WhisperPair: Kritická zranitelnost v Google Fast Pair ohrožuje miliony Bluetooth zařízení

Úvod

V lednu 2026 byla zveřejněna informace o kritické bezpečnostní zranitelnosti s označením CVE-2025-36911, která ohrožuje stovky milionů Bluetooth audio zařízení podporujících technologii Google Fast Pair. Tato zranitelnost, pojmenovaná WhisperPair, umožňuje útočníkům neautorizovaně převzít kontrolu nad zařízením a v některých případech i sledovat jeho majitele pomocí lokalizační sítě Google Find Hub.

Zranitelnost objevili výzkumníci z výzkumné skupiny COSIC na KU Leuven v Belgii, kteří problém odpovědně nahlásili společnosti Google již v srpnu 2025. Google klasifikoval tento problém jako kritický a udělil výzkumníkům maximální možnou odměnu 15 000 dolarů.

Co je Google Fast Pair?

Google Fast Pair je technologie usnadňující párování Bluetooth příslušenství s Android zařízeními. Místo klasického postupu, kdy uživatel musí manuálně vyhledat zařízení v nastavení Bluetooth, umožňuje Fast Pair spárování jediným dotykem po otevření pouzdra sluchátek. Systém navíc synchronizuje zařízení napříč všemi Android zařízeními přihlášenými ke stejnému Google účtu.

Tato funkce byla přijata mnoha předními výrobci audio příslušenství, včetně společností Sony, Google, Anker, JBL a dalších. Fast Pair je integrován přímo do firmwaru příslušenství a nelze ho vypnout.

Jak WhisperPair funguje?

Primární útok: Neautorizované párování

Útok WhisperPair využívá chybu v implementaci Fast Pair protokolu, kterou obsahuje překvapivě velké množství vlajkových produktů. Podle specifikace Fast Pair by zařízení mělo ignorovat požadavky na párování, pokud není v párovacím režimu. Mnohá zařízení však tuto kontrolu neimplementují správně.

Průběh útoku je následující:

1. Iniciace spojení: Útočník odešle zprávu Seekeru (zařízení, které chce provést párování) k Provideru (audio příslušenství), i když příslušenství není v párovacím režimu.

2. Nedostatečná validace: Zranitelné zařízení odpovídá na požadavek, ačkoliv by ho mělo ignorovat. Chybí kritická kontrola stavu zařízení.

3. Dokončení párování: Po obdržení odpovědi může útočník dokončit Fast Pair proceduru a navázat standardní Bluetooth spojení.

Celý útok trvá v mediánu pouhých 10 sekund a funguje na vzdálenost až 14 metrů. Nevyžaduje fyzický přístup k zařízení ani interakci s uživatelem. Útočník může použít běžný hardware, jako je notebook, smartphone nebo Raspberry Pi.

Po úspěšném převzetí má útočník plnou kontrolu nad zařízením. Může:

• Přehrávat audio na maximální hlasitosti
• Nahrávat rozhovory přes mikrofon zařízení
• Odposlouchávat veškerý zvuk přehrávaný na zařízení

Sekundární útok: Sledování polohy

WhisperPair umožňuje i sofistikovanější útok zaměřený na sledování polohy obětí. Tento útok funguje následovně:

1. Exploitace vlastnictví: Google Find Hub Network umožňuje majitelům najít ztracená zařízení pomocí crowdsourcovaných lokalizačních zpráv z Android zařízení. Vlastnictví zařízení je určeno prvním Account Key zapsaným do příslušenství při párování s Android zařízením.

2. Podmínka útoku: Pokud oběť nikdy nespárovala své příslušenství s Android zařízením (například používá iPhone nebo počítač), útočník může pomocí WhisperPair zařízení spárovat a zapsat svůj vlastní Account Key.

3. Následek: Útočník se stane "vlastníkem" zařízení v systému Find Hub a může sledovat jeho polohu v reálném čase prostřednictvím Android zařízení v okolí.

4. Maskování: Oběť může po několika hodinách nebo dnech obdržet upozornění na nechtěné sledování, ale toto upozornění zobrazí její vlastní zařízení, což může vést k tomu, že varování odmítne jako chybu systému.

