Google hacking

Por José Manuel Gómez

No hace mucho, Bruce Schneier hablaba aquí sobre el potencial del buscador de ficheros locales de Google para localizar vulnerabilidades en la propia máquina. Pero hoy vamos a hablar sobre el potencial del propio Google como herramienta de búsqueda de vulnerabilidades en todo Internet, un tema suficientemente importante como para que ya empiece a hablarse de los "Google hackers".

Hay muchos ejemplos acerca de cómo Google puede ser utilizado para acceder a información, programas o dispositivos sensibles. Sin ir más lejos, la prensa se hizo eco ampliamente de un ejemplo de este tipo de 'hacking', cuando habló de la localización de cámaras web accesibles desde la Red.

En general, la publicación de una nueva vulnerabilidad proporciona muchas veces un nuevo término o cadena que buscar, y la extraordinaria potencia de Google a la hora de indexar se encarga del resto. Otras veces se utilizan operadores avanzados -y no muy conocidos- del propio buscador (como site, filetype, link, cache, intitle, inurl y similares). Para colmo de males, las búsquedas no han de realizarlas necesariamente humanos, sino que también pueden encargarse a robots o gusanos...

A primeros de diciembre se puso a la venta Google Hacking for Penetration Testers. El libro desgrana, a lo largo de sus más de 500 páginas, abundantes ejemplos de cómo puede utilizarse el popular buscador para localizar sitios web vulnerables o información sensible que sus propietarios consideraban a salvo.

El autor del libro es Johnny Long, que mantiene un sitio web donde continúa recopilando nuevos trucos para perfeccionar la búsqueda de vulnerabilidades mediante el uso de Google.

Long mantiene además una base de datos de lo que él llama 'Googledorks' (queriendo designar algo así como 'víctimas estúpidas del buscador'). Los hay para todos los gustos: desde las búsquedas de significativos mensajes de error, hasta los sitios web que muestran directorios sensibles, pasando por la búsqueda de cámaras, impresoras, nombres de usuarios, etc, etc... Hoy por hoy, según los expertos, la única línea de defensa que pueden interponer los webmasters es un fichero robots.txt bien configurado.

Con independencia de que pueda haber quien opine que toda esta información debería ser ocultada, lo cierto es que el sitio web y el libro de Long bien merecen atención porque, para bien o para mal, el genio ya está fuera de la botella y haríamos muy mal en mirar hacia otro lado. Los expertos esperan que 2005 sea el año de despegue del 'Google hacking' y ya existen antecedentes preocupantes: baste recordar que una variante del tristemente célebre MyDoom ya utilizó Google, en agosto pasado, para obtener direcciones de correo electrónico.

via http://www.kriptopolis.org/google-hacking-el-genio-sale-de-la-botella

Post a comment

Back to the Light - Fedora 8

[xico@xico ~]$ uname -a
Linux xico.wico 2.6.24.4-64.fc8 #1 SMP Sat Mar 29 09:54:46 EDT 2008 i686 i686 i386 GNU/Linux

Pantallazo
Pantallazo

Pronto posts más eleborados... ya volví a Linux esta vez Fedora 8
Post a comment Tags: linux, bolivia, fedora

El fin del Imperio Rocket

Ninguna de las siguientes está disponible y parece que es definitivo.

Lanzador.com.mx
Hackea cuentas de hotmail con exploits

www.uni.cr
Registra Dominios "uni.cr" Gratis!

www.foroz.com.mx
Crea tu Foro Profesional en 1 minuto.

www.webstats.com.mx
Estadisticas Web Muy Completas

www.tusimagenes.com.mx
Comparte Imágenes Sin Limite

www.mymp3.com.mx
Descarga y Comparte Miles de MP3

www.solosoporte.com.mx
Soporte Online - Preguntas y Respuestas

www.myip.com.mx
Averigua Cual Es Tu IP, HostName...etc.

www.quienmeborro.com.mx
Averigua quien te borro del messenger.

Post a comment Tags: hack, hotmail, lanzador

Bugs

Bugs

Comix-1
Comix-1

Post a comment Tags: bug

Ciclo de Vida del Desarrollo de Software

Software_lifecycle
Software_lifecycle

Post a comment Tags: software, vida, lifecycle, desarrollo, ciclo

Pesadilla: Ingeniería de Software


The primary measure of success of a software system is the degree to which it meets the purpose for which it was intended.
(Nuseibeh&Easterbrook ‘00


Software_engineering_explained
Software_engineering_explained

Post a comment Tags: lazy, software, enginnering, nigthmare, requerments

Lanzador.com.mx offline

Hace algunos días hice pública la existencia de una web dedicada a brindar el servicio de phishing, y al parecer han cancelado el servicio de web hosting debido a una denuncia.

