miércoles, 28 de septiembre de 2011

Contenidos de los servidores de Google expuestos debido a un agujero de seguridad.

La primera vez que alguien consigue acceder a ficheros de programación alojados dentro de los servidores de Google. Según cuenta Ronald van den Heetkamp en su blog, durante unas horas se pudo acceder, a través de esta URL, a un directorio no protegido de uno de los servidores de Google, en el cual se podía navegar por sus contenidos.

Se trataba de una página web que era utilizada antiguamente por los webmasters para eliminar rápidamente del índice del buscador sus páginas web, pero que desde hace unos meses había sido sustituida por otra de 'Google Sitemaps'.

Por alguna razón desconocida, van den Heetkamp pudo acceder a estos contenidos y, de hecho, en este fichero comparte con nosotros algunos de los documentos que encontró. Así, podemos descubrir por ejemplo 'schema.sql', donde se crean una serie de tablas de mySQL de la Base de Datos 'dbRemoveUrl', y destinadas a almacenar algunos datos referentes a la eliminación de URLs, como información de los usuarios o de las páginas web a eliminar. Parece ser que, debido a restricciones de uso remoto de la Base de Datos, no se podía acceder a la información contenida en dichas tablas. Este no es el único caso en que Google utiliza mySQL para sus herramientas, y por ejemplo el sistema publicitario AdWords también lo emplea para almacenar datos de anunciantes.

También nos podíamos encontrar con 'config.txt', del cual podemos conocer que:

:: el robot de Google que efectuaba estas labores de comprobación para eliminar páginas web en realidad estaba instalado sobre la ruta '/apps/bin/robots_unittest' del servidor,

:: este robot seguía unos patrones de rastreo contenidos en el directorio '/home/google/googlebot/',

:: se almacenaban datos de rastreo en '/apps/smallcrawl-data',

:: la longitud máxima permitida en las URLs (al menos, de las que se querían eliminar con este método) era de 511 caracteres,

:: la aplicación estaba desarrollada con Java, y utilizando las antiguas clases de conexión con mySQL 'MM.MySQL', además de otras creadas por los ingenieros de Google

:: la clave del administrador de esta Base de Datos era tan sencilla como 'k00k00' (como hemos dicho, restricciones de uso remoto impedían conectar desde servidores externos)

Además de lo curioso que resulta poder ver un poco cómo están programadas las aplicaciones web que viene utilizando Google en producción, para la compañía supone un duro revés el hecho de que alguien pueda acceder de una manera tan evidente a los contenidos de sus servidores. Google está apostando, desde hace unos años, por ofrecer a los usuarios servicios con los cuales éstos pueden gestionar su información personal (correos, búsquedas realizadas, documentos, conversaciones de Mensajería Instantánea, fotografías, ...), además de estar almacenando asimismo datos privados (teléfonos móviles, número de tarjetas bancarias, ...).

Fuente:  http://google.dirson.com/