Rozsah dopadu

WhisperPair není izolovaný problém jednoho výrobce. Výzkum prokázal, že zranitelnost postihuje:

• Více výrobců: Sony, Google (Pixel Buds), Anker, JBL, Nothing a další
• Různé chipsety: Problém není specifický pro jeden chipset, což naznačuje systematickou chybu v pochopení specifikace
• Vlaková produkty: I nejnovější a nejdražší produkty jsou zranitelné

Selhání na všech úrovních

Zranitelná zařízení prošla:

1. Interním testováním výrobců
2. Certifikačním procesem Google Fast Pair
3. Standardními QA testy

To demonstruje systémové selhání, nikoliv individuální vývojářskou chybu. Celý řetězec validace selhal při detekci této kritické zranitelnosti.

Kdo je zranitelný?

Zranitelnost postihuje všechny uživatele Bluetooth audio příslušenství s podporou Fast Pair, bez ohledu na používaný smartphone:

• Android uživatelé: Plně zranitelní vůči oběma útokům
• iPhone uživatelé: Zranitelní vůči útoku neautorizovaného párování i sledování polohy
• Ostatní platformy: Stejně zranitelní, protože Fast Pair je implementován v příslušenství, nikoliv v telefonu

Vypnutí Fast Pair skenování v nastavení Android telefonu problém neřeší, protože funkce je integrována přímo do firmwaru příslušenství.

Jak se chránit

Jediné řešení: Aktualizace firmwaru

Zranitelnost nelze opravit žádným nastavením ani factory resetem zařízení. Jediným řešením je instalace bezpečnostní aktualizace firmwaru vydané výrobcem příslušenství.

Doporučené kroky:

1. Identifikujte svá zařízení podporující Fast Pair (sluchátka, reproduktory)
2. Navštivte webovou stránku výrobce nebo konzultujte manuál
3. Zkontrolujte dostupnost bezpečnostní aktualizace
4. Nainstalujte nejnovější verzi firmwaru

Seznam zranitelných zařízení

Webová stránka whisperpair.eu poskytuje nástroj pro kontrolu konkrétních modelů zařízení. Mezi potvrzené zranitelné produkty patří:

• Google Pixel Buds Pro 2
• Sony WH-1000XM5 a další modely
• Anker Soundcore Liberty
• Nothing Ear
• JBL různé modely

Technická perspektiva: Návrh opravy

Výzkumníci ve své práci nenabízejí pouze identifikaci problému, ale i návrh řešení. Namísto spoléhání se na kontrolu stavu na aplikační vrstvě navrhují:

Kryptografickou vazbu záměru párování: Podmínku párování začlenit přímo do derivace klíčů. Tento přístup zajišťuje, že problém je řešen na nejvyšší možné úrovni protokolu, kde je nejméně pravděpodobné jeho opominutí.

Detaily tohoto návrhu budou brzy publikovány v akademické práci výzkumníků.

Zodpovědné zveřejnění a reakce

Timeline

• Srpen 2025: Nahlášení zranitelnosti společnosti Google
• 150denní okno: Čas pro práci s partnery na vydání záplat
• Leden 2026: Veřejné zveřejnění informací

Spolupráce

Google a Android Security Team projevili vysokou míru spolupráce:

• Klasifikace jako kritická zranitelnost (CVE-2025-36911)
• Maximální odměna 15 000 USD
• Koordinace s výrobci na vydání záplat
• Aktivní komunikace během celého procesu

Výzkumníci vyjádřili poděkování Google za jejich odpovědný přístup a rychlou reakci.

Mediální ohlas

Zranitelnost WhisperPair získala značnou pozornost mezinárodních médií:

• WIRED: Rozsáhlý článek o stovkách milionů ohrožených zařízení
• The Verge: Detailní pokrytí technických aspektů
• Ars Technica: Analýza dopadu na ekosystém
• The New York Times: Praktické rady pro ochranu

Český mediální prostor na problém reagoval prostřednictvím De Morgen, Het Nieuwsblad, Datanews a dalších médií.

Výzkumný tým

Zranitelnost objevil tým výzkumníků ze skupiny COSIC na KU Leuven:

Primární autoři:

• Sayon Duttagupta (COSIC)
• Seppe Wyns (DistriNet - Group T, dříve COSIC)

Přispívající výzkumníci:

• Nikola Antonijević (COSIC)
• Bart Preneel (COSIC)
• Dave Singelée (DistriNet - Group T)

Práce byla podpořena vlámskou vládou prostřednictvím programu Cybersecurity Research.

