Información crítica expuesta utilizando Google Hacking

Si los administradores no realizan una buena gestión, pueden exponer información confidencial relacionada con datos críticos de servicios y aplicaciones de servidor, por terceras personas desde buscadores web.

El problema que se plantea es sobre un panel web específico donde se genera un archivo conteniendo información sensible que podía ser utilizada por un atacante para ingresar al propio panel.

Se ha descubierto que usando búsquedas específicas en Internet, podemos acceder a información confidencial. 

En la imagen podemos ver datos del tipo usuario/contraseña de distintos sitios en formato XLS (plantillas):

En el caso anterior se han obtenido resultados que nos mostraron archivos en formato XLS que tienen información confidencial del tipo usuario y contraseña, o cualquier otro tipo de dato crítico. Algunos de estos están en servidores web y los administradores piensan que no los verá nadie. Pero los buscadores indexan la información de modo recursivo quedando pública y accesible a partir de filtros  específicos. Muchas herramientas utilizadas en servidores web generan reportes u archivos de forma automática que contienen información sensible. A modo de ejemplo, un caso específico puede ser el de ciertas herramientas que trabajan sobre el protocolo FTP (puerto por defecto 21) o el protocolo SSH (puerto por defecto 22), donde es posible visualizar el nombre de usuario y contraseña correspondiente a una gran cantidad de sitios web. A continuación se adjunta una captura con los resultados de una búsqueda específica:

Si se accede a alguno de los resultados, se pueden ver usuarios y contraseñas de acceso de los protocolos:

Es importante que este tipo de información sea contemplada a la hora de utilizar herramientas que dispongan de estas características.

¿Que medidas se pueden tomar para evitar el acceso a información confidencial?

En el caso que se utilicen planillas u otro tipo de archivos con información sensible dentro de un servidor web, en la medida de lo posible, no se debe alojar en directorios del servidor web de forma pública. Distinto es el caso si estos archivos sólo son accesibles por ciertas personas, donde el acceso debe realizarse a través de un mecanismo de validación. Otra alternativa es alojarlo en directorios privados, donde no sean indexados por los crawlers (robots) de los buscadores.

En el caso de los reportes o archivos generados automáticamente por distintas herramientas, se debe tener en cuenta previamente esta característica. Si no es necesario disponer de dichos archivos de reportes, es recomendable desactivar esa funcionalidad para evitar que los mismos queden accesibles por terceros accidentalmente. Si se deben disponer de estos archivos, se debe contemplar que los datos sean guardados en locaciones seguras y no públicas.

Este tipo de incidentes no es algo nuevo pero existe la posibilidad de evitarlos. Es por esto que la seguridad debe ser gestionada. Desde ESET Latinoamérica contamos con nuestra unidad de ESET Security Services, desde donde brindamos servicios orientados a la auditoría de seguridad, estableciendo una forma evaluar cuál es el estado actual de la misma y proponer un plan de acción correctivo.