Los motores de búsqueda en línea ayudan a levantar la cobertura de la privacidad

Sentado en su computadora portátil, Chris O’Ferrell escribe algunas palabras en el motor de búsqueda de Google y aparece un enlace a lo que parece ser un documento militar que enumera a los presuntos miembros talibanes y de Al Qaeda, fecha de nacimiento, lugar de nacimiento, números de pasaporte y Números de identificación nacional.

Otra búsqueda arroja una hoja de cálculo de nombres y números de tarjetas de crédito.

“Todos los motores de búsqueda te darán esto”, dijo O’Ferrell, señalando los archivos de botín que encontró en Internet: registros médicos, números de cuentas bancarias, calificaciones de estudiantes y las ubicaciones de atraque de 804 barcos, submarinos y naves de la Marina de los EE. UU. destructores

Y todo es legal, utilizando el motor de búsqueda en Internet más poderoso del mundo.

Los expertos en ciberseguridad dicen que un número cada vez mayor de documentos privados o supuestamente secretos están en línea en rincones apartados de las computadoras en todo el mundo, dejando al gobierno, a las personas y a las empresas vulnerables a las violaciones de seguridad. En algunos sitios web y diversos grupos de mensajes, los aficionados a la tecnología incluso ofrecen instrucciones sobre cómo encontrar documentos confidenciales mediante una búsqueda relativamente simple. Aunque técnicamente no traspasa, la práctica a veces se llama “pirateo de Google”.

ANUNCIO

CONTINUAR LEYENDO ABAJO

“Hay toda una subcultura que está haciendo esto”, dijo O’Ferrell, un experto en piratería y director de tecnología de la consultora de seguridad Netsec Inc., con sede en Herndon.

En la década que han existido, los motores de búsqueda como Google se han vuelto más poderosos. Al mismo tiempo, la Web se ha convertido en una fuente de información más rica a medida que más empresas y agencias gubernamentales confían en Internet para transmitir y compartir información. Todo se almacena en computadoras llamadas servidores, cada uno vinculado a Internet.

Por una variedad de razones (servidores mal configurados, agujeros en los sistemas de seguridad, errores humanos), una gran variedad de material que no está destinado a ser visto por el público, de hecho, está disponible públicamente. Una vez que Google u otro motor de búsqueda lo encuentra, es casi imposible volver a guardar el secreto.

Eso está dando lugar a una mayor actividad por parte de “Googledorks”, que busca información confidencial en Internet, dijeron ingenieros de seguridad.

“En cuanto a la cantidad de sitios afectados por esto, es de decenas de miles”, dijo Johnny Long, de 32 años, investigador y desarrollador de Computer Sciences Corp. y veterano hacker que mantiene un sitio web al que dice que lo mantiene conectado. La comunidad hacker. Él habló sobre el pirateo de Google en la convención de hackers Def Con en Las Vegas el verano pasado, lo que ha llevado a una mayor conciencia de las vulnerabilidades, dijo.
Google se destaca por estas búsquedas debido a su efectividad.

ANUNCIO

CONTINUAR LEYENDO ABAJO

“La razón por la que Google es bueno es que te dan más información y te dan más herramientas para buscar”, dijo O’Ferrell.

Su poderosa computadora “rastrea” en cada página web en Internet al menos cada dos semanas, lo que significa navegar por cada servidor público del mundo, tomar cada página y cada enlace adjunto a cada página. Esos resultados se catalogan utilizando sistemas matemáticos complejos.

Los expertos en seguridad dijeron que la forma más básica de evitar que Google llegue a la información en un servidor web es establecer un controlador digital en forma de una hoja de instrucciones para el rastreador del motor de búsqueda. Ese archivo, que se llama robots.txt, define qué está abierto para el rastreador y qué no. Pero si el archivo robots.txt no está configurado correctamente, o si se deja inadvertidamente, se abre un agujero donde entra Google. Y como los rastreadores de Google son legales, no se activarán las alarmas.

“Lo más aterrador es que esto podría estar ocurriendo al gobierno y es posible que nunca sepan que estaba sucediendo”, dijo Long. “Si hay una grieta en la armadura, [the hackers] lo encontrará “.

Google y otros funcionarios de motores de búsqueda dijeron que son sensibles al problema, pero que no están en condiciones de controlarlo.

Con un vasto sistema de más de 10,000 sistemas informáticos que recopilan constantemente información nueva en más de 3 mil millones de sitios web, la compañía no puede ni quiere vigilar o censurar lo que está en la Web, dijo Craig Silverstein, director de tecnología de Google.

“Creo que los maestros web deben tener cuidado”, dijo. “El problema básico es que con 3 mil millones [Web sites], hay mucha información por ahí “. Ofrece una herramienta en su propio sitio web, “Directrices para webmasters”, sobre cómo eliminar sitios web del sistema de Google, incluida la gran tienda de páginas en caché de Google que puede que ya no estén disponibles en línea, dijo Silverstein.

Para los expertos en piratería, la piratería de Google tiene una especie de atractivo populista: cualquiera con acceso a Internet puede hacerlo si conoce la forma correcta de buscar.