Závěr

WhisperPair představuje vážné memento o rizicích spojených s tzv. "convenience features" - funkcemi zaměřenými na zlepšení uživatelského komfortu. Zatímco Google Fast Pair skutečně zjednodušuje párování Bluetooth zařízení, jeho implementace přinesla bezpečnostní rizika pro stovky milionů uživatelů.

Případová studie WhisperPair ukazuje několik důležitých lekcí:

1. Bezpečnost musí být prioritou: Convenience funkce nesmějí být implementovány na úkor bezpečnosti
2. Certifikace není zárukou: I přísné certifikační procesy mohou přehlédnout kritické chyby
3. Zodpovědné zveřejnění funguje: Spolupráce mezi výzkumníky a výrobci vede k rychlejší nápravě
4. Aktualizace jsou klíčové: Firmware příslušenství je stejně důležitý jako aktualizace operačního systému

Pro uživatele je klíčovým poučením nutnost pravidelně aktualizovat nejen smartphone, ale i všechna připojená zařízení. V moderním propojeném světě je bezpečnost celého ekosystému určena nejslabším článkem.

Zdroje:

• WhisperPair.eu - oficiální stránka výzkumu
• CVE-2025-36911 - oficiální záznam zranitelnosti
• Zprávy WIRED, The Verge, Ars Technica a dalších médií

Poznámka: V době publikace tohoto článku již mnoho výrobců vydalo bezpečnostní záplaty. Uživatelé by měli co nejdříve zkontrolovat dostupnost aktualizací pro svá zařízení.

The post WhisperPair: Kritická zranitelnost v Google Fast Pair first appeared on Hard Wired.

Google Dorks: Pokročilé vyhledávání pro vývojáře a bezpečnostní experty

Google Dorks představují jednu z nejsilnějších technik pro pokročilé vyhledávání informací na internetu. Tyto specializované vyhledávací dotazy využívají pokročilé operátory k odhalení specifických dat, která běžné vyhledávání často přehlédne. Pro vývojáře, bezpečnostní analytiky a IT specialisty představují neocenitelný nástroj pro průzkum digitálního prostoru.

Co jsou Google Dorks?

Google Dorks, známé také jako Google Dorking nebo Google Hacking, jsou pokročilé vyhledávací techniky, které využívají specializované operátory k vyhledání konkrétních informací v Googleově indexu. Tyto techniky byly poprvé představeny v roce 2002 bezpečnostním expertem Johnnym Longem a od té doby se staly standardním nástrojem v oblasti kyberbezpečnosti a OSINT (Open Source Intelligence).

Princip fungování

Google Dorks fungují na principu kombinování specifických vyhledávacích operátorů s cílenými klíčovými slovy. Místo širokého vyhledávání témat pomáhají Google Dorking příkazy zpřesnit výsledky a odhalit obsah, který nemusí být snadno dostupný prostřednictvím standardních vyhledávacích dotazů.

Příklad běžného vyhledávání:

login page security

Výsledek: Miliony obecných stránek o bezpečnosti přihlašovacích stránek

Příklad Google Dork:

intitle:"login" filetype:php site:company.com

Výsledek: Konkrétní PHP soubory s "login" v názvu na doméně company.com

Jak Google indexuje informace

Google jako vyhledávač prochází web pomocí crawlerů (robotů), kteří indexují obsah webových stránek. Tento proces zachytává nejen veřejně dostupný obsah, ale někdy i:

• Špatně nakonfigurované servery - zobrazující adresářové struktury
• Zapomenuté soubory - staré backupy, logy, konfigurační soubory
• Vývojářské materiály - testovací stránky, dokumentace
• Citlivá data - neúmyslně exponovaná v nesprávných lokacích

Praktický příklad:
Představte si vývojáře, který omylem nahrál konfigurační soubor database.config do veřejné složky. Standardní uživatel tento soubor nenajde, ale Google Dork může:

filetype:config "database" "password" site:targetsite.com

Hlavní výhodou Google Dorks je schopnost přistupovat k informacím, které nejsou snadno dostupné prostřednictvím standardního vyhledávání. Google jako indexovací služba organizuje webový obsah způsobem, který umožňuje přístup k těmto specializovaným dotazům, včetně oblastí typicky nepřístupných běžným uživatelům.

