Os mecanismos de busca da Internet nos permitem encontrar todo o tipo de informação sem nenhuma dificuldade, basta saber procurar. Percorrendo a Internet diariamente e adicionando e removendo páginas na sua base de dados, sem fazer qualquer distinção entre dados públicos e dados sigilosos, essas ferramentas acabam disponibilizando nos resultados de busca informações que a princípio deveriam ser confidenciais mas que estão sendo divulgadas livremente devido à incompetência de administradores incapazes de configurar seus servidores web de forma segura. Sendo assim, alguns cuidados com servidores web fazem-se necessários.
Como forma de exemplificar o que está sendo dito, pode-se usar a ferramenta de busca da Google. Uma vez nesse site, pode-se usar o operador “intitle”, que faz busca em títulos de páginas: combinado com “microsoft outlook web access”, retorna páginas de acesso remoto ao webmail Microsoft Outlook; com “test page for apache”, servidores web ainda com a configuração padrão; com “index of/admin”, arquivos e subdiretórios de administradores; com “curriculum vitae”, informações pessoais.
Um outro operador é “inurl”, que procura textos em URLs: se usado com “lvappl”, por exemplo, retorna imagens de câmeras de segurança. Há também o operador “filetype”, que busca por arquivos com determinada extensão: “filetype:log” acompanhado de “inurl:password.log” poderá retornar muitos arquivos com senhas.
Mas se o objetivo é obter relatórios de segurança gerados pelo scanner de vulnerabilidades Nessus, e consequentemente todas as vulnerabilidades que o scanner encontrou naquele servidor, pode-se procurar simplesmente por algo como “This file was generated by Nessus”.
Que tal ainda fazer uma busca por “dumping data for table”, para se conseguir a descrição completa (nomes de tabelas, colunas e até mesmo senhas) de várias bases de dados? Já uma busca por erros típicos de bancos de dados poderá retornar uma lista de sites vulneráveis a ataques de injeção de SQL.
Essas são dicas relativamente simples, mas que ilustram muito bem o universo de possibilidades que um hacker (e na verdade qualquer pessoa) tem à sua disposição.
Pode-se então ir às soluções: configurar corretamente o servidor web e os serviços de banco de dados, colocar no servidor e no banco de dados apenas as informações que forem imprescindíveis, tratar os erros de forma que informações a respeito da estrutura dos dados não sejam expostas, bloquear permissão de escrita em tabelas do banco de dados e criar um log com os erros que surgirem.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.