Google Te Ayuda a Hackear




Los hackers suelen usar software ilegal para acceder a la información privada que reside en la Red o en las redes informáticas privadas. Pero el último as que acaban de sacar de la manga es una herramienta que todos los usuarios de la Web conocen muy bien: Google. ¿Para qué tomarse la molestia de arremeter contra un sitio web en busca de vulnerabilidades que hayan pasado inadvertidas cuando se puede entrar con toda comodidad por la puerta delantera? Es lo que muchos hackers acaban de hacer con la ayuda de Google, que les simplificó la tarea de caer sobre sus objetivos.
"Google, correctamente potenciado, tiene más potencial de intrusión que cualquier herramienta de hackeo", expresó el hacker Adrian Lamo, que hace poco dio la voz de alarma.
Estas intrusiones se pueden realizar gracias a que existen bases de datos con conexión a Internet. Como las herramientas de gestión de bases de datos utilizan plantillas (templates) estandarizadas para presentar los datos en la Red, al ingresar ciertas frases específicas el usuario muchas veces puede acceder directamente a las páginas que utilizan esas plantillas. Por ejemplo, al ingresar la frase "Select a database to view" (seleccionar una base de datos para ver) -una fase habitual en la interfaz de base de datos FileMaker Pro- en el Google, se obtuvieron alrededor de 200 links, de los cuales casi todos conducían a bases de datos creadas con FileMaker a las que se puede acceder online. En algunos pocos casos, las bases de datos contenían información confidencial. Una de ellas contenía las direcciones, los números de teléfono y las biografías detalladas de cientos de docentes afiliados a Apple Computer. También incluía el nombre de usuario y la contraseña de cada docente. Esta base de datos no estaba protegida por ningún sistema de seguridad. Otra búsqueda nos llevó a una página de la Facultad de Medicina de la Universidad Drexel, que contenía un enlace a una base de datos en la que constaban 5.500 legajos de los pacientes de neurocirugía de esa facultad. En estas historias clínicas constaba la dirección y el número de teléfono del paciente, junto con un registro detallado de las enfermedades que había padecido y los tratamientos que le habían sido administrados. Una vez que Google conduce al visitante a la página, el hacker no tiene más que tipear un nombre de usuario y una contraseña idénticos (en pocas palabras, el nombre de la base de datos) para poder acceder a esa información. El acceso web a ambas bases de datos se había logrado con el FileMaker Pro Web Companion, un componente de la aplicación FileMaker Pro, que cuesta 299 dólares y está dirigida principalmente a los usuarios que recién se inician en el tema. De acuerdo con lo expresado por FileMaker, el Web Companion "convertirá una base de datos de usuario único en una solución en red para usuarios múltiples en un solo paso... Los usuarios autorizados podrán buscar, editar, borrar y actualizar los registros con los buscadores web más populares". Apple no respondió a los llamados de la prensa, pero la base de datos de los docentes aparentemente fue sacada de Internet el viernes por la tarde.
La Universidad Drexel cerró de inmediato su base de datos cuando se le informó acerca de la vulnerabilidad que la afectaba. Linda Roth, vocera de la institución educativa, señaló que las autoridades de la universidad no tenían conocimiento de que esa información estuviera online, ya que no era un sitio autorizado. El decano de Drexel también envió un memo a todos los empleados reiterando la política de esa universidad en contra de las bases de datos no autorizadas. Esta institución educativa va a revisar su red para asegurarse de que ninguna otra base de datos haya sido publicada en Internet, señaló Roth. Un vocero de FileMaker señaló que esa empresa hace todo lo que está a su alcance para que los usuarios tomen conciencia de los problemas de seguridad.
"Somos sumamente conscientes de la seguridad y de lo necesaria que es", expresó Kevin Mallon. "Publicamos informes de seguridad y actualizaciones de software en nuestro sitio, y enviamos a nuestros usuarios registrados notificaciones en las que les informamos acerca de la necesidad de implementar medidas de seguridad". Mallon señaló, no obstante, que la configuración de los derechos de acceso y la selección de las contraseñas adecuadas en última instancia es responsabilidad del usuario. "Estamos constantemente recalcándoles a nuestros usuarios que deben ser concientes del grado de exposición que desean -o, aún más importante, del grado de exposición que no desean- que tengan las bases de datos que publican en la Red", Con respecto a la vulnerabilidad de la base de datos de la Universidad Drexel, Fred Langston, consultor principal de Guardent, una empresa que brinda servicios de seguridad informática, señaló que ese incidente puede hacerse debido en parte a que esa clase de instituciones por lo general promueven la apertura en lo que al intercambio de conocimientos se refiere. "Hemos trabajado mucho en universidades y en hospitales universitarios, y es el ámbito donde más cuesta imponer normas de seguridad, porque tienden a tener un modelo de intercambio de información abierto", señaló Langston. "Eso hace que sea muy difícil imponer restricciones a los datos: en un entorno de enseñanza, así es como la gente adquiere y amplía sus conocimientos". "Y aunque (la vulnerabilidad) no hubiera sido expuesta a través de Google, en algún momento hubiera quedado expuesta igual".
El vocero de Google señaló que la empresa tiene conocimiento de la situación, y que brinda herramientas que permiten a los webmasters (administradores web) eliminar del índice del Google la información publicada inadvertidamente en un lapso de aproximadamente 24 horas. En este momento están trabajando en el desarrollo de herramientas que permitirán eliminar estos datos aún con mayor celeridad. Pero eliminar los links después de que se ha producido un incidente no es una solución muy elegante, expresó Lamo.
"Cuando tu historia clínica aparece en el índice de Google, hay algo que anda mal".
Por:Christopher Null
Nota:
Por ejemplo si usas lo siguiente:
1 - www.google.com
2 - Buscar
"Index of /admin" + passwd
o
"Index of /wwwboard" + passwd
o
"Index of /backup" + mdb
Veras grandes resultados.!


