipo “corporativo” y del tipo “personal”, allí podríamos
encontrar eventos internos de una organización que van desde una reunión de
trabajo (agenda y minuta incluida en las notas del evento) hasta los inicios,
cierres y tareas asociadas a proyectos, que brindarían información invaluable a
la competencia.
Analicemos los dos últimos usos y como estos pueden abrir brechas de
seguridad en la organización. Cuando creamos un nuevo calendario, además de
configurar variables funcionales como la zona horaria y demás, se nos permite
seleccionar a quien le daremos acceso al mismo y con que tipo de privilegios
(Creación de un evento, Modificación de un Evento y Eliminación de un Evento).
Google por defecto marca la opción de “No compartir el calendario con todo el
mundo” dejando en manos del usuario decidir si quiere:
‐ Compartir el Calendario con Todo el Mundo (Upss)
‐ Compartir la información solo de libre/ocupado (No se dan detalles del Evento)
‐ Compartir con determinadas personas (Permite agregar permisos por Usuario)
Podrán obtener un interesante detalle de sus otras opciones de configuración en
http://www.google.com/support/calendar/?hl=es.
Ahora bien cual es la opción que según su opinión elegiría la mayoría de los
usuarios… y si… lamentablemente es esa que están pensando !!!.
Imaginemos a un usuario de una compañía X, que independientemente de lo que
la política de seguridad diga, decide implementar Google Calendar para manejar
la coordinación de proyectos de la compañía con proveedores externos, dado
que en este caso los proveedores con los que debe interactuar son varios, decide
compartir el calendario para todo el mundo… total, a quién mas le va a importar
esa información, no?. Ejemplos como ese abundan y no tienen mas que buscar
de forma creativa para comenzar a perder su capacidad de asombro…
Entérate que estas despedido mediante Google Calendar, interesante no?!
No olvidar 12 de Febrero cambiar password y comunicar a todo el mundo
Reunión con Todo el Mundo!!!!
Juro que no le dije a nadie que retire plata del banco???!!!!!
Papa Noel Existe!!!! Publico su numero de AMEX en Google Calendar
Dime que tienes y te diré como se configura
Estas libre el Sábado por la noche??
Conclusión:
Y si… vuelve a ocurrir lo mismo de siempre, brechas de seguridad abiertas por el
usuario sin mala intención, ausencia de controles, o quizá controles presentes
mal implementados, brindando una falsa sensación de seguridad.
Cuando se decide hacer uso de estas herramientas y soluciones, cuando se decide
participar de la gran comunidad que propone la Web 2.0, hay que tener en
cuenta que todo lo que posteemos, publiquemos, comentemos y escribamos
podría ser visto por terceros con la firme intención de obtener información, que
por mas inútil que parezca por si sola, esta pueda correlacionarse con otra hasta
convertirse en útil. Ya lo dice un aviso en Internet “Think Before You Post”.
Quizá la conclusión sea parecida a muchas otras que tratan esta problemática,
pero eso marca algo importante y es que independientemente que estemos
hablando de Google Hacking, OSINT, Google Calendar o Ingeniería Social el
origen del problema siempre es el mismo… el factor humano. La solución a esta
problemática es educar a los usuarios (todos somos usuarios), de manera tal que
tomen conciencia del riesgo que envuelve el uso de estas herramientas.
Por ultimo, quisiera dejarles una frase que un muy buen amigo mío suele repetir
de vez en cuando y que pertenece a Albert Einstein, “Todos somos ignorantes,
pero no todos ignoramos las mismas cosas”.
Comentarios de: Google Hacking - Calendar Flavor (0)
No hay comentarios