Technologie
#CyberMagazyn: Zaawansowane funkcje wyszukiwarki Google. Oto co powinieneś wiedzieć
Czy wiesz, że za pomocą kilku prostych słów możesz odkryć więcej informacji na temat dowolnej strony internetowej, niż chcieliby tego jej właściciele? Wyszukiwarka Google skrywa w sobie arsenał zaawansowanych funkcji, które w rękach bardziej doświadczonego użytkownika mogą stać się potężną bronią. Techniki te są znane jako Google hacking.
26 sierpnia w biurze Google Polska odbyło się spotkanie „Hackbreakers’ Meetup 24x04”, którego celem było poszerzenie świadomości uczestników w temacie podatności, m.in. ich znajdowaniu i łataniu. Spotkanie zorganizowało GoCloud Polska.
Dwóch doświadczonych prawników z kancelarii Rymarz Zdort Maruta przedstawiło temat z prawnego punktu widzenia, opowiadając o zagrożeniach, wskazując co jest, a co nie jest przestępstwem. Następnie Krzysztof Zając z zespołu CERT Polska, twórca narzędzia Artemis, opowiedział o jego działaniu.
Czytaj też
Do jakich informacji można dotrzeć dzięki Google hacking?
Zastosowanie zaawansowanych zapytań w wyszukiwarkach internetowych umożliwia pozyskiwanie informacji o charakterze poufnym, w tym danych osobowych, danych dotyczących działalności gospodarczej oraz informacji o infrastrukturze technicznej, podatności, np. informacje na temat wykorzystywania konretnychh technologii w podatnych wersjach.
W niektórych przypadkach takie działania mogą prowadzić do naruszenia przepisów prawa, w szczególności przepisów o ochronie danych osobowych oraz przepisów karnych.
Konkretne komendy i operatory Google hacking
Podstawowe operatory (“,*):
Cudzysłów: Precyzują wyszukiwanie, gwarantując, że wszystkie słowa w danej frazie muszą wystąpić w podanej kolejności.
Gwiazdka: Jest to tzw. „wildcard”, czyli znak zastępczy. Umożliwia wyszukiwanie różnych wariantów słowa, ale tylko na jego końcu. Ma ograniczenie do 100 wyników.
Operatory plików (filetype):
- filetype:pdf - wyszukiwanie plików PDF;
- filetype:docx - wyszukiwanie dokumentów Word;
- filetype:xlsx - wyszukiwanie arkuszy kalkulacyjnych Excel;
- intitle:index.of - wyszukiwanie indeksów katalogów, które mogą ujawniać strukturę plików na serwerze.
Operatory site:
- site:example.com - ograniczenie wyszukiwania do konkretnej domeny;
- site:.gov - wyszukiwanie po rządowych stronach;
- site:.edu - wyszukiwanie po stronach edukacyjnych.
Operatory związane z cache:
- cache:example.com - sprawdzenie zarchiwizowanej wersji strony.
Operatory związane z datą:
- intitle:index.of after:2023-01-01 - wyszukiwanie indeksów katalogów utworzonych po określonej dacie.
Inne:
- inurl: - wyszukiwanie określonego słowa w adresie URL
- intext: - wyszukiwanie określonego słowa w treści strony
- related: - wyszukiwanie stron podobnych do podanej
- AND – wyszukiwanie wiadomości, które zawierają dwa podane przez nas hasła, np. tajny AND raport.
- OR – wyszukiwanie wiadomości, które zawierają obydwa poszukiwane hasła lub przynajmniej jedno z nich, np. tajne OR ściśle tajne.
- NOT – wyszukiwanie wiadomości, które nie zawierają podanej frazy.
Przykładowe zapytania:
- filetype:docx "plan działania" intitle:"poufne" site:.gov - wyszukiwanie poufnych planów działania w dokumentach Word na stronach rządowych;
- intitle:index.of "backup" after:2022-01-01 - wyszukiwanie indeksów katalogów zawierających kopie zapasowe utworzonych po styczniu 2022 roku.
Czytaj też
Na co zwraca się uwagę, szukając informacji?
Konfiguracja serwerów:
- Brak odpowiednich ograniczeń dostępu do katalogów;
- Niezabezpieczone panele administracyjne;
- Przestarzałe oprogramowanie.
Słabo zabezpieczone strony:
- Brak certyfikatów SSL;
- Iniekcje SQL;
- XSS (Cross-Site Scripting).
Wycieki danych:
- Fora internetowe;
- Pastebin;
- Dark Web.
Ochrona Przed Google hacking
Oto kilka praktycznych porad, które warto stosować:
- regularne aktualizacje oprogramowania;
- silne hasła i uwierzytelnianie dwuskładnikowe;
- ograniczenie uprawnień użytkowników;
- monitorowanie logów;
- szkolenia pracowników;
- korzystanie z narzędzi do skanowania podatności.
