Benvenuti in questo nuovo episodio della serie di Hacking!

Oggi tratteremo di uno strumento di hacking tanto semplice da usare quanto potente, infatti andremo ad usare proprio il nostro amatissimo Google!
Sì, avete capito bene. Useremo Google come strumento per rubare informazioni. Ma come?
Stiamo parlando del cosiddetto Google Dorking.

Il Google Dorking è una tecnica che, utilizzando solamente il motore di ricerca (Google, ovviamente), riesce a trovare dei file, delle cartelle, dei siti in cui sono presenti informazioni private.
Utilizzando dei comandi specifici, infatti, potremo andare a cercare determinate risorse o pagine web che sono state indicizzate “per sbaglio”, ovvero sono presenti nell’indice di Google (quindi visibili al mondo intero), ma che in realtà non dovrebbero esserlo.

Per farvi un esempio, su Google si trovano molti file Excel, pdf o altro in cui sono presenti veri e propri database con email e password degli utenti di un sito! Detto questo, mettiamoci al pc e cerchiamo su Google!

Prima di tutto, un disclaimer: fate il tutto con la modalità “In Incognito” di Chrome, dato che Google potrebbe accorgersi che stiamo facendo qualcosa di sospetto e potrebbe bannarci l’IP o l’account (se avete una VPN è ancora meglio).

Ovviamente, se scrivessimo solo “password” su google, non ci uscirebbe granchè, quindi cosa possiamo fare?

Come detto prima, esistono dei “Comandi di Ricerca” per Google, che andremo ad usare:
ext:estensione, ad esempio, cerca tutti i file con l’estensione specificata.
Andando a scrivere “password ext:txt”, già ci verranno fuori solo file .txt, ma è ancora troppo presto.

Cosa succede se provassimo a cercare le estensioni .xls, ovvero i fogli di Excel?
Bene, troveremo subito alcuni fogli di calcolo contenenti password visibili in chiaro, cosa che non è di certo ottima… ma non è finita qui.

Ci sono molti altri comandi, in particolare, il comando “intext” cerca all’interno del testo della pagina, mentre “inurl” cerca all’interno dell’url di una pagina.
L’importante è, mi raccomando, mai fermarsi alla prima pagina, ma è andando avanti con le pagine che si trovano i risultati più interessanti!

Il comando Inurl è potentissimo: sapendo, ad esempio, che le pagine di login di alcune webcam si chiamano “/view/viewer_index.shtml”; andando a cercare su Google “inurl:/view/viewer_index.shtml” ci apparirà una lista piena di webcam, sia pubbliche sia private, che possiamo addirittura comandare e muovere a distanza. Pensate alle telecamere di sorveglianza interne alle case!

State attenti a configurare telecamere e dispositivi collegati ad internet in generale: prestate attenzione a dove mettete le mani e controllate di aver impostato tutto correttamente!