L'Information leakage è la divulgazione, spesso non intenzionale, di informazioni sensibili al pubblico: il Web è una fonte primaria da cui attingere e da cui guardarsi, sovente utilizzata per reperire dati anche non troppo evidenti. E' infatti più comune rivolgere il proprio interesse verso le altre aziende (per spionaggio industriale o per semplice curiosità) piuttosto che verso la propria, lasciando spiragli aperti su dati che dovrebbero essere protetti.
I responsabili della sicurezza aziendale possono oggi utilizzare le tecniche e gli strumenti descritti nel libro di Johnny Long per valutare il grado di information leakage della propria organizzazione, testando e implementando eventuali rimedi.
La popolarità del Google hacking risiede nell'estrema limpidezza dei suoi risultati: trovare un file di configurazione, una mail box, chiavi di registro, file di database non è mai stato così facile.
Il libro dimostra vari modi per reperire una quantità smisurata di informazioni utilizzando semplici query, ma per fortuna omette di segnalare come reperire numeri di carte di credito (sebbene siano informazioni reperibili sul web).
Grazie a Google Hacking for Penetration Testers, un'amministratore della sicurezza potrà conoscere strumenti come Sensepost's Wikto, che automatizza lo scanning via Google, trovare implementazioni in Perl, Python, C#, and C.
Nota: Nel caso dobbiate far condurre del test di penetrazione da parte di aziende esterne, assicuratevi che offrano anche un servizio di assessment della vostra esposizione su Google.
Potete acquistare il libro con gorilla.it, anche se al momento non è ancora nel catalogo online, oppure su Amazon.
Google Hacking for Penetration Testers
Autore: Johnny Long
Editore: Syngress; 1 edition (December 1, 2004)
ISBN: 1931836361
Nessun commento:
Posta un commento