Základní Google Dork operátory

Operátory pro filtrování obsahu

Detailní vysvětlení základních operátorů

Operátor site:

Tento operátor je jedním z nejpoužívanějších a nejbezpečnějších. Umožňuje omezit vyhledávání pouze na konkrétní doménu nebo subdoménu.

Základní syntaxe:

site:domain.com "vyhledávaný termín"

Praktické příklady:

# Vyhledání všech PDF souborů na GitHubu
site:github.com filetype:pdf

# Hledání bezpečnostních advisories na konkrétní doméně
site:company.com "security advisory"

# Vyhledání všech subdomén
site:*.company.com

# Vyloučení hlavní domény, pouze subdomény
site:*.company.com -site:company.com

Reálný příklad výstupu:

site:stackoverflow.com "python security"
→ Vrátí: 
- https://stackoverflow.com/questions/python-security-best-practices
- https://stackoverflow.com/questions/secure-python-coding
- https://stackoverflow.com/questions/python-cryptography-libraries

Operátor filetype: a ext:

Tyto operátory jsou identické a umožňují vyhledávání konkrétních typů souborů.

Podporované formáty:

• Dokumenty: pdf, doc, docx, xls, xlsx, ppt, pptx, txt, rtf
• Archivy: zip, rar, tar, gz
• Konfigurace: xml, json, config, ini, cfg
• Skripty: php, asp, jsp, py, js
• Databáze: sql, db, mdb

Praktické příklady:

# Vyhledání Excel souborů s finančními daty
filetype:xlsx "budget" "quarterly"

# Konfiguračí soubory s hesly
filetype:config "password" OR "pwd"

# SQL soubory s dump daty
ext:sql "CREATE TABLE" "INSERT INTO"

# Presentation soubory o bezpečnosti
filetype:ppt OR filetype:pptx "cybersecurity" "presentation"

Operátor intitle:

Vyhledává konkrétní termíny v HTML značce <title> stránky.

Syntaxe a příklady:

# Základní vyhledávání
intitle:"admin panel"

# Kombinace s dalšími operátory
intitle:"login" site:company.com

# Vyhledání chybových stránek
intitle:"error" OR intitle:"not found" site:target.com

# Specifické aplikace
intitle:"phpMyAdmin" "Welcome to phpMyAdmin"

Nebezpečné kombinace pro testování:

# Exponované admin panely
intitle:"Admin Panel" OR intitle:"Administration"
intitle:"Control Panel" login
intitle:"Dashboard" password

# Databázové rozhraní
intitle:"phpMyAdmin" "running on"
intitle:"Adminer" "Database"

# Webové shelly
intitle:"Shell" "Command"
intitle:"Terminal" "Execute"

Operátor inurl:

Vyhledává termíny přímo v URL adrese stránky.

Bezpečnostní aplikace:

# Potenciálně zranitelné skripty
inurl:"admin.php"
inurl:"login.asp"
inurl:"config.php"

# SQL injection cíle
inurl:"php?id="
inurl:"product.php?id="
inurl:"news.php?article="

# File inclusion vulnerabilities
inurl:"include="
inurl:"page="
inurl:"file="

# Directory traversal
inurl:"../"
inurl:"path="

Pokročilé kombinace operátorů

Operátor allintitle:

Na rozdíl od intitle:, který hledá každý termín samostatně, allintitle: vyžaduje všechny termíny v názvu stránky.

# Všechny termíny musí být v názvu
allintitle:admin panel login

# Ekvivalent s intitle:
intitle:admin intitle:panel intitle:login

Operátor allinurl:

Podobně jako allintitle:, ale pro URL adresy.

# Všechny termíny v URL
allinurl:admin config php

# Ekvivalent s inurl:
inurl:admin inurl:config inurl:php

Operátor allintext:

Všechny termíny musí být v textu stránky.

