Do Terra Tecnologia:

A Universidade de Massey, na Nova Zelândia, publicou um artigo em seu site alertando os administradores web para os riscos da crescente modalidade adotada pelos hackers para o roubo de informações através do popular sistema de busca Google.

Pesquisadores descobriram que o risco de manter em servidores web informações confidenciais ou privadas está cada vez maior, já que o sistema de busca cadastra qualquer página e arquivo encontrado dentro de um servidor na sua base de pesquisa, deixando tais dados acessíveis através de determinadas palavras.

Um software escrito pelos pesquisadores, que realizava cerca de 170 buscas específicas no Google, foi rodado diariamente por três meses, a fim de encontrar informações confidenciais e alertar os administradores de sites da Nova Zelândia, Austrália, Estados Unidos e República Tcheca.

A descoberta é que qualquer pessoa com um pouco mais de conhecimento é capaz de realizar uma dessas buscas e que a modalidade conhecida como “Google Hacking” possui até tutoriais que podem ser encontrados através do próprio sistema.

Nenhuma empresa teve seus dados divulgados no artigo, mas a instituição anunciou que em seus servidores existem cerca de 50 falhas acessíveis através do “Google Hacking”. Para ajudar na resolução do problema a universidade afirmou já estar trabalhando em medidas de segurança que possam ser utilizadas por administradores de sites. O artigo completo, em inglês, está acessível através do atalho snurl.com/qu6a.

Existe, porém, desde 1994, um protocolo para excluir da varredura de uma aranha de busca determinados itens dentro da árvore de arquivos de um website. Tal regra é respeitada pelas máquinas de busca mais conceituadas, especialmente pelo Google. Trata-se da configuração de um arquivo denominado “robots.txt” no diretório raiz do site.

Maiores informações, em inglês, sobre o referido padrão podem ser obtidas na Wikipédia, pelo atalho snurl.com/qvfy. Infelizmente, no entanto, poucos são os webmasters que têm conhecimento deste recurso, gerando a vulnerabilidade mencionada no artigo da equipe de Massey.

1. É um risco; não são só os “administradores de servidores” que estão vulneráveis, todos nós estamos!
   Só que temos que considerar que não existe apenas um sistema de busca (Google); os outros buscadores (MSN, Yahoo, etc) também podem indexar tais “arquivos sigilosos”!
   Sem contar que, ao indexar tais arquivos, o buscador não está fazendo nada de errado… Foi incompetência de alguem permitir que tal arquivo caísse nos buscadores! Por que o Google que paga o pato? É um risco que corremos, sim; só acho errado que façam tempestade em copo d’água e logo em cima do Google.

   Por Anonymous | Junho 14, 2006, 6:09 am
2. Nada de novo…

   Recomendo o livro 500 DICAS PARA INVADIR O GOOGLE, autoria do prof. e hacker Marco Aurélio Thompson, leia a descrição:

   “Quem faz o curso [de hacker] conosco já sabe que o Google permite formular frases
   de busca que revelam senhas, baixam arquivos confidenciais e tudo o
   mais.

   Então reunimos 500 Dicas de como usar o Google em ações hacker.
   Trata-se de um livro extremamente prático, que você pode por ao lado
   do computador e ir praticando uma a uma das 500 dicas. Vai se
   surpeender com o resultado.

   Eu faço o comentário do uso da dica e em seguida apresento a string,
   testada, pronta para uso.

   Se você digita strings de busca sem saber o que fazer com o
   resultado, este livro é para você.”

   Lembrando que nao é nada ilegal, a falha é dos administradores de sistemas que não sabem proteger seus dados.

   Por Pedro Paulo Campos | Junho 14, 2006, 6:58 am
3. Unff Lógico que os buscadores não tem culpa de nada. Os responsáveis são os administradores de sites inocentes que acham que deve-se deixar algo confidencial na rede acessível por uma simples url… São muito manés mesmo…

   Outra coisa: Não seria melhor usar “robôs de busca” do que “aranhas de busca”??

   Por Micox | Junho 14, 2006, 11:57 am
4. Pois é, a falha é toda dos administradores de sistemas, pois há a possibilidade de se criar o arquivo robots.txt e excluir qualquer conteúdo que queira. Quem lança na rede informações confidenciais e nao se preocupa nem em pesquisar sobre como excluir essas informações de buscadores em gerla (nao só a Google), é burro.

   Por Hyperion | Junho 16, 2006, 6:24 am