Google Hack: Cuando nuestra información Privada pasa a ser Pública

Que bueno es volver al mundo de los Hack en Google, es algo de lo que no se puede salir. En estas semanas, estuve trabajando muy duro configurando una DMZ como estrategia y política de Seguridad Perimetral, incorporando varias cosas interesantes en Servidores GNU/Linux, como Bonding en placas ethernet, IDS y Firewall.

Cuando comencé a buscar nuevas formas de mantener documentado toda esta información y la estructura propia de la DMZ, lo primero que se me ocurrió es poner la información en una grilla para mantenerla más organizada, y definitivamente es una forma muy cómoda para tener un panorama rápido de todo el esquema.

Luego por un minuto me puse a pensar, que pasaría si esa documentación cayera en manos de gente con malas intenciones? Seguramente, sería un golpe muy bajo para toda la organización, ya que estamos dejando plasmado todas las conexiones, direcciones de IP públicas y privadas, segmentos de Red, nombre de Servidores, Switch, Routers, etc.

Con toda esta información en la cabeza, comencé a buscar a cuantos administradores más se les ocurrió crear grillas para organizar la información de sus DMZ, con la esperanza de no encontrar tantos archivo colgados en la web, pero definitivamente me equivoqué. Más de 12.000 archivos xls con toda la información lista para hacer OSINT.

Respecto a la búsqueda, muy simple... luego de varias mejoras, me quedé con estas tres palabras claves que reflejan bastante información.

("DMZ" | "Public IP" | "Private IP") filetype:xls

Para este tipo de problemas, no existe firewall ni IDS que pueda con ello. Una vez que un posible atacante encuentra nuestro segmentos de red, conoces los servicios e incluso nombres de servidores, la infraestructura no va a durar mucho esperando ser atacada.

Por eso, es muy importante no publicar estos documentos en sitios web o incluso en infraestructuras Cloud ya que por A o por B pueden llegar a caer en muy malas manos, recuerden siempre ésta búsqueda en Google y antes de hacer éstas malas prácticas o revelar información tan sensible pensemos bien como vamos a tratar estos documentos.

No conforme con encontrar estos “jugosos” archivos XLS, en sus metadatos van a poder encontrar muchísima información adicional, como los creadores, fechas, correos, etc. Sin dudas una completa mina de información.

A estar atentos y siempre alerta. Saludos!