# Vyhledání dokumentů s konkrétními termíny
allintext:confidential internal memo salary

# Hledání citlivých informací
allintext:password username database connection

Logické operátory a speciální znaky

Logické operátory

AND operátor

site:facebook.com & site:twitter.com

OR operátor

site:facebook.com | site:twitter.com

Kombinace operátorů

(site:facebook.com | site:twitter.com) & intext:"login"

Speciální znaky

*Wildcard ()**
Hvězdička slouží jako zástupný znak pro neznámé nebo proměnné slovo:

site:*.gov "confidential"

Uvozovky ("")
Vyhledávají přesnou frázi:

"error message" site:stackoverflow.com

Minus (-)
Vyloučí výsledky obsahující zadané slovo:

site:github.com -site:gist.github.com

Plus (+)
Zajistí zahrnutí konkrétního termínu:

+python +security site:*.edu

Praktické využití pro vývojáře

Vyhledávání zdrojového kódu a konfigurace

Analýza konfigurací a citlivých souborů

Konfigurační soubory:

# Web.config soubory (ASP.NET)
filetype:config inurl:web.config
# Výsledek: Exponované web.config soubory obsahující connection strings

# Database konfigurace
filetype:config "database" "password" 
# Reálný příklad nálezu:
# <connectionStrings>
#   <add name="DefaultConnection" connectionString="Data Source=server;Initial Catalog=db;User ID=admin;Password=123456"/>
# </connectionStrings>

# Environment soubory (.env)
filetype:env "DB_PASSWORD" | "API_KEY" | "SECRET_KEY"
# Typický nález:
# DB_PASSWORD=supersecretpassword
# API_KEY=sk-1234567890abcdef
# JWT_SECRET=myverysecretjwtkey

# Application.properties (Java Spring)
filetype:properties "spring.datasource.password"
# Příklad:
# spring.datasource.url=jdbc:mysql://localhost:3306/mydb
# spring.datasource.username=root
# spring.datasource.password=admin123

Backup a dočasné soubory:

# SQL dump soubory
filetype:sql "CREATE TABLE" "INSERT INTO"
# Může odhalit:
# CREATE TABLE users (id int, username varchar(50), password varchar(255));
# INSERT INTO users VALUES (1, 'admin', 'md5hashhere');

# Backup soubory
filetype:backup | filetype:bak | filetype:old
intitle:"index of" "backup"

# Dočasné vývojářské soubory
filetype:tmp | filetype:temp "test" | "debug"
"test.php" | "debug.php" | "temp.php"

Git a verzovací systémy

Exponované .git adresáře:

# .git konfigurace
intitle:"index of" ".git"
inurl:".git" filetype:config

# Konkrétní Git soubory
inurl:".git/config"
inurl:".git/HEAD"
inurl:".git/logs/"

# Reálný příklad nálezu v .git/config:
# [core]
#     repositoryformatversion = 0
# [remote "origin"]
#     url = https://username:password@github.com/company/secret-repo.git

API klíče ve veřejných repozitářích:

# GitHub hledání API klíčů
site:github.com "api_key" | "apikey" | "api-key"
site:github.com "secret_key" | "secretkey" 
site:github.com "private_key" BEGIN RSA PRIVATE KEY

# Specifické služby
site:github.com "aws_access_key_id"
site:github.com "SLACK_TOKEN" | "slack_api_token"
site:github.com "stripe_api_key" | "sk_live_"

# Reálný příklad nálezu:
# const API_KEY = "AIzaSyDXXXXXXXXXXXXXXXXXXXXXXXXXXXX";
# const STRIPE_SECRET = "sk_live_xxxxxxxxxxxxxxxxxxxx";

Analýza konkurence a research

Technologické zásobníky

Zjištění používaných technologií:

# Server technologie
site:competitor.com "powered by" | "built with" | "running on"
# Typické nálezy:
# "Powered by WordPress 5.8"
# "Built with React.js"
# "Running on Apache/2.4.41"

# Framework detekce
site:competitor.com "/wp-content/" | "/drupal/" | "/joomla/"
site:competitor.com "django" | "flask" | "laravel" | "symfony"

# CDN a služby
site:competitor.com "cloudflare" | "amazonaws" | "azure" | "googleapis"

Error stránky odhalující architekuru:

# Chybové zprávy serveru
site:competitor.com "500 Internal Server Error" | "404 Not Found"
site:competitor.com "Apache Tomcat" | "nginx" | "IIS"

# Databázové chyby
site:competitor.com "MySQL" "error" | "PostgreSQL" "error"
site:competitor.com "Warning: mysql_" | "Fatal error:"

# Reálný příklad chybové zprávy:
# Fatal error: Uncaught Error: Call to undefined function mysql_connect() 
# in /var/www/html/includes/database.php:15
# Stack trace: ...

