Google 検索を利用したハッキ ング ～ハッカーの阻止法を探して Copyright ©2004 Foundstone, Inc. All Rights Reserved George Kurtz McAfee, Inc. Senior Vice President Risk Management.

Presentation on theme: "Google 検索を利用したハッキ ング ～ハッカーの阻止法を探して Copyright ©2004 Foundstone, Inc. All Rights Reserved George Kurtz McAfee, Inc. Senior Vice President Risk Management."— Presentation transcript:

1 Google 検索を利用したハッキ ング ～ハッカーの阻止法を探して Copyright ©2004 Foundstone, Inc. All Rights Reserved George Kurtz McAfee, Inc. Senior Vice President Risk Management

2 「違法な手段に頼らずとも、公然と公共の 情報源を利用することで、最低でも 8 割の 敵に関する情報を取得することが可能で ある」 - アルカイダ トレーニング マニュアル より

3 論題 Google の仕組み 脅威 ツール 対策

4 Google の仕組み １． Web サーバはクエリをインデックスサーバに送信 する。インデックスサーバ内のコンテンツは、本で言 えば索引のようなもので、どのページに問い合わせの あった語が含まれているかを示す。 2. クエリは、実際に保存されている ドキュメントを読み出すドキュメン ト サーバへと送られる。それぞれの 検索結果を説明する情報の断片が生 成される。 3. 検索結果は、ほんの 数秒でユーザのもとへ 返される。

5 Google の仕組み

6 特殊検索修飾子 –site (.edu,.gov, foundstone.com, usc.edu) 特定のドメインのページのみを検索 –filetype (txt, xls, mdb, pdf,.log) 特定のファイルタイプのページのみ検索 –Daterange ( ジュリアン日付形式 ) 特定の日付の範囲内でアップデートされたページ を検索 –Intitle / allintitle タイトルにその語句を含むページを検索 allintitle – 「 intitle 」クエリーの文字列 –Inurl / allinurl URL にその語句を含むページを検索 allinurl – 「 inurl 」クエリーの文字列

7 脅威（絞り込み検索 入力例） intitle:"Index of" finances.xls "Network Vulnerability Assessment Report “ / filetype:pdf "Assessment Report" nessus "not for distribution" confidential site:edu grades admin "ORA-00921: unexpected end of SQL command “ "VNC Desktop" inurl:5800 intitle:guestbook "advanced guestbook 2.2 powered “ intitle:"index of" trillian.ini

8 カテゴリ別脅威 非公開情報 ユーザ名 / パスワード 設定管理 / リモート管理インターフェース エラー メッセージ バックアップ ファイル / ログ ファイル 公開されている脆弱性

9 ＜例１＞ intitle:"Index of" finances.xls

10 ＜例 2 ＞ not for distribution" confidential site:edu

11 ＜例 3 ＞ filetype:pwd service トップページの拡張子に関するポリ シーが存在しない

12 ＜例 4 ＞ allinurl: admin mdb

13 ＜例 5 ＞ intitle:Remote.Desktop.Web.Conne ction inurl:tsweb

14 ＜例 6 ＞ Nessus Reports

15 ＜例 7 ＞ filetype:bak inurl:"htaccess|passwd|shadow|htu sers"

16 ＜例 8 ＞ "VNC Desktop" inurl:5800

17 ＜例 9 ＞ filetype:properties inurl:db intext:password

18 ＜例 10 ＞ filetype:properties inurl:db intext:password キャッシュされたバージョ ン

19 ＜例 11 ＞ "Microsoft-IIS/6.0" intitle:index.of

20 ツール Web インターフェースの使用 –GooScan - http://johnny.ihackstuff.comhttp://johnny.ihackstuff.com Google ハッキングにおける最適なリソース Google ハッキング データベース (GHDB) の保守管理者 –Athena Web サービス API の使用 –SiteDigger – www.foundstone.comwww.foundstone.com –Wikto- www.sensepost.com

21 ツール - GooScan

22 ツール - Athena

23 ツール - SiteDigger 作成 : Kartik Trivedi Foundstone

24 ツール - SiteDigger

25 バージョン 2 機能 – シグネチャ提供オプション – 「 Raw （生の）」 検索タブ – 検索結果の表示件数を設定可能

26 対策 機密情報を Web 上に置かない !! どのような情報が Google で検索可能かを、 定期的に評価する –robots.txt の更新 –meta-tags: NOARCHIVE の使用 –http://www.google.com/remove.htmlhttp://www.google.com/remove.html

27 まとめ Google は、その利用方法、および悪用する側 の想像力によっては、驚異的な攻撃ツールとな り得ることを忘れてはならない … あなたの機密情報は、 Google 検索による情 報漏えいの危険にさらされていませんか ??

28 ご静聴、ありがとうございました。 george.kurtz@foundstone.com