miércoles, 5 de marzo de 2008

Goolag, herramienta de chequeo de vulnerabilidades usando Google

Schneier se hace eco del anuncio por parte del grupo de hacking "Cult of the Dead Cow (cDc)" de la herramienta de chequeo de vulnerabilidades Goolag.


cDc logró su mayor notoriedad por el famoso Back Orifice que fue clasificado por los fabricantes de antivirus como un caballo de Troya.

La idea de Goolag es sencilla, utilizar Google para hacer Google hacking.

Para ello, utiliza la potencialidad de los nuevos servicios de "custom Google". La herramienta permite a los usuarios con conocimientos fundamentales de programación, auditar sitios web o dominios de Internet, para localizar vulnerabilidades que podrían ser explotadas. Cuando se ejecuta, permite utilizar a Google para buscar vulnerabilidades en los dominios o sitios que el usuario desee. Lo hace enviando ataques simulados, de acuerdo a una base de datos de múltiples exploits. El programa de código abierto cuenta con alrededor de 1500 consultas de búsqueda de Google personalizado embebido por defecto para ejecutar búsquedas vulnerables de las aplicaciones Web, erróneas de los servidores Web con puertas traseras abiertas, sensibles nombres de usuario y contraseñas, y otros documentos expuestos accidentalmente en la Internet.

La herramienta es de código abierto, de tal modo que no es improbable que muy pronto estemos viendo usos maliciosos de la misma.

Aunque el blog de Schneier no lo recoge, Google ha tratado de poner freno a este uso/abuso del buscador que realiza el escaner de vulnerabilidades. Según recoge Laflecha.net, después de intentar corroborar algunas de ellas, la dirección IP del solicitante es bloqueada por el propio sitio de Google, con un mensaje como el que muestra la imagen.


Después de ello, tanto para continuar con cada una de las pruebas, como para realizar cualquier nueva búsqueda en Google, es necesario ingresar una clave mostrada en una imagen (o sea un "captcha").

2 comentarios:

Juan Ignacio dijo...

Sin haber entrado a los sitios referenciados y, por tanto, no habiéndolos probado (ni tampoco haber leido el artículo original de Schneier ni sus comentarios).

¿Quién nos dice que el código fuente publicado coincide con las pruebas realizadas?
¿Quien nos dice que dicho buscador de vulnerabilidades no "registra" aquellos que sitios que lo son y luego dicha información es utilizada para atacarlos (es decir, combina tecnología con técnicas sociales: aquellos usuarios/administradores con pocos conocimientos y poco confiados de la seguridad de su sistema, y por tanto con posibilidades reales de que sea inseguro, se ven tentados a realizar el test y lo que harían es decir en voz alta "Eh, que mi sistema es hackeable!").

Ojo, que no digo que sea así: simplemente planteo hasta que punto puede ser seguro/inseguro pasar estos tests on-line (repito, no este en particular, no acuso a nadie; simplemente, plantear como en seguridad debemos ir con la duda por delante y no confiar ciegamente en nadie).

Javier Cao Avellaneda dijo...

Iba a terminar mi post anterior con una pregunta respecto a la paradoja que se genera al ofrecer un grupo de hacking una herramienta de busqueda de vulnerabilidades. ¿Cómo fiarnos de una herramienta que suministra información tan sensible cuando es proporcionada por un grupo de expertos que saben aprovechar esta información? ¿Ponemos al lobo a vigilar nuestros corderos?
Dado cómo se las gastan algunos cuando reciben comentarios críticos como el caso "Genbeta" consultable en http://www.filmica.com/port666/archivos/007273.html, finalmente acabé reprimiendome.

 
;