¿Usted sabe si su actividad diaria no esta al alcance de cualquier hacker?

A la par que crece el uso de aplicaciones como los calendarios online, aumentan también los peligros para quienes vuelcan datos calificados en la red

Google Hacking es una manera creativa, particular e inteligente de realizar búsquedas en Google para obtener información que puede ir desde contraseñas hasta datos personales pasando por archivos de configuración de equipos de comunicación, archivos de configuración de acceso VPN y otros muy interesantes.

Esta técnica es hoy en día muy utilizada tanto por atacantes que dan sus primeros pasos en el análisis de sus objetivos, como así también por Security Testers que inteligentemente han incorporado esta técnica en las primeras etapas de los diferentes tipos de análisis de seguridad que existen.

Mas allá de lo antedicho, todo esto se basa en tres elementos principales: Google y su particular estructura de búsqueda y almacenamiento de información, la habilidad y desarrollo de técnicas de OSINT (Open Source Intelligence) y, principalmente, la falta de conciencia por parte del usuario en la utilización de determinadas herramientas y tecnologías.
Cerrando esta introducción, hablemos entonces del Calendar Flavor de Google Hacking, que como ya habrán podido deducir, consiste en explotar la misma técnica antes mencionada, en la herramienta de Calendario que provee Google.

Google Hacking – Calendar Flavor

Si bien debo admitir que no soy un usuario asiduo de esta herramienta, algunas de sus funcionalidades llamaron mi atención y comencé a utilizarla periódicamente.
Uno de esos días, decidí realizar por curiosidad búsquedas en calendarios públicos. Para esto sólo necesite contar con una cuenta en Google, ingresar con ella a calendar.google.com y, una vez dentro, utilizar la caja de búsqueda disponible y el mágico botón de “Buscar Calendarios Públicos”.
A ese botón también podríamos llamarlo “Buscar Usuarios y Contraseñas”, “Buscar Accesos a Teleconferencias Privadas”, o bien “Buscar Números de Tarjetas de Crédito”. Porque sí: lamentablemente es esa información la que se puede encontrar con facilidad.

Antes de que cualquier usuario se sumerja en la búsqueda, es bueno aclarar que se encontrara mucha información poco relevante, pero si se busca bien es allí donde encontraran al internauta en su máximo esplendor de falta de conciencia.

Mayormente existen tres tipos de usos que se le dan a esta herramienta. Uno de ellos es el calendario de tipo “publico” (Eventos, Blogs, Webcast y demás) en donde encontraran información poco relevante que generalmente no representa riesgo alguno.

Los dos usos restantes son los calendarios del tipo “corporativo” y del tipo “personal”. Allí es fácil encontrar eventos internos de una organización que van desde una reunión de trabajo (agenda y minuta incluida en las notas del evento) hasta los inicios, cierres y tareas asociadas a proyectos, que sin dudas podrían representar una información invaluable para la competencia.

Poner en evidencia
Analicemos los dos últimos usos y como estos pueden abrir brechas de seguridad en la organización.
Cuando creamos un nuevo calendario, además de configurar variables funcionales como la zona horaria y demás, se nos permite seleccionar a quien le daremos acceso al mismo y con que tipo de privilegios (Creación de un evento, Modificación de un Evento y Eliminación de un Evento).

Google marca la opción de “No compartir el calendario con todo el mundo” pero siempre dejando en manos del usuario decidir si quiere:

  • Compartir el Calendario con Todo el Mundo.
  • Compartir la información solo de libre/ocupado (No se dan detalles del Evento).
  • Compartir con determinadas personas (Permite agregar permisos por Usuario).

Ahora bien, ¿cual es la opción que, a su opinión, elige la mayoría de los usuarios? Respuesta: la que libera el acceso al calendario a cualquiera que se encuentre navegando por la Web.
Descuidos de ese tipo abundan. A continuación, una serie de ejemplos que corroboran los descuidos antes mencionados:

Números de caja de ahorro y montos:

Aviso de despido:

Detalle de password:

Número de tarjeta de crédito:

Transferencias bancarias:

Cuando se decide hacer uso de estas herramientas y soluciones, cuando se decide participar de la gran comunidad que propone la Web 2.0, hay que tener en cuenta que todo lo que publiquemos, comentemos y escribamos podría ser visto por terceros con la firme intención de obtener información. Y que por mas inútil que parezca por sí sola, esta pueda correlacionarse con otra hasta convertirse en útil.

Quizá la conclusión sea parecida a muchas otras que tratan esta problemática, pero eso marca algo importante y es que independientemente que hablemos de Google Hacking, OSINT, Google Calendar o ingeniería social, el origen del problema siempre es el mismo: el factor humano.
La solución a esta problemática es educar a los usuarios (todos lo somos), de manera tal que todos los internautas tomen conciencia del riesgo que envuelve el uso de estas herramientas.

Por Ezequiel Sallis, Root-Secure Director

Fuente: http://www.infobaeprofesional.com/notas/63420-Usted-sabe-si-su-actividad-diaria-no-esta-al-alcance-de-cualquier-hacker.html

2 Responses to “¿Usted sabe si su actividad diaria no esta al alcance de cualquier hacker?”

  1. puntogh says:

    Hmmmm… Interesante, jajaja por Dios creo que en realidad mas de uno es descuidado con eso de dar permisos, firefox también guarda tus pass jajaj y con un espia pues supongo que no sea muy difícil llevárselos jajaja que mierda es google…

    Saludos

  2. Lenis says:

    Gracias por tu comentario puntogh. Uno sin saberlo deja rastros de sus informaciones importantes sin saberlo, confiando en que nadie podra verlo.

    Saludos

    Lenis.

Trackbacks/Pingbacks


Leave a Reply

You must be logged in to post a comment.