Aby uzyskać jak najbardziej naturalne wyniki wyszukiwania, pamiętaj o:
- neutralnym środowisku: Wyloguj się ze swojego konta Google przed rozpoczęciem wyszukiwania;
- spójności językowej: Upewnij się, że zarówno język przeglądarki, jak i całego systemu operacyjnego jest zgodny z językiem, w którym prowadzisz wyszukiwanie;
- maskowaniu lokalizacji: korzystając z VPN, możesz symulować wyszukiwanie z dowolnego miejsca na świecie.
Czytaj też
Artemis - projekt, którego zadaniem jest wykrywanie podatności systemów internetowych
Artemis wspiera Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni (NASK) w realizacji obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa. W ramach prowadzonych działań, system ten regularnie przeprowadza skany bezpieczeństwa stron internetowych, które zgodnie z prawem podlegają nadzorowi NASK. Celem tych działań jest identyfikacja potencjalnych podatności i błędów konfiguracji.
W trakcie wydarzenia przedstawiciel zespołu CERT Polska zachęcał do zapoznania się z projektem, w formie zgłaszania swoich własnych rozwiązań. Główną myślą inicjatywy jest pomoc, a nie ukaranie właścicieli skanowanych podmiotów.
Krótko o tym, jak działa rozwiązanie: wprowadzone dane - adresy stron/domen (pojedyncze, bądź w formie listy: większy zbiór danych np. szkół podstawowych / szpitali) - są następnie analizowane pod kątem luk, błędów czy też przestarzałych podatnych wersji wtyczek i nadaje się im wagę. W zależności od powagi zagrożeń zautomatyzowane narzędzie wysyła właścicielom informację/propozycję zmian, oferując nierzadko pomoc w tym zakresie.
Co do czasu na wprowadzenie zmian poprawiających stan strony, jest on również zależny od jego powagi. Z reguły to rok - przy mniej groźnych nieprawidłowościach. Po upływie wyznaczonego czasu, Artemis przypomina o problemie.
Ważnym jest, aby pamiętać o bezpieczeństwie naszych danych - danych firmy, strony, spółki itp., nierzadko samo nadanie odpowiednich uprawnień oraz zmiany w kryteriach dostępu do nich nie jest wystarczające. Przy użyciu “zaawansowanego” wyszukiwania z łatwością osoba wtajemniczona jest w stanie dotrzeć do naprawdę imponujących danych, głównie tych, do których dostępu mieć nie powinna. W tym miejscu nasówa się myśl o granicy prawnej tego typu poczynań.
Granica prawna
Dobrze ilustrujący przykład padł z ust prawników. Mowa o kopercie: widząc, że koperta jest zaklejona, czyli w pewnym sensie zabezpieczona, oznacza to, iż czerpiąc z niej dane, czytając zawartość, naruszamy czyjąś prywatność. W momencie kiedy informacja jest na wyciągnięcie ręki, sama ukazuje się naszym oczom i nie widzimy na niej żadnego zabezpieczenia, bądź nie zdajemy sobie z niego sprawy, sytuacja wygląda inaczej.
Google hacking, choć może wydawać się niewinną zabawą dla ciekawskich, niesie ze sobą istotne implikacje prawne. Granica między legalnym wyszukiwaniem informacji, a nielegalnym działaniem jest często płynna i zależy od wielu czynników, takich jak:
- zamiar: czy celem wyszukiwania jest zdobycie informacji publicznych, czy też próba nieuprawnionego dostępu do danych?
- sposób wykorzystania informacji: czy zdobyte informacje są wykorzystywane do celów badawczych, dziennikarskich, czy też do działań przestępczych (np. wyłudzenia, szantażu)?
- ochrona danych osobowych: czy wyszukiwanie narusza przepisy o ochronie danych osobowych?
- prawa autorskie: czy wyszukiwanie prowadzi do naruszenia praw autorskich?
Kiedy Google hacking staje się nielegalne?
Poniżej znajdziecie sytuacje, w których Google Hacking narusza obowiązujące przepisy i zasady:
- nieuprawniony dostęp do systemów komputerowych: próba uzyskania dostępu do systemów komputerowych bez odpowiednich uprawnień, nawet jeśli odbywa się za pomocą wyszukiwarki, jest przestępstwem;
- naruszenie prywatności: zbieranie i wykorzystywanie danych osobowych bez zgody ich właściciela jest naruszeniem prawa;
- szkodzenie innym: wykorzystanie informacji zdobytych za pomocą Google Hacking do szkodzenia innym osobom lub organizacjom jest karalne;
- naruszenie praw autorskich: kopiowanie lub rozpowszechnianie chronionych danych.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].