Otras artículos de interés:

Crear un LiveCD de tu Ubuntu
En el sitio LinuxZone encontre un interesante artículo que muestra como hacer un LiveCd de nuestro Ubuntu. Para instalarlo ingresamos al sitio: ...
Actualizar al Kernel 3.10 en Ubuntu / LinuxMint
Entre las novedades más llamativas de este Kernel: Timerless multitasking Bcache, a block layer cache for SSD caching Btrfs: smaller, more space-efficient extent tree ...
Los Spyware: Troyanos del lado de la empresa
Siempre han existido, pero ahora se empiezan a publicitar con eufemismos como software de monitorización, software para el control parental o software para el control de la productividad. Se trata del, llamado abiertamente, Spyware: software para e...
¿Por qué se bloquean las cuentas de Windows?
Esta situación constituye, según Microsoft, uno de los problemas más difíciles de diagnosticar y resolver en un ambiente corporativo de redes. Determinar cual puede ser la causa que origine los bloqueos de cuentas de usuarios en un ambiente de re...
Navega usando la consola en Debian - Ubuntu - Xanadu
No es que sea lo mejor y más atractivo navegar por nuestros sitios web acostumbrados en modo texto, pero pordía ser divertido e interesante ver de otra forma la web. Links es un navegador web en modo gráfico y en modo de texto, parecido...
Ver vídeos en formato H.264, MP3 y AAC en Vivaldi (Linux)
Vivaldi Browser es uno de los navegadores más rápidos en la actualidad. Esta basado en Chrome (Pueden ser instalados todas las extensiones que usa Chrome). Pero adolece que por lo meos en Linux los videos que se muestran en Facebook, I...
Cómo diseñar un sitio web exitosa!!!
Cualquier persona puede construir un sitio web; sin embargo, no todo el mundo puede construir un sitio web capaz de generar dinero. Un diseñador debe dedicarle mucho tiempo a establecer cuál va a ser el propósito de su página y cómo van a inter...
Instalar tipos de letras (Font) en Linux - Debian | LinuxMint | Xanadu
Todas la distribuciones derivadas de Debian poseen fuentes (Fonts) preinstaladas, ocasionalmente algunas no son instaladas por default aún de ser necesarias por ser privativas, tal es el caso de Microsoft TrueType. ...
Instalar Songbird en Ubuntu
Songbird es un reproductor multimedia. Está basado en la plataforma XULRunner de Mozilla, por lo cual dispone de versiones para Mac OS X y Windows. El motor principal del programa, mig, ha revelado que Songbird utiliza el plugin de...
Nmap en el Punto de Mira
Este texto es extraído de la e-revista SET37 de Saqueadores Ediciones Técnicas (http://www.set-ezine.org) donde explican el uso de ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ayuda
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • google
  • gpl
  • gtk
  • hack
  • hackear
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra