Laptopworld

Google Cache som hacker værktøj.
De fleste ved sikkert at Google cacher alle de sider den optager i sin database. Dette betyder at selv gamle oplysninger vil være til rådighed for den hacker der kender Googles søgemuligheder og Googles cache funktion. Fortrolige oplysninger, der en gang har været lagt på nettet, risikere altså at være til rådighed for hackerne meget længe. Dette betyder at det er en god ide at gennemtænke hvem i organisationen der publicere informationer på internettet, det skulle gerne være en person der ved vad han/hun gør, og som har en grundlæggende forståelse for sikkerhed og systemsammenhæng.
Grundlæggende ligger vores eneste chance for at opdage at hackeren er i gang i de spor hackeren efterlader i vores logfiler. Hvis vi er vågne, og har de rigtige værktøjer til vores rådighed vil vi kunne opdage hackeren allerede mens har er i undersøgelsesfasen. Hackeren har brug for mange informationer før han kan trænge ind og her giver Google’s Cache funktion os problemer. Denne funktion giver nemlig hackeren mulighed for at opdage en masse oplysninger uden at sætte spor i vores logfiler og dermed bruge Google til at skjule hvad han har gang i. Løsningen på dette problem er at vi selv bruger Google til at undersøge vores site, så vi fjerner så mange af de farlige informationer som muligt og så vi ved hvilke informationer der trods alt findes på Google. Til det brug kan du anvende Googledorks og så tilføje ”site:www.mitsite.dk ” til alle søgningerne. Hvis du er heldig, vil du intet finde, og hvis du først analyserer googledorks, kan du også minimere det nødvendige antal søgninger. Om Google faktisk kan bruges til at skjule iværksættelsen af angreb har jeg ikke fundet bevis for.

Frontpage.
Frontpage, med sin funktionalitet, der på samme tid er let at bruge og svær at gennemskue betyder at mange får publiceret alt for meget. Prøv f.eks. at søge med vti_pvt password intitle:index.of", lidt tålmodighed skulle kunne afsløre ting der kan få det løbe koldt ned af ryggen på enhver der interessere sig for sikkerhed. Hvis du bruger FrontPage, eller et af de andre gode WYSIWYG web editorer, så hold øje med, hvad du faktisk publicere på nettet, brug e.v.t. et ftp program til at uploade med, og vær så opmærksom på hvad du faktisk uploader.

Peer-to-Peer.
P2P her intet med Google at gøre, men da problematikken er den samme har jeg valgt at tage emnet med her. Problemet er selvfølgelig, at folk ikke tænker sig om, og får delt alt for meget ud. Tilsyneladende bruger nogle af P2P tjenesterne at jo mere du deler ud, jo mere får du også selv ud af tjenesten. Dette får nogle til, fuldstændigt ukritisk, at uddele hele deres harddisk. Hvis du kender navnene på de filer der indeholder kritiske oplysninger som brugernavne og passwords, konto oplysninger og andet, vil en søgning med de mest populære P2P programmer give dig alt hvad du behøver til at overtage kontrollen med adskillelige maskiner. Bruger du P2P, SÅ TÆNK DIG OM

Hvad bør jeg gøre for at sikre mig.

BRUG HOVED OG TÆNK DIG OM.

Ændre alle default navne.
Dette gælder overskrifter, filnavne (både html, asp, php og database filer), mappenavne, tabelnavne (i databasen) title taggen og især brugernavne og passwords.

Undlad at placere fortrolige informationer på en webserver.
Heller ikke midlertidigt. Husk at selvom du indskriver placeringen af disse informationer i robots.txt, så søgemaskinen ikke indexisere det, så vil hackerne stadig kunne tilgå og især finde, de biblioteker der er indskrevet i robots.txt. og Googles cache funktion tilsikre at de også kan finde din gamle robots.txt.

Tillad ikke directorie listing.
Ved at sørge for at din web server ikke viser indholdet af mapperne, når der ikke er en default web page, fjerner du en del muligheder for hackeren. Har du brug for denne funktionalitet, vær da meget opmærksom på de filer der ligger i ALLE dine web mapper. Og placer ALDRIG filer her midlertidigt, du ikke vil finde igen i f.eks. Google’s cache.

Tænk som en Hacker.
Hvis du tænker som en hacker, og gennemprøver de værktøjer der findes på dig selv, kan du måske finde nogle huller og uheldigheder der vil kunne udnyttes. Den gamle tese om at ”det kræver en tyv for at fange en tyv” er nogenlunde holdbar i denne sammenhæng.

Hack ALDRIG andre
Ikke engang for sjov, eller for at hjælpe dem med deres sikkerhed. For det første er det strafbart at hacke, og for det andet vil du opdage at folk oftest ikke bliver lykkelige over at du udstiller deres utilstrækkelighed. Du risikere meget let at din hjælpsomhed belønnes med en politianmeldelse og du har under alle omstændigheder et forklaringsproblem. LAD VÆRE, dygtigere folk end dig har fået ødelagt deres fremtid.

Gengivet med tilladelse fra Kim Guldberg
http://www.bufferzone.dk