Pero como los dominios siguen registrados, lo más seguro es que Rocket (administrador de lanzador.com.mx) contrate otro servidor y restaure todo el portal.

Site Temporarily Unavailable

We apologize for the inconvenience. Please contact the webmaster/ tech support immediately to have them rectify this.

error id: "bad_httpd_conf"


14 comments Tags: hack, hacking, webhosting, php, rocket, phishing

Opera's Fraud Protection

He usado Opera 9 por un par de años y hasta el día de ayer tenía desactivada la protección anti-fraude.
¿Y cómo funciona?
Si aparece un botón en la barra de direcciones con el signo ?, entonces el sitio no ha sido verificado, y se puede pensar que es una web fraudulenta de eBay, YouTube, Gmail o Live que generalmente es un clon de la página de inicio de sesión.

Passport
Passport

Además brinda un enlace para reportar la web como fraudulenta:

Phishtank
Phishtank
En el caso de que la web ya haya sido reportada a PhishTank aparecerá la siguiente advertencia:
Warning
Warning


Fraud Protection

Press Page Down and Page Up to switch slides.

Fraud Protection warns you about suspicious Web pages by checking the page you visit against a database of known "phishing" Web sites.

Security Status

With Fraud Protection enabled, every Web page you request is subjected to a phishing filter, and the status of the page is displayed as an icon on the right side of the address field, as indicated in the table below. Clicking on the icon opens a dialogue box with additional information, including the possibility of reporting a site as suspicious, with an explanation.

Protocol Address Field Fraud Protection Dialogue
HTTP
VERIFIED
HTTP
NOT VERIFIED
HTTP Fraud Site WARNING
HTTPS
VERIFIED

A secure page (HTTPS) will display a lock on the right side of the address field, and clicking on this lock will cause the security information for the page to be displayed, including information about the Web site's certificate. In this case, too, the page will be checked by the Fraud Protection server.

If a Web site is found on the blacklist, you will be presented with a warning page, and you must decide whether to visit the fraudulent Web site, or to return to the home page. The Fraud Protection server does not cause any delay in the opening of Web pages.

Enabling/Disabling Fraud Protection

Fraud Protection can be enabled/disabled from Preferences > Advanced > Security by checking/unchecking the box marked "Enable Fraud Protection."


vía: http://help.opera.com/Windows/9.27/en/fraudprotection.html


Post a comment Tags: opera, gmail, live, protection, fraud, phishing, hotmail

Two stupid things that you can´t do on Windows XP

1. Crear una carpeta o archivo con el nombre "comN" 1<N<6

Com
Com



2. Crear una archivo y una carpeta con el mismo nombre

Same
Same


"No se puede cambiar el nombre del archivo new. Ya existe un archivo con el mismo nombre. Especifique otro nombre de archivo"

Pero "com" no es un archivo, es una ¡carpeta!.

FILE = FOLDER

Post a comment Tags: microsoft, lazy, windows, xp, com3, com1

Cracklock

Cracklock es el líder en la dura tarea de reparar el bug que afecta a un número creciente de sharewares y es explotado por un virus polimorfico conocido como "El virus de día 30". Como su nombre implica, el virus se manifiesta sólo cuando se ejecuta el software infectado por un período de tiempo, usualmente 30 días es es desencadenador. Para proteger estos sharewares del virus, Cracklock utiliza técnicas que otros empresas proveedoras de antivirus como McAfee, Norton, Sophos, Thunderbyte y F-Proot han ignorado.

Cracklock-screenshot
Cracklock-screenshot

Muchos desarrolladores han usado Cracklock en el el pasado para probar su software ante el Y2K compliance. Recientemente, hemos trabajado para adaptar Cracklock al conocido bug conocido como Y10K (aka "el bug del año 10000"). Ahora los desarrolladores pueden usar Cracklock para probar sus programas con tra este bug nunca tratado antes.

Post a comment Tags: hack, crack, software, trial, traducción, cracklock

Read more from julkjogan »

About Me

julkjogan
Saint Helena
View my profile
jogan
Messaging:
Send

My Groups

View my groups

Neighborhood

Explore friends, family, friends & family, or entire neighborhood.

View my neighbors

Tags

View my tags

Archives

Recent Comments

Photos

View more of my photos

Recent Additions

View more of my audio, videos, or books

Videos

View more of my videos

Books

View more of my books

Links

View more of my links

Collections

View more of my collections