Evaluar las fugas de información con SiteDigger
FoundStone publica una herramienta gratuita que permite buscar en Google la información sensible divulgada de una forma accidental.
Nos encontramos ante una nueva herramienta imprescindible en la caja de herramientas de los profesionales de seguridad.
Desde hace ya un tiempo, en varios weblogs especializados en temas de seguridad, se ha comentado que algunos de los parámetros avanzados de búsqueda disponibles en Google son especialmente útiles para identificar las fugas de información provocadas por páginas que nunca deberían ser accesibles desde Internet.
Un ejemplo clásico consiste en utilizar los parámetros inurl: e intitle: para identificar los archivos de contraseñas (/etc/passwd y /etc/shadow) de los sistemas Unix.
Recientemente FoundStone ha publicado una herramienta gratuita, SiteDigger, que permite automatizar este proceso e identificar cualquier información sensible almacenada dentro de Google, para un dominio de Internet en concreto.
En su configuración por defecto, SiteDigger realiza búsquedas dentro de Google de páginas que revelen archivos históricos (como bash_history o .sh_history), archivos de contraseñas (.htpasswd, /etc/shadow y similares), páginas de administración de dispositivos o aplicaciones, documentos Excel que contienen contraseñas, páginas por defecto de servidores web, mensajes de error (algunos de los cuales incluyen información de las credenciales del usuario que lo ha provocado), errores en consultas SQL, expresiones mal construidas, servicios de administración remota, vulnerabilidades conocidas…
También permite identificar archivos que comprometan la privacidad (registro de actividad, archivos log, estadísticas, datos financieros…).
SiteDigger realiza las consultas a partir de un archivo de firmas, permitiendo seleccionar las búsquedas que se desean realizar. El archivo de firmas es actualizable para incluir nuevas opciones de búsqueda.
SiteDigger es una aplicación Windows (requiere el framework .NET, que puede instalarse a través de Windows Update) y utiliza la API de Google para automatizar la búsqueda de información sensible. Para acceder a esta API es preciso disponer de una licencia, que puede solicitarse de forma gratuita.