להאזנה לפרק לחצו כאן

גוגל עושה עבודה מרשימה מאוד בחיטוט וקיטלוג המידע ברשת. הם לא מפרסמים מספרים מדויקים, אבל טוענים שיש להם טריליונים רבים של דפים באינדקס, מה שאומר שבכל רגע נתון הם שולחים תועפות של “זחלנים”, Crawlers, בלעז, לשוטט ברחבי הרשת ולהביא משם את המידע.

הזחלנים האלה טוענים דפי רשת, מנתחים אותם, ושומרים את המידע כדי שבטלנים כמונו יוכלו להקיש את מבוקשנו בשורת החיפוש הנחמדה בדפדפן ויקבלו קישור לדפים הללו. מכל דף כזה, הזחלנים גם לוקחים את הקישורים שנמצאים עליו, וזוחלים גם עליהם. ככה בעצם נבנה האינדקס העצום של גוגל.

זה נחמד, ומגניב, ובאמת עושה את החיים של כולנו קלים יותר. אם פעם היה צריך להסתכסך ולהתווכח שעות בנושאים חשובים כמו מי זכה בתחרות “השפם הטבעי” באליפות העולם לשפמים ב-2017, כל מה שצריך לעשות היום זה לשאול את גוגל ולקבל את התשובה מיד. כמובן שזה היה הגרמני וולפגנג שניידר.

אבל כמו שוודאי ניחשתם, לא בשביל זה התכנסנו כאן.

רובנו משתמשים בשורת החיפוש של גוגל כדי להקיש מילות מפתח ולקבל תשובות. זה יופי, וככה זה אמור לעבוד. אבל גוגל מציע כמה פיצ’רים נוספים שיכולים להפוך את החיים של ציידי פרצות לקלים באופן משמעותי.

למשל, נניח שהתגלתה חולשה במערכת מסוג “שיירפוינט” שחושפת מידע שלא אמור להיות חשוף. איך מוצאים מערכות כאלה כדי לבדוק מי מהן פגיעה לחולשה הזו? כאן מגיע לעזרה ידידנו גוגל, ומאפשר לנו לשאול אותו את השאלה הבאה:

“spsdisco.aspx” inurl:gov.il

אנחנו מחפשים קובץ מסוים שקיים בהתקנות שיירפוינט, אבל לא מעניינות אותנו התקנות של המערכת במלזיה או בבוטאן, אלא רק באתרי ממשל ישראלים. הדוגמה הספציפית הזו כבר טופלה על ידי הגופים האמונים על כך בישראל, כך שהיא לא תניב תוצאות רלוונטיוות, אבל זה הרעיון הכללי.

או למשל בואו נמצא את קבצי ה-SQL (קבצי מסדי נתונים) באתרי מסחר ישראלים שאפשר לגשת אליהם באמצעות דפדפן:

filetype:sql inurl:co.il

כאן אנחנו מבקשים, קצת בגמלוניות, רק קבצים מסוג SQL רק בכתובות שמכילות את המחרוזת co.il המזוהה עם אתרי מסחר ישראלים. בין התוצאות שנקבל נוכל למצוא רשימות של משתמשים, סיסמאות, ומידע נוסף שהושאר ברשלנות על ידי מפעילי אתרים ישראלים.

אפשר גם להגביל את החיפוש לאתרים ישראלים באמצעות הפרמטר site, שעובד פחות או יותר אותו דבר, אבל פעמים רבות יחזיר תוצאות שונות, ומניסיוני גם פחות טובות. אבל הנה דוגמה נחמדה לחיפוש של כל קבצי האקסל באתרים שמסתיימים בסיומת il ומכילים את המחרוזת “password”:

password filetype:xls site:il

או

סיסמה filetype:xls site:il

ושם אפשר למצוא פנינים כמו רשימת הפרופילים שהפעילה מפלגה מסוימת בבחירות האחרונות עם העובדים והמשכורות ששולמו להם, או רשימת עובדים במשרד ממשלתי עם תעודות הזהות והטלפונים שלהם, והכיף לא נגמר.

וזה לא הכל - בגלל שגוגל מאפשר לנו לצפות גם בקבצים ש”נמחקו” מהאתרים, אנחנו מגיעים לפנינים כמו זו. כאמור, מפעילי האתר כבר מחקו אותו, אבל גוגל לא שוכח מאפשר לנו להגיע אליו בשתי לחיצות: אחת על החץ הירוק הקטן ליד הכתובת, והשניה על האפשרות “Cached” שמופיעה שם. נסו ותהנו

אבל זה לא נגמר כאן. גוגל דורקינג מאפשר לנו למצוא כל מיני הגדרות שגויות של אתרים, כמו למשל מי שהשאיר את רשימות הקבצים שלו פתוחות לרווחה. חיפוש כמו:

site:il “Index of /”

או

יניב תועפות של תוצאות של המוני אתרים ישראלים שמאפשרים לכל אחת מאיתנו להסתובב להם ברשימות הקבצים על שרת. כדי למקד את זה קצת, בואו נחפש קבצי גיבוי מכווצים ומוכנים להורדה:

site:il “Index of /” backup “tar.gz”

או והנה אנחנו מקבלים בדיוק את מה שרצינו:

