Мне совершенно не хочется оказаться в тюрьме по какому-нибудь пафосному обвинению, поэтому давайте просто обсудим, можно ли найти в Сети документы с паролями, которые вроде как должны быть конфиденциальными.

Что случится, если я напишу следующий запрос: site: gov.ir intext: password filetype: xls? Это должно ограничить область поиска доменом gov.ir и файлами с расширением .xls, в которых упоминается слово «password». Результаты — на скриншоте 2.17.

Хммм, ничего толкового. С чего бы в документах правительства Ирака упоминались английские слова? Давайте попробуем воспользоваться Google-переводчиком и переведем наш запрос «пароль» на фарси (в Google-переводчике он обозначен как «персидский»). Результаты — на скриншоте 2.18.

Вот где видна истинная сила поиска в Google! Мне не нужно было знать чужие языки или даже искать слова на фарси. Я просто попросил Google найти мне одно слово — и получил необходимые документы.

Веб-камеры: в нижнем белье перед ними лучше не танцевать

Было время, когда люди сами с готовностью устанавливали веб-камеры в своих домах. Ведь с их помощью можно наблюдать за детьми и их нянями, домашними животными, следить за безопасностью и т. п.

Многие такие камеры продавались с преднастройками, которые делали их весьма уязвимыми для хакеров. Программное обеспечение, шедшее с ними в комплекте, тоже оставляло желать лучшего. Несомненно, оно упрощало процесс использования для потребителя — но и для злоумышленников тоже.

К этому программному обеспечению можно отнести программу webcamXP. По названию продукта понятно, что он создавался для Windows: XP, Vista, 7, 8, 9, 10, Server 2003, 2008 и 2012. Согласно информации с сайта программы, в последний раз ее обновляли в 2016 году. Логично предположить, что сегодня программа не особенно популярна, так что вряд ли можно найти с ее помощью что-то интересное. Согласны?!

Короче говоря, я ввел в строку поиска запрос intitle: «Webcam 7» inurl:8080 — intext:8080. Взгляните на скриншот 2.19, там изображены результаты.

Понятное дело, многие из этих камер специально размещались для ведения публичных онлайн-трансляций. Например, некоторые из них установлены на дорогах, побережьях и т. п. Можно также найти камеры, явно установленные для личного использования, в частных дворах и домах. Так вот, если такая камера не окажется должным образом защищена, человек, обладающий определенным набором навыков, сможет подключиться к ней и наблюдать за вами — и вы об этом даже не узнаете.

Другие источники данных

Обычно, когда я добираюсь до этой части повествования, слушатели испытывают нечто среднее между ужасом и любопытством и хотят узнать, что еще можно найти с помощью Google. Я не собираюсь перечислять все проведенные мной «поисковые операции», но могу привести примеры информации, которую обнаружил, пользуясь исключительно Google-поиском.

• Веб-камера парня, который следил за ростом марихуаны на его домашней плантации.

• Личные фото людей с их телефонов.

• Расшаренные папки с музыкой и фильмами.

• Документы с паролями, датами рождения и номерами социального страхования.

• Тысячи номеров кредитных карт, сохраненных в файлах.

• Полностью открытые базы данных SQL.

• Открытый доступ к камерам, установленным на дорогах.

• Открытый доступ к системам энергоснабжения и управления.

• Несколько мест, где можно было найти детскую порнографию.

Этот список можно продолжать и продолжать.

И еще два важных аспекта

Этот раздел тоже можно было бы превратить в отдельную книгу. Но, прежде чем мы двинемся дальше и перейдем к следующей главе, необходимо упомянуть еще два важных аспекта.

Роботы — это круто

Когда я был маленьким, мне жутко хотелось иметь робота. Мне казалось, что R2D2 стал бы для меня лучшим другом, если бы я мог его где-нибудь достать. Но сейчас речь пойдет о других роботах. А точнее, о файлах robots.txt.

Что же это за файлы такие? Владельцы сайтов используют их, чтобы сообщать веб-паукам, куда тем запрещен путь. Например, в файлах robots.txt нередко встречаются команды Disallow («запретить»), не позволяющие роботу занести папку в кэш. Например, на илл. 2.20 изображен такой файл для сайта https://www.whitehouse.gov/.

А теперь представьте на секундочку, что вы — социальный инженер. Что вы видите на илл. 2.20?

А видите вы не только список существующих папок, но также и в какие из них вас не хотят пускать — то есть какие не должны быть проиндексированы в Google.

Кроме того, файлы вроде mysql и pgpsql указывают технологии, использовавшиеся для создания сайта.