Google v kostce: Hackování, stalkování a slídění | Kapitola 5
Seznam kapitol
Nejprve se podíváme, co všechno o vás ví náš dobrotivý Google. Pak si zopakujeme si základy pokročilého vyhledávání, podíváme se na trochu toho hackování (ať taky nakrmíme naší temnou stránku), proklepneme si pár lidí a vůbec se podíváme Google na zoubek, protože to nikdy neuškodí!
Hackujeme s Googlem
Vyhledávač Google se dá zneužít a bývá zneužíván k celé řadě nakalých praktik. My se teď podíváme na několik malých ukázek. Mimochodem se tak naučíme googlovat, dokonce i pokročilé dotazy bývají čitelné.
Než začneme mluvit o hackování, povíme si o vyhledávání knížek podle ISBN. Pokud se vám povede zjistit ISBN číslo, najdete i knížku ve formátu PDF. Ruské servery jsou upirátěných knížek bohužel plné.
Google obvykle nenajde knížku, ale zobrazí výše uvedené upozornění. Uvnitř pak bývají odkazy, odkud se k obsahu dostanete. Jako autor s loupežničením knížek nesouhlasím. Pak je tu druhá strana, celá Čína vyrostla díky benevolentnímu přístupu k autorským právům, patentům a duševnímu vlastnictví. Takže pokud uloupežničíte knížku, koukejte vydělat tolik peněz a zaplatit tolik daní, aby se z toho dala postavit nemocnice.
Zneužijeme volbu filetype: pro vyhledání specifického souboru.
Google, najdi hesla nebo heslo a chci, aby to byl soubor typu txt (textový).
Asi pro nikoho nepřekvapí, když řeknu, že se snadno dostanete k přihlašovacím údajům ke stovkám serverů. Ne každý IT guru ukládá hesla do souboru nazvaného hesla nebo heslo, někteří nechávají hesla v .ini souborech, cfg souborech, podle typu (redakčního) systému. Jen zřídka (maximálně desetitisíce případů z celého internetu) se dostanete k živým datům. Nicméně zapomenuté zálohy na špatném místě jsou časté.
Někdy nás zajímá konkrétní webová stránka, tady hledám všechny textové soubory na určité stránce.
Google vynechal soubory, které mu přišly příliš podobné prvnímu odkazu, ale po zobrazení všech souborů, se situace často změní. Vyhledáváním souborů je možné získat představu o adresářové struktuře, často se dostat ke starším zálohám jejich redakční systému, nezřídka včetně hesel. (ini, cfg, pdf, xls, txt, py, xml, csv...)
Pokud by Vás to zajímalo, můžete se poučit třeba od profesionálů (tady je spousta pokročilých dotazů).
Google ví všechno a tajná data uživatelů se volně povalují naprosto běžně, admin se uklikne a zpřístupní i to, co by neměl.
Někde mezi pěkný a trapným "hackem" je třeba tento vyhledávací string:
intitle:"Device(" AND intext:"Network Camera" AND "language:" AND "Password"
V ČR jsou stovky webových kamer, na které se můžete připojit a koukat, co se u koho děje. To není tento případ, tato kamera není v ČR oblíbená. Bohužel nedá moc práce ty správné kamery najít. V kombinaci s firmwarem, který automaticky vystrkává kamery do internetu a výchozím heslem...dost naprd. Mimo to, jak je kamera vidět z internetu, za pár měsíců se stejně objeví exploit, který umožní přihlášení bez hesla.
Řada lidí vezme IP kameru, zapojí jí a "ono se to nějak nastaví", "ono se to nějak samo vystrčí do internetu" a z mobilu se mohu koukat, co se děje u mě doma. To je fajn, ale nemusíte být jediní, kdo se kouká.
Jak zjistit defaultní heslo ke kameře? Vygooglujte si ho! "Camera XYZ default password"