#CyberMagazyn: Zaawansowane funkcje wyszukiwarki Google. Oto co powinieneś wiedzieć

26 sierpnia w biurze Google Polska odbyło się spotkanie „Hackbreakers’ Meetup 24x04”, którego celem było poszerzenie świadomości uczestników w temacie podatności, m.in. ich znajdowaniu i łataniu. Spotkanie zorganizowało GoCloud Polska.

Dwóch doświadczonych prawników z kancelarii Rymarz Zdort Maruta przedstawiło temat z prawnego punktu widzenia, opowiadając o zagrożeniach, wskazując co jest, a co nie jest przestępstwem. Następnie Krzysztof Zając z zespołu CERT Polska, twórca narzędzia Artemis, opowiedział o jego działaniu.

Do jakich informacji można dotrzeć dzięki Google hacking?

Zastosowanie zaawansowanych zapytań w wyszukiwarkach internetowych umożliwia pozyskiwanie informacji o charakterze poufnym, w tym danych osobowych, danych dotyczących działalności gospodarczej oraz informacji o infrastrukturze technicznej, podatności, np. informacje na temat wykorzystywania konretnychh technologii w podatnych wersjach.

W niektórych przypadkach takie działania mogą prowadzić do naruszenia przepisów prawa, w szczególności przepisów o ochronie danych osobowych oraz przepisów karnych.

Konkretne komendy i operatory Google hacking

Podstawowe operatory (“,*):

Cudzysłów: Precyzują wyszukiwanie, gwarantując, że wszystkie słowa w danej frazie muszą wystąpić w podanej kolejności.

Gwiazdka: Jest to tzw. „wildcard”, czyli znak zastępczy. Umożliwia wyszukiwanie różnych wariantów słowa, ale tylko na jego końcu. Ma ograniczenie do 100 wyników.

Operatory plików (filetype):

• filetype:pdf - wyszukiwanie plików PDF;
• filetype:docx - wyszukiwanie dokumentów Word;
• filetype:xlsx - wyszukiwanie arkuszy kalkulacyjnych Excel;
• intitle:index.of - wyszukiwanie indeksów katalogów, które mogą ujawniać strukturę plików na serwerze.

Operatory site:

• site:example.com - ograniczenie wyszukiwania do konkretnej domeny;
• site:.gov - wyszukiwanie po rządowych stronach;
• site:.edu - wyszukiwanie po stronach edukacyjnych.

Operatory związane z cache:

• cache:example.com - sprawdzenie zarchiwizowanej wersji strony.

Operatory związane z datą:

• intitle:index.of after:2023-01-01 - wyszukiwanie indeksów katalogów utworzonych po określonej dacie.

Inne:

• inurl: - wyszukiwanie określonego słowa w adresie URL
• intext: - wyszukiwanie określonego słowa w treści strony
• related: - wyszukiwanie stron podobnych do podanej
• AND – wyszukiwanie wiadomości, które zawierają dwa podane przez nas hasła, np. tajny AND raport.
• OR – wyszukiwanie wiadomości, które zawierają obydwa poszukiwane hasła lub przynajmniej jedno z nich, np. tajne OR ściśle tajne.
• NOT – wyszukiwanie wiadomości, które nie zawierają podanej frazy.

Przykładowe zapytania:

• filetype:docx "plan działania" intitle:"poufne" site:.gov - wyszukiwanie poufnych planów działania w dokumentach Word na stronach rządowych;
• intitle:index.of "backup" after:2022-01-01 - wyszukiwanie indeksów katalogów zawierających kopie zapasowe utworzonych po styczniu 2022 roku.

Na co zwraca się uwagę, szukając informacji?

Konfiguracja serwerów:

• Brak odpowiednich ograniczeń dostępu do katalogów;
• Niezabezpieczone panele administracyjne;
• Przestarzałe oprogramowanie.

Słabo zabezpieczone strony:

• Brak certyfikatów SSL;
• Iniekcje SQL;
• XSS (Cross-Site Scripting).

Wycieki danych:

• Fora internetowe;
• Pastebin;
• Dark Web.

Ochrona Przed Google hacking

Oto kilka praktycznych porad, które warto stosować:

• regularne aktualizacje oprogramowania;
• silne hasła i uwierzytelnianie dwuskładnikowe;
• ograniczenie uprawnień użytkowników;
• monitorowanie logów;
• szkolenia pracowników;
• korzystanie z narzędzi do skanowania podatności.

