Nos encontramos ante una nueva herramienta imprescindible en la caja de herramientas de los profesionales de seguridad.
Desde hace ya un tiempo, en varios weblogs especializados en temas de seguridad, se ha comentado que algunos de los parámetros avanzados de búsqueda disponibles en Google son especialmente útiles para identificar las fugas de información provocadas por páginas que nunca deberían ser accesibles desde Internet.
Un ejemplo clásico consiste en utilizar los parámetros inurl: e intitle: para identificar los archivos de contraseñas (/etc/passwd y /etc/shadow) de los sistemas Unix.
Recientemente FoundStone ha publicado una herramienta gratuita, SiteDigger, que permite automatizar este proceso e identificar cualquier información sensible almacenada dentro de Google, para un dominio de Internet en concreto.
En su configuración por defecto, SiteDigger realiza búsquedas dentro de Google de páginas que revelen archivos históricos (como bash_history o .sh_history), archivos de contraseñas (.htpasswd, /etc/shadow y similares), páginas de administración de dispositivos o aplicaciones, documentos Excel que contienen contraseñas, páginas por defecto de servidores web, mensajes de error (algunos de los cuales incluyen información de las credenciales del usuario que lo ha provocado), errores en consultas SQL, expresiones mal construidas, servicios de administración remota, vulnerabilidades conocidas…
También permite identificar archivos que comprometan la privacidad (registro de actividad, archivos log, estadísticas, datos financieros…).
SiteDigger realiza las consultas a partir de un archivo de firmas, permitiendo seleccionar las búsquedas que se desean realizar. El archivo de firmas es actualizable para incluir nuevas opciones de búsqueda.
SiteDigger es una aplicación Windows (requiere el framework .NET, que puede instalarse a través de Windows Update) y utiliza la API de Google para automatizar la búsqueda de información sensible. Para acceder a esta API es preciso disponer de una licencia, que puede solicitarse de forma gratuita.
Entre sus características incluyen batería de 4.500 mAh, sensor Sony de 50 MP y conectividad…
Este servicio se expande por Europa, incluyendo también a Francia, Alemania, Países Bajos, Suiza, Austria…
La mayoría de empresas de pequeño y mediano tamaño ha sufrido durante el último año…
ShrinkLocker Decryptor es una herramienta gratuita que ayuda a recuperar los datos perdidos.
Dell pretende que "las organizaciones puedan utilizar continuamente los últimos avances de IA en el…
Introduce cinco nuevas soluciones HPE Cray con arquitectura de refrigeración líquida directa y dos servidores…