Pirateria y pornografia en la pagina de los Diputados
Los archivos ya no estan pero en el cache de Google siguen apareciendo chequen este ejemplo por si todavia tienen sus dudas.
Si buscan directamente esta direccion ya no funciona
http://www.diputados.gob.mx/videos/intranetdell/elizabeth/music/
Pero si usan el cache de Google oh sorpresa!! tremenda balconeada.......
Aqui esta el cache de esa ruta esta es la parte donde dice Google (La burra era prieta y es por que tengo los pelos en la mano)
Ahora que no digan que fue un accidente.... mil gracias Google por balconear a estos Diputados.
Update:
Quiza ya tampoco este en el cache de Google ya que las paginas se guardan de forma temporal pero aqui estan unas capturas de pantalla y la nota completa que salio en g30rg3 Blog
Sin duda este es otro caso severo de mala administración de un sitio web y de el famoso “Google Hacking“…
Aun la gente no cree que se pueda sacar información tan valiosa y que se suponía debería estar escondida o secreta pero basta tan solo hacer una búsqueda bien formada para sacar ciertas cosas que se suponía que google no debía añadir a su lista de resultados.
Lo que les voy a decir no fue precisamente una investigación y/o hallazgo por mi parte, el autor original de este descubrimiento es un usuario del foro yashira (un foro que frecuento demasiado…) llamado drakenmallard, el cual descubrió según el no apropósito algunos documentos, archivos, información que se supone no deben estar a la luz publica se pueden ver, pero se pudieron ver gracias a Google…
Este usuario el 3 de junio de esta año en transcurso, inicio una discusión anunciando lo que había descubierto usando google (esta discusión ya no esta en el foro de yashira pero gracias al Cache de Google podemos verla aun) y eran exactamente muchísimos archivos de música, vídeos de música (todo un DVD!!!!), juegos, imágenes, software pirata, documentos de información e instrucción sobre manejo de la red de la cámara de diputados, algunos que otros documentos y trabajos personales y para acabarlo de males PORNOGRAFÍA!!!!!, la cual estaba abierto a todo el publico internauta y se podía bajar sin ningún tipo de restricción!!!
Claro como sabrán contacte al autor y pues antes de escribir una nota aquí preferí corroborar si era el autor, el asegura que descubrió esto haciendo búsquedas en google con la palabra “My Shared Folder“, el cual es una técnica descrita por Johnny Long (uno de los pioneros del Google Hacking y que aparte tiene un libro muy bueno sobre esta técnica por cierto…) para encontrar aquellos sitios que usan no solo usan sus servidores como servidores WEB, si no también para otras labores de respaldo de información o puede ser una mala configuración de lo que se publica en el servidor, siguiendo este punto me dedique a mirar que había por ahí y navegando encontré exactamente lo que el autor dijo, tenemos muchísimas carpetas de al parecer usuarios internos (trabajadores) de la cámara de diputados…
Empezemos primero por la música, enormes listas de música que esta disponible para bajarse como ya dije sin restricción…
Siguamos con el DVD completo de “Corrs Live in London”, un poco de software y claro los documentos/trabajos/proyectos personales de al parecer varios encargados del departamenteo de informatica…
Y para acabarlo de males la PORNOGRAFÍA (ni siquiera buen gusto tienen :-P) aparte súmenle algunos juegos que parecen ROMs de SNES y algo que nunca debe estar abierto al publico y mucho menos en una WEB un RESPALDO COMPLETO DE LA WEB!!!!, claro este tiene un tamaño de como 120 gigas pero es un enorme error de seguridad, de veras que este administrador de la web de los diputados.gob.mx, le falta un curso de seguridad informática específicamente el área de seguridad web.
Woah y eso que solo hemos visto la carpeta videos de la pagina, me pregunto?
si todo esto es lo que podemos ver, que creen que habra en las que no podemos ver?
Seguro se preguntaran después de ver las imágenes fíjate en las fechas, siguiendo las fechas puedo decir o pensar en la teoría de que algun hacker interno o externo usa (o usaba) el servidor de los diputados.gob.mx para guardar sus archivos, sin embargo esta teoría solo se puede aplicar a una carpeta las demás no ya que contiene mucha información de los que trabajan en la cámara de diputados, desde programas que usan, software y miles de investigaciones!
Tambien tengo seguro que se preguntaran como es que podemos nosotros administradores de WEBs evitar esto, soluciones son varias las optimas son siempre evitar a toda costa el “Directory Indexing” o la capacidad de mostrar el contenido de un directorio sin que este tenga un archivo index (.html,.htm,.php.asp,etc..), claro para la web de diputados lo mejor es borrar esos archivos ya que ahora se sabe la existencia de los archivos asi que no hay de otra, también esta la solución de poner en el archivo robots.txt las carpetas que no se le permitirán indexar a los robots, pero sin embargo este archivo es usado por los hackers para saber que directorios y archivos son “privilegiados” o “especiales” ya que por algo no quieres que se guarden.
Sin duda los “Google Hacks” están a la orden del día, sobretodo en el 2006 hicieron alarde con lo de las cámaras ip que se podían buscar desde google, ya que como dicen todos, no hay mejor hacker hoy en día que google…
No hay comentarios.:
Publicar un comentario