Dejar
datos privados en servidores expuestos de AWS no es tan raro como podrías
pensar. Los investigadores de seguridad y los
hackers pueden acceder a estos datos con facilidad utilizando las
herramientas adecuadas. Para facilitar aún más este proceso, algunos
desarrolladores han creado una herramienta llamada BuckHacker, que permite
buscar servidores expuestos.
datos privados en servidores expuestos de AWS no es tan raro como podrías
pensar. Los investigadores de seguridad y los
hackers pueden acceder a estos datos con facilidad utilizando las
herramientas adecuadas. Para facilitar aún más este proceso, algunos
desarrolladores han creado una herramienta llamada BuckHacker, que permite
buscar servidores expuestos.
¿Qué es y cómo funciona BuckHacker?
En
el pasado debes haber leído sobre Shodan, el motor de búsqueda de los hackers.
BuckHacker es otra herramienta interesante que se puede utilizar para probar
las medidas de seguridad empleadas por los servidores web sin ninguna
experiencia previa en el campo de la seguridad de TI.
En
un correo electrónico a Motherboard, los desarrolladores anónimos subrayaron
la inspiración detrás de este proyecto. Su objetivo es aumentar la
seguridad asociada con los repositorios y proyectos de código. “Demasiadas
compañías fueron [sic] golpeadas por tener permisos erróneos
en los buckets en los últimos años”, agregaron.
Este
motor de búsqueda permite buscar servidores hackeables usando el nombre del bucket
o el nombre del archivo. Además, también devuelve las entradas etiquetadas
como “Access Denied” y “The specified bucket does not exist.” Esta función
puede confirmar que el objetivo está utilizando los servicios de Amazon.
Recoge
los nombres del bucket y sus páginas de índice. Los resultados se
almacenan en una base de datos, que luego pueden ser buscados por otros
usuarios. Según los desarrolladores, el proyecto se encuentra actualmente
en las primeras etapas de desarrollo y es bastante inestable.
los nombres del bucket y sus páginas de índice. Los resultados se
almacenan en una base de datos, que luego pueden ser buscados por otros
usuarios. Según los desarrolladores, el proyecto se encuentra actualmente
en las primeras etapas de desarrollo y es bastante inestable.
Por
el momento, no hay información sobre el lanzamiento de BuckHacker o cualquier
otro detalle relacionado. En caso de encontrar información más relevante,
actualizaré este artículo.
Actualización: El Proyecto ha sido abandonado. Sin embargo, puedes usar AWSBucketDump que es una herramienta similar.
el momento, no hay información sobre el lanzamiento de BuckHacker o cualquier
otro detalle relacionado. En caso de encontrar información más relevante,
actualizaré este artículo.
Actualización: El Proyecto ha sido abandonado. Sin embargo, puedes usar AWSBucketDump que es una herramienta similar.
Fuente:
Fossbytes
Si había leído de Shodan, básicamente rastrea metadatos de páginas webs y busca vulnerabilidades, también existe otra herramienta llamada Maltego:
http://pentest-angelwhite.blogspot.pe/2015/10/aprendiendo-el-arte-del-doxing.html
Maltego es una herramienta muy completa pero es de pago. ¡Saludos cordiales!