כמה “מגדירים” (מודיפיירים, modifiers) נוספים איתם אפשר לשחק הם:

Inurl - מביא רק דפים שמחרוזת מסוימת נמצאת בכתובת העמוד שלהם

Allinurl - אותו דבר כמו הקודם, רק שכל המחרוזות נמצאות בכתובת העמוד

לנוחיותכם, להלן כמה מחרוזות נחמדות שימלאו את זמנכם בגיל והנאה:

כל האתרים של ה”ארגונים” הישראלים שמאפשרים לנו לחטט להם בספריות:

site:il “index of” “parent directory” “org.il”

או

להביא את כל קבצי ה-CSV מהאתרים הישראלים שמאפשרים לנו לחטט להם בספריות:

site:il “index of” “parent directory” “csv”

או

למצוא את כל האתרים שמאפשרים לנו לחטט להם בקבצי ניהול הפיתוח שלהם:

site:il “index of /” “parent directory” git index

או

למצוא דאמפים יפים של דטהבייס:

”– Dumping data for table” ext:sql site:il

או

למצוא סיסמאות של דטהבייסים:

filetype:tpl intext:mysql_connect

או

למצוא קבצי הגדרות פתוחים של אתרי וורדפרס ישראלים:

site:il intext:DB_PASSWORD || intext:”MySQL hostname” ext:txt

או

למצוא פוטנציאל להזרקות SQL באתרים ישראלים:

inurl:”.php?id=” “You have an error in your SQL syntax” site:il

או

ועוד המון כאלה, אבל אתם מבינים את הרעיון.

אל תהיו מטרות קלות

גוגל דורקינג זו טכניקה בה משתמשים בעיקר פושעים שמחפשים מטרות קלות. הם לא יודעים את מי הם רוצים לתקוף, הם רק יודעים שהם רוצים מישהו כזה. מערכת שלא מגנה על המידע שלה בפני זחלן תמים כמו גוגל בוט ככל הנראה תתמסר ביתר קלות לכלים כבדים יותר.

יתרה מכך, אם יום אחד מתגלה, חו”ח, פגיעות במערכת מסוימת, או בגרסה מסוימת, דורקינג זו טכניקה מצוינת למצוא את כל המערכות הפגיעות. כשהתגלתה פרצת הדרופלגדיאון (ואז הדרופלגדיאון 2) שאיפשרה השתלטות על מערכות מסוג “דרופל”, ככה התגלו תועפות של מערכות פגיעות. פשוט מחפשים דפוס מסוים, קובץ מסוים, פורמט מסוים, והרשת נפתחת כמו מניפה.

אגב, אותו הדבר עובד במנועי חיפוש אחרים כמו דק-דק-גו, יאנדקס, ואפילו בינג. לגוגל פשוט יש אינדקס גדול יותר.

מנהלים אתר? החלק הבא הוא בשבילכם

ועכשיו מילה לבעלי האתרים: קחו רגע וגגלו את האתר שלכם. אולי תופתעו ממה שתגלו. מיד אחר כך לכו תבדקו את קובץ הרובוטים שלכם (robots.txt) - הקובץ שמורה לזחלני מנועי החיפוש לאן מותר להם לגשת ולאן לא. אם יש ספריות בהן אין תוכן רלוונטי לגולשים - חיסמו אותן. הכי טוב, כמובן, זה לא לציין אותן בשמן (כי אז זה יותר מעניין לתוקף שיתמקד בכם, אבל זה כבר סיפור אחר לפרק אחר) אלא להפך: לציין את התכנים שאתם כן מעוניינים לקטלג.

מנועי חיפוש הם מעולים בעבודה שלהם, שזה לקחת כל מה שנותנים להם ואז להראות אותו למשתמשים. התפקיד שלכם, כמפעילי אתרים, זה לוודא שאתם נותנים להם רק את מה שהם צריכים לקבל, ולא גרגר שומשום אחד יותר. ואם כן מצאתם משהו בחיפושים שלכם ואתם מעוניינים להסיר אותו, לכו למערכת של “גוגל וובמסטרס” של האתר אותו אתם מנהלים, ותבקשו יפה להוריד אותו. גוגל בדרך כלל עושים עבודה לא רעה בתחום הזה.

עוד טיפ ששווה לקחת זה ליצור “גוגל אלרט”, שיגרום לכך שגוגל יודע לכם בכל פעם שמופיעה תוצאה חדשה בנושא מסוים. צרו התרעה כזו על האתר שלכם ונניח קבצי אקסל, וככה גם אם מישהו ישכח איזה קובץ שגוגל חשוף אליו - אתם תדעו על זה.

ודבר אחרון

אנחנו מדברים על הדברים האלה לא כדי שתתחילו לחפש קורבנות ולהתחיל להזיק להם, חלילה, אלא כדי שכמפעילי מערכות תדעו להתגונן מפני גורמים מרושעים. באתר הזה (https://www.exploit-db.com/google-hacking-database) תוכלו למצוא המון דוגמאות לדורקס שונים, ואם בכל זאת תיתקלו באיזו מערכת שחושפת משהו שאמור להיות מכוסה, תוכלו לדווח על הפירצה לבעליה על מנת שיסיר אותו מהאינדקס.

להאזנה לפרק לחצו כאן