“Es el hackeo más fácil de apuntar y hacer clic: es divertido, es nuevo, peculiar y, sin embargo, puede lograr resultados poderosos”, dijo Edward Skoudis, consultor de seguridad de INS Inc., que ayuda a los clientes gubernamentales y comerciales a monitorear lo que es visible. de la web. “Este concepto de usar un motor de búsqueda para piratear ha existido por un tiempo, pero ha despegado en los últimos meses”, probablemente debido a un nuevo entusiasmo en la comunidad de piratería clandestina, dijo.
Las cadenas de búsqueda que incluyen “xls”, “cc” o “ssn” a menudo muestran hojas de cálculo, números de tarjetas de crédito y números de Seguro Social vinculados a una lista de clientes. Agregar la palabra “total” en las búsquedas a menudo muestra hojas de cálculo financieras que totalizan cifras en dólares. Un hacker con suficiente tiempo y experiencia para reconocer contenido confidencial puede encontrar una cantidad alarmante de información supuestamente privada.

ANUNCIO

CONTINUAR LEYENDO ABAJO

“En un [client’s] En el sitio del banco, encontré una hoja de cálculo Excel con 10,000 números de seguro social y tarjetas de crédito ”, dijo Skoudis, de una de sus exitosas búsquedas del tesoro.

El servidor web del banco se configuró correctamente para mantener dichos documentos privados, pero alguien colocó la información por error en el lado equivocado de la cerca, dijo. “Google encontró la puerta abierta y entró”.

Skoudis confrontó a los “ejecutivos con la cara roja” con sus hallazgos, dijo, y le dijeron: “Solo arréglalo, maldición”.

Google y otros operadores de motores de búsqueda no pueden medir con qué frecuencia se accede a los documentos privados utilizando sus sitios, o cuántos se eliminan por razones de seguridad.

“El desafío es que a medida que la herramienta de motor de búsqueda evolucionó, las personas se volvieron más laxas sobre lo que pusieron en un servidor web disponible al público”, dijo Tom Wilde, vicepresidente y gerente general de los 19 motores de búsqueda de Terra Lycos. “Sería imposible monitorear” las decenas de millones de búsquedas que tienen lugar todos los días, dijo Wilde, y agregó que nunca se le ha notificado una violación de seguridad en sus sitios.

ANUNCIO

CONTINUAR LEYENDO ABAJO

Funcionarios del gobierno dijeron que estaban familiarizados con el pirateo de Google y que estaban trabajando con agencias gubernamentales y empresas para asegurar documentos confidenciales en servidores web.

“Es un problema que conocemos y rastreamos”, dijo Amit Yoran, director de la división de seguridad cibernética del Departamento de Seguridad Nacional. Por ley, cada agencia es responsable de su propia seguridad y, aunque se informan a Homeland Security de piratería o violaciones de seguridad, la división de ciberseguridad no supervisa el contenido de la Web, dijo.

No está claro quién tiene la culpa cuando alguien desentierra un documento confidencial.

“No sé qué ley ha sido violada solo por buscar” en un motor de búsqueda disponible públicamente, dijo Paul Bresson, un portavoz del FBI, y señaló que la oficina aún no ha tomado medidas contra las personas que han encontrado documentos seguros utilizando motores de búsqueda. . “Si lo usan para algún propósito siniestro, ese es otro problema”.

La disponibilidad de información privada contribuye a aumentar la incidencia del robo de identidad, que durante los últimos cuatro años ha sido el problema de consumo número uno para la Comisión Federal de Comercio. El año pasado, la FTC recibió casi 215,000 quejas sobre robo de identidad, en comparación con las 152,000 en 2002.

ANUNCIO

CONTINUAR LEYENDO ABAJO

Desde 2001, la FTC ha resuelto casos con Eli Lilly & Co., Microsoft Corp. y el fabricante de ropa Guess Inc. por no tomar medidas “razonables” para mantener segura la información médica o financiera, dijo Jessica Rich, directora asistente de la oficina de la comisión. protección al Consumidor. Permitir que la información del cliente resida en un servidor no seguro puede abrir una empresa a dicha responsabilidad.

“Hay vulnerabilidades únicas debido a las bases de datos a las que se puede acceder a través de la Web”, dijo Rich, y agregó que la FTC prevé traer más casos relacionados con la seguridad en el futuro.

Una vez que se encuentran páginas confidenciales, no es fácil recuperarlas en secreto.

Incluso después de que un documento ha sido retirado de un servidor web, como fue el caso cuando MTV retiró de su sitio web un comunicado de prensa previo al Super Bowl que prometía “momentos impactantes” en el espectáculo de medio tiempo, los documentos a menudo permanecen en caché, o almacenados, en las computadoras de otros motores de búsqueda para que aún se pueda acceder a ellas.

“Una vez que se coloca en línea, es muy difícil recuperar el caballo digital en el establo electrónico”, dijo Marc Rotenberg, director ejecutivo del Centro de Información de Privacidad Electrónica. “Es casi imposible recuperarlo”.

ANUNCIO

CONTINUAR LEYENDO ABAJO

Fuente: Washington Post

Gracias a Montreal Web Design por el consejo.

Publicado por Serge.