Aby uzyskać jak najbardziej naturalne wyniki wyszukiwania, pamiętaj o:

• neutralnym środowisku: Wyloguj się ze swojego konta Google przed rozpoczęciem wyszukiwania;
• spójności językowej: Upewnij się, że zarówno język przeglądarki, jak i całego systemu operacyjnego jest zgodny z językiem, w którym prowadzisz wyszukiwanie;
• maskowaniu lokalizacji: korzystając z VPN, możesz symulować wyszukiwanie z dowolnego miejsca na świecie.

Artemis - projekt, którego zadaniem jest wykrywanie podatności systemów internetowych

Artemis wspiera Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni (NASK) w realizacji obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa. W ramach prowadzonych działań, system ten regularnie przeprowadza skany bezpieczeństwa stron internetowych, które zgodnie z prawem podlegają nadzorowi NASK. Celem tych działań jest identyfikacja potencjalnych podatności i błędów konfiguracji.

W trakcie wydarzenia przedstawiciel zespołu CERT Polska zachęcał do zapoznania się z projektem, w formie zgłaszania swoich własnych rozwiązań. Główną myślą inicjatywy jest pomoc, a nie ukaranie właścicieli skanowanych podmiotów.

Krótko o tym, jak działa rozwiązanie: wprowadzone dane - adresy stron/domen (pojedyncze, bądź w formie listy: większy zbiór danych np. szkół podstawowych / szpitali) - są następnie analizowane pod kątem luk, błędów czy też przestarzałych podatnych wersji wtyczek i nadaje się im wagę. W zależności od powagi zagrożeń zautomatyzowane narzędzie wysyła właścicielom informację/propozycję zmian, oferując nierzadko pomoc w tym zakresie.

Co do czasu na wprowadzenie zmian poprawiających stan strony, jest on również zależny od jego powagi. Z reguły to rok - przy mniej groźnych nieprawidłowościach. Po upływie wyznaczonego czasu, Artemis przypomina o problemie.

Ważnym jest, aby pamiętać o bezpieczeństwie naszych danych - danych firmy, strony, spółki itp., nierzadko samo nadanie odpowiednich uprawnień oraz zmiany w kryteriach dostępu do nich nie jest wystarczające. Przy użyciu “zaawansowanego” wyszukiwania z łatwością osoba wtajemniczona jest w stanie dotrzeć do naprawdę imponujących danych, głównie tych, do których dostępu mieć nie powinna. W tym miejscu nasówa się myśl o granicy prawnej tego typu poczynań.

Granica prawna

Dobrze ilustrujący przykład padł z ust prawników. Mowa o kopercie: widząc, że koperta jest zaklejona, czyli w pewnym sensie zabezpieczona, oznacza to, iż czerpiąc z niej dane, czytając zawartość, naruszamy czyjąś prywatność. W momencie kiedy informacja jest na wyciągnięcie ręki, sama ukazuje się naszym oczom i nie widzimy na niej żadnego zabezpieczenia, bądź nie zdajemy sobie z niego sprawy, sytuacja wygląda inaczej.

Google hacking, choć może wydawać się niewinną zabawą dla ciekawskich, niesie ze sobą istotne implikacje prawne. Granica między legalnym wyszukiwaniem informacji, a nielegalnym działaniem jest często płynna i zależy od wielu czynników, takich jak:

• zamiar: czy celem wyszukiwania jest zdobycie informacji publicznych, czy też próba nieuprawnionego dostępu do danych?
• sposób wykorzystania informacji: czy zdobyte informacje są wykorzystywane do celów badawczych, dziennikarskich, czy też do działań przestępczych (np. wyłudzenia, szantażu)?
• ochrona danych osobowych: czy wyszukiwanie narusza przepisy o ochronie danych osobowych?
• prawa autorskie: czy wyszukiwanie prowadzi do naruszenia praw autorskich?

Kiedy Google hacking staje się nielegalne?

Poniżej znajdziecie sytuacje, w których Google Hacking narusza obowiązujące przepisy i zasady:

• nieuprawniony dostęp do systemów komputerowych: próba uzyskania dostępu do systemów komputerowych bez odpowiednich uprawnień, nawet jeśli odbywa się za pomocą wyszukiwarki, jest przestępstwem;
• naruszenie prywatności: zbieranie i wykorzystywanie danych osobowych bez zgody ich właściciela jest naruszeniem prawa;
• szkodzenie innym: wykorzystanie informacji zdobytych za pomocą Google Hacking do szkodzenia innym osobom lub organizacjom jest karalne;
• naruszenie praw autorskich: kopiowanie lub rozpowszechnianie chronionych danych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].