rycke enviou: Crackers usam Google para obter dados sigilosos



Crackers descobriram uma ferramenta muito útil para obter controle de contas bancárias, invadir redes corporativas e vasculhar documentos confidenciais de governos: o Google. O mecanismo de busca mais popular da Internet pode encontrar qualquer coisa num piscar de olhos, mas também pode ser usado para encontrar páginas com números de cartões de crédito e maneiras para invadir bancos de dados protegidos.
O Google e outros mecanismos de buscas criam um arquivo das páginas ligadas à World Wide Web por meio de um processo automatizado que pode recuperar documentos obscuros que não são direcionados ao público. "Se você não quer que o mundo veja, mantenha fora da Web", disse Johnny Long, um pesquisador da Computer Sciences Corp e autor do livro Google Hacking for Penetration Testers.

Diferente de outras técnicas de invasão, usar o Google não exige um software especial ou grande conhecimento de código de programação. Em uma conferência recente sobre hackers nos Estados Unidos, Long demonstrou resultados de dezenas de buscas bem feitas que surpreendem.

Usando o Google, usuários mal intencionados podem facilmente encontrar números de cartões de crédito e de contas bancárias e outras informações pessoais perdidas em documentos judiciais, relatórios de despesas e sites escolares que contêm tais informações.

Os crackers do Google podem baixar documentos do Departamento de Segurança Interna dos Estados Unidos classificados como "para uso oficial somente".

Eles podem conseguir controle sobre impressoras conectadas em redes de escritórios, telefones que fazem chamadas pela Internet e outros aparelhos controlados por interfaces Web, incluindo sistemas de energia elétrica. "Uma pesquisa no Google e alguns botões é o suficiente para desligar a energia de uma casa", disse Long.

Espiões podem descobrir as senhas e os nomes de usuários necessários para acessar uma rede corporativa ou encontrar computadores mal configurados que usam senhas padrão.

Uma busca por mensagens de erro também pode fornecer importantes pistas para intrusos. Um recurso do Google permite que os usuários acessem páginas antigas de um site. Tais páginas, conhecidas como "cache", podem se transformar em falhas de segurança mesmo depois de terem sido reparadas. Elas podem permitir que um invasor vasculhe uma rede sem deixar vestígios.

É impossível dizer quão freqüentemente o Google é usado para fins malignos. Mas o recente surgimento de pragas eletrônicas que se espalham usando o mecanismo de busca sugere que o Google vem sendo usado por crackers há anos, afirmou Long.

O especialista afirmou que o Google não deve ser responsabilizado pela eficiência de seu mecanismo de busca, porém, acha que a companhia deveria dar o alarme quando percebe atividade suspeita.

"O Google remove conteúdo de resultados sob circunstâncias muito limitadas", afirmou o porta-voz da empresa em e-mail. Ele citou casos de páginas retiradas que continham pornografia infantil, números de cartões de crédito e outras informações pessoais ou material protegido por direitos autorais sendo pirateado. Conforme as ameaças crescem, especialistas em segurança estão aprimorando métodos de pesquisas para ter certeza que seus sistemas estão seguros.

O site de Long (http://johnny.ihackstuff.com) tem coletados mais de mil tipos de pesquisas que podem descobrir falhas, e os programas gratuitos da Foundstone e da SensePost podem executar estas buscas automaticamente.

"A coisa mais prática que eu posso recomendar às pessoas é ter certeza sobre qual é a sua presença no Google. Companhias e mesmo indivíduos deveriam estar alertas para o que pode aparecer" quando fazem uma pesquisa com seus nomes, afirmou Long.

fonte: www.terra.com.br