Google Forensics: investigando cybercrimes

É a técnica de utilizar combinações especiais de operadores no motor de busca Google na investigação e perícia computacional, de maneira a coletar evidências envolvendo incidentes corporativos, segurança e crimes eletrônicos.

Por José Antonio Milagre

Não adianta procurar o serviço nos diretórios da gigante do vale do silício. Há algum tempo fomos despertados para a “arma” que representava o Google para os crackers e engenheiros sociais, na obtenção de informações e aplicação de golpes pela internet. Agora, apresentamos como a ferramenta pode contribuir para descobrir, ao menos, indícios do submundo do crime eletrônico.

Nomes, documentos pessoais, senhas, contas bancárias, áreas restritas de sites, câmeras ao vivo e diretórios protegidos são alguns dos objetivos dos cybercriminosos, que através de operadores booleanos bem dispostos obtém informações valiosas de empresas e pessoas físicas. Isto é Google Hacking, termo criado por Johnny Long em 2004. [1]

Ultimamente, pasmem, temos utilizado a ferramenta para suprir a morosidade judicial na obtenção de informações que precisem a materialidade e autoria de incidentes e delitos. Um paradoxo, eis que o mesmo que oferece comunidades e serviços que facilitam prática de crimes, igualmente vem sendo útil na investigação de ataques, pornografia infantil e outros crimes, graças a seu poderoso motor de busca, de onde quase nada escapa, mesmo em diretórios protegidos .httpasswd.

Não é de hoje que sabemos que o Google é capaz de indexar milhões de páginas, e nestas milhões estão muitas de servidores vulneráveis e diretórios ocultos. Notebooks integrados com webcams e netcams também sofrem o risco.

Vamos para um exemplo acadêmico: experimente digitar isto no Google:

“inurl:”ViewerFrame?Mode=Refresh”.

Em verdade pedimos ao robô que retorne os links que contenham uma querystring de servidores de câmeras de filmagem para redes ethernet, por vezes restritas, porém por vezes mal configurados. Em tal exemplo, verificamos uma infinidade de servidores desprotegidos que compartilham, sem querer, suas imagens com o mundo:

.

Definimos Google Forensics como a técnica de utilizar combinações especiais de operadores no motor de busca Google na investigação e perícia computacional, de maneira a coletar evidências envolvendo incidentes corporativos, de segurança e envolvendo crimes eletrônicos.

Recentemente fomos chamados a periciar servidores que estavam sendo explorados via IcePack, um poderoso malware desenvolvido em Php + MySql e que explora servidores desconfigurados em massa, realizando uma injeção de iframe nas páginas principais do servidor (index.html, index.aspx, index.php).

Estas injeções são automatizadas e podem ser realizadas com programas geradores e injetores, como o Iframer, da Infected Team, que foi muito utilizado pelo antecessor do IcePack, o Mpack.

Na imagem, tela do Iframer gerador e injetor de I-frames em páginas vulneráveis.

Como tínhamos dezenas de servidores para analisar código, bem como referenciá-los, pensamos no motor Google como um aliado, procedendo com a busca de trechos suspeitos. Então buscamos especificamente no domínio em questão a expressão do iframe:

“iframe src=* site:www.legaltech.com.br filetype: php”

E encontramos um iframe cifrado injetado no site:

.

Tela exemplo do Icepack, que encripta o Iframe.

Precisávamos saber ainda para onde o script nos remetia. Este trabalho transcendeu o Google, onde analisamos os logs de saída de requisições. Independentemente, o Google pôde ajudar pois ao referenciarmos o script criptografado injetado na página do cliente, fomos remetidos a url hospedada na Espanha, com subdiretório /admin./index.php, onde foi possível apreender a área administrativa do IcePack.

Lá encontramos indícios do Exploit e em buscas específicas no site encontramos arquivos e funções inerentes:

Functions.php, detect_browser(), detect_Os()

Tal exemplo serve para ilustrar que, igualmente, podemos pesquisar no Google por servidores IcePack e Mpack, bem como extrair quais clientes “fisgados” ao longo do tempo que estão online. Algumas queries para isso são:

Allinanchor:*/admin./index.html
Localizamos páginas com link para o servidor IcePack (área administrativa)

Detect_Browser() filetype:php
Encontramos função típica do exploit, que dá indícios de hospedagem do mesmo

Allinurl: exe.php, functions.php, geoip.dat
Procuramos urls que contenham arquivos típicos IcePack

Em outro caso, a empresa não compreendia que suas informações de contatos, acessíveis apenas pelos profissionais da empresa, estavam sendo utilizadas por concorrente, que se antecipava nas contratações. Isso muito bem poderia ser um colaborador insatisfeito que fornecia o link completo com as senhas do Apache. Mas o fato era mais gritante, pois o próprio Google já poderia fornecer tais informações.

Então ilustrativamente procedemos com o seguinte código:

http://www.google.com.br/search?hl=pt-BR&q=contatos&empresa +filetype%3Axls&meta=

Logo evidenciamos o arquivo confidencial da empresa, figurando entre as principais páginas. O segundo passo era saber se existia algum link referenciando para o arquivo “confidencial”. Usamos então o operador link, da seguinte maneira:

link:http://www.empresax.com.br/doc/202020/prote/contatos.xls

Foi então que identificamos a materialidade da concorrência desleal, a medida em que o servidor de um blog ligado à empresa concorrente, especificamente em seu fórum também aparentemente “protegido”, fazia várias referências ao arquivo encontrado.

Mas o criminoso pode muito bem retirar as referências do ar, se suspeitar de uma investigação. E neste ponto mais uma vez o Google vem a contribuir, com o operador cache (cahe:http://www.legaltech.com.br). Ele nos mostra a ultima versão do site armazenada pelo robô.