Strategický business intelligence

Finanční a business dokumenty:

# Výroční zprávy
site:competitor.com filetype:pdf "annual report" | "výroční zpráva"
site:competitor.com filetype:pdf "investor" "presentation"

# Ceníky a obchodní podmínky
site:competitor.com filetype:pdf "price list" | "ceník" | "pricing"
site:competitor.com "terms of service" | "obchodní podmínky"

# Interní dokumenty (omylem publikované)
site:competitor.com filetype:doc | filetype:docx "confidential" | "internal"
site:competitor.com filetype:ppt | filetype:pptx "strategy" | "roadmap"

HR a personální informace:

# Organizační struktury
site:competitor.com filetype:pdf "organization chart" | "org chart"
site:competitor.com "employee directory" | "staff list"

# Job postings pro analýzu technologií
site:competitor.com "job" | "career" "python" | "java" | "react"
site:competitor.com "kubernetes" | "docker" | "aws" inurl:careers

Monitoring změn a aktualit

Novinky a press releases:

# Nedávné tiskové zprávy
site:competitor.com "press release" after:2024-01-01
site:competitor.com "announcement" | "oznámení" after:2024-01-01

# Partnership a spolupráce
site:competitor.com "partnership" | "collaboration" | "acquisition"
site:competitor.com "merger" | "investment" | "funding"

Vývojářský debugging a troubleshooting

Hledání řešení problémů

Stack traces a error logs:

# Specifické chybové zprávy
"java.lang.NullPointerException" site:stackoverflow.com
"TypeError: Cannot read property" site:github.com issues

# Python chyby
"Python" "traceback" "error" site:*.edu | site:github.com
"Django" "ImproperlyConfigured" site:stackoverflow.com

# JavaScript debugging
"Uncaught TypeError" "javascript" site:stackoverflow.com
"ReferenceError" "is not defined" site:github.com

Konfigurační problémy:

# Docker a kontejnerizace
"dockerfile" "error" "build failed" site:stackoverflow.com
"kubernetes" "deployment" "failed" site:github.com

# Database issues
"connection refused" "mysql" | "postgresql" site:dba.stackexchange.com
"timeout" "database" "connection pool" site:*.com

Bezpečnostní research

Vulnerability research:

# CVE hledání
"CVE-2024" "vulnerability" "exploit"
"security advisory" filetype:pdf after:2024-01-01

# Konkrétní technologie
"WordPress" "vulnerability" "RCE" | "SQL injection"
"Apache" "vulnerability" "remote code execution"

# Bug bounty a security research
site:hackerone.com "disclosed" "vulnerability"
site:github.com "security" "vulnerability" "POC" | "proof of concept"

Malware analysis:

# Hash values a IoCs
"MD5:" | "SHA1:" | "SHA256:" "malware"
"indicator of compromise" | "IoC" filetype:txt | filetype:csv

# YARA rules
"rule" "malware" filetype:yar | filetype:yara
"strings:" "condition:" site:github.com yara

Bezpečnostní aplikace

Identifikace vulnerabilit

Google Dorks jsou mocným nástrojem pro identifikaci bezpečnostních slabin:

# Exponované admin panely
intitle:"index of" admin
inurl:admin login

# Přístupné adresáře
intitle:"index of /" password
intitle:"index of" "parent directory"

# Databázové soubory
filetype:sql "INSERT INTO" site:target.com

# Backup soubory
filetype:bak site:target.com
intitle:"index of" backup

OSINT a digitální forensika

# Vyhledávání konkrétních uživatelů
"username" site:socialmedia.com

# Email adresy
"@company.com" -site:company.com

# Telefónní čísla a kontakty
"telefon" "+420" site:company.com

Ochrana před Google Dorking

Implementace robots.txt

User-agent: *
Disallow: /admin/
Disallow: /config/
Disallow: /backup/
Disallow: /*.sql$
Disallow: /*.config$
Disallow: /*.log$

Konfigurace .htaccess

# Zakázání indexování adresářů
Options -Indexes

# Ochrana citlivých souborů
<Files "*.config">
Order allow,deny
Deny from all
</Files>

<Files "*.log">
Order allow,deny
Deny from all
</Files>

Web Application Firewall (WAF)

Implementace WAF s pravidly pro detekci Google Dorking pokusů:

# Detekce podezřelých dotazů
"inurl:", "filetype:", "intitle:" v referrer hlavičkách

Etické aspekty a právní rámec

Používání Google Dorks musí být v souladu s etickými zásadami a právními normami:

Legální použití

• Bezpečnostní audity s povolením
• Výzkum a analýza veřejně dostupných dat
• Penetrační testování se souhlasem
• OSINT investigace

Problematické použití

• Obcházení autorizačních mechanismů
• Přístup k neoprávněným datům
• Porušování ochrany osobních údajů
• Komerční špionáž

Google Dorks Cheat Sheet

Nejpoužívanější kombinace

# Veřejné dokumenty
ext:(doc|pdf|xls|txt|rtf) intext:confidential
ext:(doc|pdf|xls) intext:"internal use only"

# Chybové zprávy s informacemi o systému
"SQL syntax error" site:target.com
"Warning: mysql_" site:target.com
"Fatal error:" site:target.com

# Exponované databáze
"phpMyAdmin" "Welcome to phpMyAdmin"
intitle:"phpMyAdmin" "running on"

# Citlivé adresáře
intitle:"index of" "parent directory" size
intitle:"Index of" wp-content/uploads/

# Login stránky
inurl:login.php
inurl:admin.php
intitle:"Admin Panel" login

Specifické pro bezpečnostní testování

# Testování SQL injection
inurl:"php?id=" site:target.com
inurl:"aspx?id=" site:target.com

# File inclusion vulnerabilities
inurl:"php?page=" site:target.com
inurl:"include=" site:target.com

# Directory traversal
inurl:"../" site:target.com

Automatizace a nástroje

Pro efektivní využití Google Dorks můžete použít specializované nástroje:

Command line nástroje

# Golang nástroj pro automatizaci
go install github.com/dwisiswant0/gork@latest

# Python skript pro batch vyhledávání
python google-dorker.py --target domain.com --threads 10

Bezpečnostní frameworky

• GHDB (Google Hacking Database) - největší databáze Google Dorks
• Recon-ng - framework s Google Dorks moduly
• theHarvester - nástroj pro OSINT s podporou Google Dorks

Budoucnost a trendy

Vývoj Google Dorks sleduje několik trendů:

Zvyšující se sofistikovanost

• Kombinace s umělou inteligencí
• Automatizované generování dotazů
• Integrace s dalšími OSINT nástroji

Obranné mechanismy

• Pokročilé detekční systémy
• Dynamické honeypots
• AI-powered anomálie detekce

Závěr

Google Dorks představují mocný nástroj pro každého, kdo potřebuje efektivně vyhledávat specifické informace na internetu. Pro vývojáře a bezpečnostní specialisty jsou nepostradatelné při auditu bezpečnosti, competitive intelligence a OSINT aktivitách.

Klíčem k úspěšnému využití je kombinace technických znalostí s etickým přístupem. Vždy dodržujte právní předpisy a používejte tyto techniky pouze pro legitimní účely. Pamatujte, že s velkou mocí přichází velká odpovědnost - Google Dorks vám umožní najít informace, které možná neměly být veřejně dostupné, ale jejich použití musí být vždy v souladu s etickými zásadami a právním rámcem.

Investice času do naučení se pokročilých vyhledávacích technik se rozhodně vyplatí a může výrazně zvýšit vaši efektivitu při práci s informacemi v digitálním prostředí.

The post Google Dorks: Pokročilé vyhledávání first appeared on Hard Wired.

Těžko by jste asi hledali někoho, kdo nikdy neposlal ani jednu zprávu přes Messenger nebo podobnou službu. Asi můžeme říct, že je to jeden z nejrozšířenějších komunikačních prostředků současnosti.

S rostoucím podílem těchto služeb v oblasti všeobecné komunikace vyvstal i takový nešvar. Hovorově bychom mohli říct "fízlování". V reálu to bude nějaká sada algoritmů, která se snaží na základě klíčových slov, frází nebo nějaké sofistikovanější analýzy rozpoznat závadný či protiprávní obsah. Tyto praktiky se většinou zaštiťují ochranou dětí před XYZ a podobné zavádějící důvody. Ale o problematice svobody slova a práva na soukromí tento příspěvek není.

