Nos encontramos ante una nueva herramienta imprescindible en la caja de herramientas de los profesionales de seguridad.
Desde hace ya un tiempo, en varios weblogs especializados en temas de seguridad, se ha comentado que algunos de los parámetros avanzados de búsqueda disponibles en Google son especialmente útiles para identificar las fugas de información provocadas por páginas que nunca deberían ser accesibles desde Internet.
Un ejemplo clásico consiste en utilizar los parámetros inurl: e intitle: para identificar los archivos de contraseñas (/etc/passwd y /etc/shadow) de los sistemas Unix.
Recientemente FoundStone ha publicado una herramienta gratuita, SiteDigger, que permite automatizar este proceso e identificar cualquier información sensible almacenada dentro de Google, para un dominio de Internet en concreto.
En su configuración por defecto, SiteDigger realiza búsquedas dentro de Google de páginas que revelen archivos históricos (como bash_history o .sh_history), archivos de contraseñas (.htpasswd, /etc/shadow y similares), páginas de administración de dispositivos o aplicaciones, documentos Excel que contienen contraseñas, páginas por defecto de servidores web, mensajes de error (algunos de los cuales incluyen información de las credenciales del usuario que lo ha provocado), errores en consultas SQL, expresiones mal construidas, servicios de administración remota, vulnerabilidades conocidas…
También permite identificar archivos que comprometan la privacidad (registro de actividad, archivos log, estadísticas, datos financieros…).
SiteDigger realiza las consultas a partir de un archivo de firmas, permitiendo seleccionar las búsquedas que se desean realizar. El archivo de firmas es actualizable para incluir nuevas opciones de búsqueda.
SiteDigger es una aplicación Windows (requiere el framework .NET, que puede instalarse a través de Windows Update) y utiliza la API de Google para automatizar la búsqueda de información sensible. Para acceder a esta API es preciso disponer de una licencia, que puede solicitarse de forma gratuita.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…