Senhas à mostra

Como verificamos, senhas, arquivos de vídeo, arquivos macromedia flash (.fla) e outros arquivos ocultos podem ser encontrados no Google, que se tornou uma poderosa ferramenta de engenharia social e teste de intrusão, bem como aplicável a investigação de incidentes.

Uma simples busca por curriculum* filetype:doc e encontramos curriculuns de diversas pessoas disponibilizados em diretórios pessoais, muitos com RG, CPF, data de nascimento, filiação e outros dados necessários a prática de golpes. Experimente então conta corrente* filetype:doc (!)

Experimente também: “Index of /” +.htaccess

É bem provável que ninguém utilize mais os formulários do FrontPage? Negativo! Ao consultarmos: “inurl:”auth_user_file.txt” [3] encontramos:

Tela contendo senhas e nomes de usuários em formulário padrão FrontPage.

Por outro lado, o trabalho do perito em crimes eletrônicos é facilitado com a ferramenta. Hoje é possível refinar pesquisas em busca de Wordlists, utilizáveis em ataques de dicionário inclusive para quebra de hashes wi-fi, bem como Shells vulneráveis para a prática de XSS Cross-site Scripting e Code Injection [2].

Alguns exemplos que podem ser utilizados em perícias específicas:

www.fhp.pt/cgi-bin/pw/storemgr.pwallinurl:browse.asp?cat=
***/site.com/browse.asp?cat=……..

***/site.com/db/store.mdbIndex of /admin

Ao pesquisarmos também sobre Botnets ocultos hospedados em hosts da Espanha, conhecedores da codificação de programação dos arquivos, utilizamos a seguinte string:

“if(!($this->conn = fsockopen($this->config[’server’],$this->config[’port’],$e,$s30)))” Location: Spain

Encontramos muitos hosts que hospedam pragas virtuais, muitos desprotegidos ou que até o momento não sabem que hospedam trojans e softwares maliciosos:

Pbot (Botnet) oculto, encontrado via Google.

.

Dicionários para BrutalForce e Ataques de Dicionários também podem ser encontrados utilizando-se a seguinte chave de pesquisa:

allinurl: dics filetype:txt
Veja os resultados abaixo [4]

Uso indevido de e-mail corporativo

Em uma outra atuação, o colaborador contestava judicialmente os logs do Squid, que davam conta de seus acessos constantes a sites, forums, bem como o envio de mensagens pessoais com o e-mail corporativo, que era sabatinado a spams, o que prejudicava os recursos tecnológicos da empresa e, principalmente, contrariava seu regulamento interno de segurança da informação.

Como testemunha, só nos restava o Google, que foi importante para a decisão corporativa e influenciou na judicial. O chave utilizada foi “@empresa.com.br”. Uma tag simples, porém eficaz, onde ficamos espantados por onde o e-mail da corporação transitava na internet: de listas de futebol do site do Milton Neves a sites de conteúdo pornográfico.

Fotos

Em se tratando de fotos, outra utilidade importante é verificar compartilhadores de fotos íntimas. Em um caso onde fotos de cliente em situação íntima foi publicada na internet, sendo inviável ingressar com dezenas de pedidos de quebra judicial, o mecanismo pode auxiliar a encontrar nichos, fórum e listas que continuavam a compartilhar as fotos. Uma simples expressão foi suficiente: cidade+loira filetype:jpg ou allinurl: nomevitima filetype:jpg

Ainda, o Google tem se mostrado de extrema valia para rastrear a comercialização de códigos fonte DPR (Delphi) para phishing scam. De não menos relevância, pode ser utilizado para detecção de contrafação e cópias ilegais de fonogramas e mp3, disponibilizadas em páginas aparentemente ocultas. De outra ordem, é possível vasculhar os .dat de Emule e LimeWire, em busca de compartilhadores p2p.

Em conclusão, pretendemos como presente trabalho apresentar algumas das funcionalidades do Google, focadas à perícia computacional.

Como visto, o Google sabe mais de nós mesmos do que nossos mais íntimos, e se bem manipulado, pode corroborar com investigações criminais e de incidentes no ambiente de trabalho. Evidentemente, não pretendemos esgotar as discussões acerca do tema, onde a colaboração 2.0 demonstra-se fundamental para que pesquisemos outros métodos de identificação de incidentes.

As funcionalidades devem aumentar, sobretudo com o advento da web semântica 3.0, que provavelmente trará uma web baseada em ontologias e metadados, fornecendo pesquisas mais precisas, onde “manga” fruta não será “manga” de camisa, IcePack não será uma “forminha de gelo” e “vírus” não retornará informações sobre a “dengue” ou coisa parecida. [Webinsider]

NOTAS:

[1] Johnny Long escreveu o Livro Google Hacking For Penetration Testers, 2004. Site:

[2] http://www.planetahacker.com.br/string_hacker.html

[3] http://www.scribd.com/doc/2233418/Hackers-Favorite-Search-Queries-1?query2=auth_user_file.txt

[4] http://www.google.com.br/search?hl=pt-BR&q=allinurl%3A+dics+filetype%3Atxt&btnG=Pesquisar&meta=

4 pessoas comentaram o artigo "Google Forensics: investigando cybercrimes"

Avisos

Os ítens com asterisco ( * ) são campos de preenchimento obrigatório.

Todos os links inseridos nos comentários possuem o atributo rel="nofollow" para impedir com que user agents (como os mecanismos de busca) sigam os links inseridos para desestimular spammers.

Todos devem se identificar através de e-mail válido.

Os e-mails dos usuários não serão divulgados no site.