Le Hacking via Google
description
Transcript of Le Hacking via Google
Le Hacking via GoogleMedIT Maroc – 2012
Par Mohammad Asgarally – CISA, CISM, CISSP, CGEIT,CRISC, C|CISO, ACCA, ITILv3, ISO27001 LA, PRINCE2
STAND 46
Copyright ©
Agenda
C’est quoi « Google Hacking? »Les codes avancésLe balayage de GoogleDémonstrationLes risques de GoogleLes méthodes de protection
Copyright ©
C’est quoi « Google Hacking »?
Est une technique de recherche d’information pour un piratage éventuel
Utilise le moteur de recherche Google pour trouver des failles de sécurité sur des sites ou autres applications exposés à l’internet
Utilise des codes avancés dans le moteur de recherche
Copyright ©
Les codes avancés
Copyright ©
Le balayage de Google
Le balayage de net est exécuté par les « araignées » de Google (Google Spiders) – des logiciels spécialisés qui répertorie l’internet
La fréquence du balayage dépend: De la réputation du site Le nombres de liens qui pointent vers le sites Différent autres paramètres
Copyright ©
DÉMONSTRATION
Copyright ©
Code: inurl:"cgi-bin/webcgi/main”
Objectif: Trouver des “DELL Remote Access card” publié sur le net
Copyright ©
Résultat:
• Interface de login sur un serveur
• La société n’a pas mis de URL pensant qu’une adresse IP sera difficile à trouver
• Plus d’enquête (utilisant netcraft) révèle que le site appartient à un fournisseur de serveur cloud et ils utilisent des serveurs DELL
Copyright ©
Risques:
• Attaque automatisé en utilisant un outil tel que « Hydra » pour trouver l’identifiant et le mot de passe
Copyright ©
Code: inurl:"passes" OR inurl:"passwords" OR inurl:"credentials" -search -download -techsupt -git -games -gz -bypass -exe filetype:txt @yahoo.com OR @gmail OR @hotmail OR @rediff
Objectif: Trouver les fichiers d’identifiants et de mots de passe hébergé par des pirates sur le net
Copyright ©
Résultat:
• Des fichiers texte non-protégé• Généralement hébergé ou mis
en ligne par des pirates
Copyright ©
Code: "#-Frontpage-" inurl:administrators.pwd
Objectif: Trouver des fichiers contenant des mots de passe pour les serveurs utilisant “Frontpage”
Copyright ©
Résultat:
• Des fichiers text contenant des mots de passe encryptés utilisé par des serveurs ayant « Frontpage »
Risques:• Le décodage du mot de passe
est possible en utilisant des outils
Copyright ©
Code: intitle:"hp laserjet" inurl:info_configuration.htm
Objectif: Trouver des imprimantes HP connectés au net
Copyright ©
Résultat:
• Accès à des imprimantes exposé au net dû à:• Mauvaise configuration des pare-
feux• Publication des imprimantes en
utilisant le NAT (Network Address Translation)
Risques:• Laissez libre cours à votre imagination
Copyright ©
Code: intitle:"Netcam" intitle:"user login"
Objectif: Trouver des camera publiés en ligne
Copyright ©
Résultat:
• Accès à des camera connecté aux net dû à:• Mauvaise configuration des pare-
feux• Publication des camera• Faible mots de passe
Risques:• Laissez libre cours à votre imagination
Copyright ©
Code: intitle:"netbotz appliance" -inurl:.php -inurl:.asp -inurl:.pdf -inurl:securitypipeline -announces
Objectif: Trouver des systèmes Netbotz couramment utilisé pour la surveillances de la température,, humidité, etc. avec caméra dans des salle de serveurs.
Copyright ©
Résultat:
• Accès à des systèmes de surveillance Netbotz dû à:• Mauvaise configuration des pare-
feux• Publication des systèmes• Faible mots de passe
Risques:• Laissez libre cours à votre
imagination
Copyright ©
Résultat:
• Accès à des systèmes de surveillance Netbotz dû à:• Mauvaise configuration des pare-
feux• Publication des systèmes• Faible mots de passe
Risques:• Laissez libre cours à votre
imagination
Copyright ©
Résultat:
• Accès à des systèmes de surveillance Netbotz dû à:• Mauvaise configuration des pare-
feux• Publication des systèmes• Faible mots de passe
Risques:• Laissez libre cours à votre
imagination
Copyright ©
Les risques de Google
Google – moteur de recherche très puissantRisque de la découverte des liens ou des pages web
confidentiel par GoogleAspects légaux – 3 questions:
Est-ce que faire cette recherche sur Google est illégal? NON.
Est-ce que l’accès aux systèmes non-autorisés est illégal? OUI et NON.
Est-ce que mettre un avertissement avant l’accès est important? ABSOLUMENT.
Copyright ©
Les méthodes de protection
Vérifiez le contenu de sites web – éliminez ce don’t vous n’avez pas besoin
Lisez la section pour les webmasters sur le site de Google pour apprendre à se protéger
Utilisez le fichiers robots.txt pour définir les exclusions
Patchez vos systèmesMettez des mots de passe sécurisésFaîtes valider le contenu par un expert en
communication pour éviter les « inference attacks »
Merci !Visitez nous au Stand No. 46
www.intellektra.com