O grupo hacker "O Culto da Vaca Morta" (tradução livre para "The Cult
of the Dead Cow") divulgou uma ferramenta de código aberto que permite
que gerentes de TI vasculhem rapidamente suas redes atrás de
vulnerabilidades que possam comprometer dados sensíveis, usando apenas
uma coleção de itens de busca do Google.
O grupo, que se
autodenomina cDc, admitiu que a ferramenta Goolag Scanner pode ser
usada por crackers para procurar brechas em sites. "Não somos
estúpidos", afirmou um membro que atende pelo nome Oxblood Ruffin.
"Sabemos que alguns adolescentes entediados tentarão explorar brechas".
Tais
usuários, no entanto, "não são pessoas sobre as quais temos controle",
acrescentou Ruffin. "Estamos tentando oferecer duas coisas: uma
ferramenta fácil e legítima para profissionais de segurança testarem
seus próprios site e aumentar a preocupação sobre a segurança online".
O
Goolag Scanner é uma ferramenta para Windows baseada no conceito de
"Google hacking", forma de pesquisa de brechas inventada por um hacker
que usa o nome Johnny I Hack Stuff.
O Google hacking envolve o
uso de certos tipos de busca no sistema para descobrir falhas no site.
Mais de 1,5 mil buscas foram compiladas em um banco de dados por Johnny
nos últimos anos.
Mesmo que as buscas devam ser usadas por
administradores de TI para testar seus sites por vazamentos de dados e
vulnerabilidades, elas também podem ser usadas por crackers que querem
tentar invadir determinados serviços.
A nova ferramenta é também
algo "muito fácil de se usar para todos, não apenas profissionais de
segurança", afirmou Ruffin. "É provavelmente algo que sua mãe pode usar
sem muitas instruções".
Johnny I Hack Stuff anteriormente lançou
uma ferramenta similar chamada Gooscan que também automatiza o
processo, mas que roda apenas no Linux.
Ruffin afirmou que, como
parte dos testes do Goolag Scanner, o grupo rodou a ferramenta contra
sites comerciais, militares e governamentais na América do Norte,
Europa e Oriente Médio, descobrindo buracos de segurança significativos
em muitos deles.
A maioria dos sites testados na América do
Norte eram sites do Governo "já que eles estão começando a migrar pra
internet", diz ele. Informações sobre uma dúzia de "buracos bastante
feios" descobertas como parte dos testes foram enviadas às autoridades,
acrescentou.
of the Dead Cow") divulgou uma ferramenta de código aberto que permite
que gerentes de TI vasculhem rapidamente suas redes atrás de
vulnerabilidades que possam comprometer dados sensíveis, usando apenas
uma coleção de itens de busca do Google.
O grupo, que se
autodenomina cDc, admitiu que a ferramenta Goolag Scanner pode ser
usada por crackers para procurar brechas em sites. "Não somos
estúpidos", afirmou um membro que atende pelo nome Oxblood Ruffin.
"Sabemos que alguns adolescentes entediados tentarão explorar brechas".
Tais
usuários, no entanto, "não são pessoas sobre as quais temos controle",
acrescentou Ruffin. "Estamos tentando oferecer duas coisas: uma
ferramenta fácil e legítima para profissionais de segurança testarem
seus próprios site e aumentar a preocupação sobre a segurança online".
O
Goolag Scanner é uma ferramenta para Windows baseada no conceito de
"Google hacking", forma de pesquisa de brechas inventada por um hacker
que usa o nome Johnny I Hack Stuff.
O Google hacking envolve o
uso de certos tipos de busca no sistema para descobrir falhas no site.
Mais de 1,5 mil buscas foram compiladas em um banco de dados por Johnny
nos últimos anos.
Mesmo que as buscas devam ser usadas por
administradores de TI para testar seus sites por vazamentos de dados e
vulnerabilidades, elas também podem ser usadas por crackers que querem
tentar invadir determinados serviços.
A nova ferramenta é também
algo "muito fácil de se usar para todos, não apenas profissionais de
segurança", afirmou Ruffin. "É provavelmente algo que sua mãe pode usar
sem muitas instruções".
Johnny I Hack Stuff anteriormente lançou
uma ferramenta similar chamada Gooscan que também automatiza o
processo, mas que roda apenas no Linux.
Ruffin afirmou que, como
parte dos testes do Goolag Scanner, o grupo rodou a ferramenta contra
sites comerciais, militares e governamentais na América do Norte,
Europa e Oriente Médio, descobrindo buracos de segurança significativos
em muitos deles.
A maioria dos sites testados na América do
Norte eram sites do Governo "já que eles estão começando a migrar pra
internet", diz ele. Informações sobre uma dúzia de "buracos bastante
feios" descobertas como parte dos testes foram enviadas às autoridades,
acrescentou.
Postagens
Postar um comentário