Google Hacks

1  ¿Qué son los Google Hacks?

Los Google Hacks son un conjunto de herramientas que permiten realizar consultas y explorar la gran capacidad de almacenamiento de información de Google, buscando información específica que ha sido añadida a las bases de datos del buscador. Si las búsquedas las orientamos a ciertas palabras clave que nos ayuden a encontrar información sensible, puntos de entrada a posibles ataques, o cualquier otro tipo de información relacionada nos encontramos ante otra fuente de información para atacantes muy potente.

2  Ejemplos y usos de los Google Hacks

Los Google Hacks están disponibles para cualquier persona desde esta web:

http://www.googleguide.com/using_advanced_operators.html

En ella figuran todos los comandos y cómo se pueden usar los mismos. Debido a su extensión, únicamente se han incluido algunos ejemplos de uso de los mismos para mostrar cómo recolectar fácilmente información detallada de sitios webs con sólo una búsqueda y sin infringir ninguna ley, puesto que se trata de información pública.

http://www.google.com/search?hl=en&lr=&c2coff=1&q=%22Powered+by+MercuryBoard+%5Bv1%22&btnG=Search

Aquí tenemos un ejemplo de búsqueda utilizando las Google Hacks, esta consulta genera una búsqueda en Google de: "Powered by MercuryBoard [v1" Mercury Board tiene en la versión 1 varios agujeros conocidos ya que es una versión antigua por lo que una persona malintencionada podría probar dichos agujeros en aquellos foros que mostrara la búsqueda.

http://www.google.com/search?q=ext%3Apwd+inurl%3A%28service+|+authors+|+administrators+|+users%29+%22%23+-FrontPage-%22

Aquí tenemos otro ejemplo, este caso Google mostrara en su navegador esta cadena de búsqueda: ext:pwd inurl:(service | authors | administrators | users) "# -FrontPage-"

Y nos devolverá como resultados páginas web realizadas con FrontPage (el editor web de Microsoft) que han dejado el archivo de usuario y password (el archivo service.pwd) a la vista.

Cualquier usuario malintencionado le basta con copiar la password y desencriptarla para poder ya tener acceso a dicha web con permisos de administrador.

Ejemplo real de un resultado de dicha búsqueda:

# -FrontPage-

taleisin:QqtIwVbwMksS6

Como se puede  apreciar en estos ejemplos los códigos de búsqueda son complicados de dominar y poder personalizar para todas las necesidades, así que los trabajadores de Google han creado una herramienta que facilita esa operación.

Tal como se puede apreciar en la Figura 10 Google Hacks proporciona un sencillo e intuitivo menú para construir las búsquedas mediante un simple click.

Por supuesto existen muchos más detalles de búsqueda de los que aparecen en la Figura 10, pero es una técnica muy útil y sencilla para recoger información web, generando los comandos de búsqueda evitando al mismo tiempo al usuario la complejidad de dichos comandos, con lo que los  usuarios acceden directamente a los resultados.

1.3.3  ¿Cómo protegernos?

El mecanismo de protección fundamental consiste en tener el archivo “robots.txt” de cada  web perfectamente configurado para que impida que Google indexe las carpetas o archivos que puedan ser sensibles. En el Recurso[13] se adjunta un sitio web de aprendizaje sobre este archivo y como configurarlo.

Además, conviene no publicar todos los archivos, decidiendo si realmente es necesario que los documentos más sensibles estén en la nube y puedan ser indexados..

Po rúltimo conviene aplicar  posicionamiento inverso, ya que es preferible que un dato sensible salga en una búsqueda en la posición 1000 a que aparezca el primero.