Klasické textové komunikační služby ukládají vaše zprávy v nešifrované podobě. Nemáte vůbec tušení jak dlouho se vaše data uchovávají a za jakým účelem (většinou marketing) mohou být přeprodávána. A už vůbec nevíte, kdy a kdo, to může použít proti vám. (byť třeba vytržené z kontextu)

Situaci si můžete vylepšit tím, že používáte "end-to-end" šifrované komunikátory. Telegram, Signal, Threema a podobně. Při této metodě komunikace by v ideálním případě zprostředkovatel neměl být schopný zprávy jakkoliv dešifrovat.

Tak je to možná v ideálním světě. V tom našem můžeme narazit na pár úskalí. Musíme zprostředkovateli věřit, že dodává takovou službu jakou inzeruje. I když nemusí vidět přímo obsah zpráv, stále si může uchovávat kdo, kdy a s kým komunikoval. Nepříjemností taky je registrace podmíněná poskytnutím telefonního čísla. Telefonní číslo za určitých podmínek dává smysl a používání aplikace je díky němu komfortnější, ale taky je to další vektor útoku na vaši identitu.

Alternativní možností je zprovoznit vlastní Matrix server. Pokud o tom slyšíte poprvé, můžete prozkoumat Fediverse ekosystém a pořádně se ponořit do králičí nory.

Jen ve zkratce popis na wikipedii.

The fediverse (a portmanteau of federation and universe) is an ensemble of federated (i.e. interconnected) servers that are used for web publishing (i.e. social networking, microblogging, blogging, or websites) and file hosting, but which, while independently hosted, can communicate with each other. On different servers (instances), users can create so-called identities. These identities are able to communicate over the boundaries of the instances because the software running on the servers supports one or more communication protocols which follow an open standard.[1] As an identity on the fediverse, users are able to post text and other media, or to follow posts by other identities.[2] In some cases, users can show or share data (video, audio, text, and other files) publicly or to a selected group of identities and allow other identities to edit other users\' data (such as a calendar or an address book). from https://en.wikipedia.org/wiki/Fediverse

Pro naše účely není tento aspekt úplně klíčový.

Co vlastně získáme tím, že zprovozníme vlastní Matrix server?

• Komunikace používá end-to-end šifrování. Nikdo kromě příjemce by neměl být schopný zprávu vidět.
• Data leží na našem "železe" a v námi kontrolovaném operačním systému. Sami si můžete překontrolovat jak a jaká data jsou v databázi ukládána.
• Starou dobrou registraci s uživatelským jménem a heslem. Nejsou potřeba žádné emaily nebo telefonní čísla.
• Nikdo probíhající komunikaci "nefízluje".
• Kód je open source. Každý do něho může nahlédnout. Možnost úmyslného zanešení nějakého škodlivého kusu kódu je hodně malá. Komunita by jim to brzy omlátila o hlavu.
• Máte na výběr z vícero klientů. I když tohle může být někdy i negativum než pozitivum.
• Moderní klienti moc nezaostávají za předními hráči na trhu. Ano jde poznat, že do toho nebylo nasypáno tolik peněz a „user experience“ není tak „smooth“. To ale nic nemění na tom, že můžete posílat zprávy, fotky, videa, emoji, nálepky, gify nebo provádět video telefonáty. Všechno je technicky funkční.
• Je možné provozovat komunikaci s jednotlivými lidmi, skupinové komunikace nebo vytvářet místnosti.

Výhod se najde asi ještě více, ale tou nejdůležitější vlastní kontrola.

Nevýhod se najde taky dost. Vůbec samotné rozeběhnutí vyžaduje lehce technický „skill“. Plus věci okolo jako domény, reverzní proxy atd.

Tak a teď teda k tomu co a jak je potřeba rozeběhnout.

Rozeběhnout to můžete skoro na čemkoliv, ale já pro naše účely použil RPi 3B+ s SSD diskem. Pro běh jednotlivých služeb použijeme Docker a Docker-Compose. Jak nainstalovat Docker je popsáno v jiném článku na tomto blogu.

Náš stack obsahje následující Docker obrazy.

• portainer/portainer-ce:latest
• matrixdotorg/synapse:latest
• postgres:14
• vectorim/element-web:latest

Portainer slouží jen pro pohodlnější správu Docker kontejnerů.

Jako Matrix server použijeme Synapse. Je to implementace Matrix serveru v Pythonu.

Postgres 14 bude naše databáze. V základu používá Synapse Sqlite3, ale pokud máme tu možnost, bude lepší použít Postgres.

Element je webový klient pro Matrix server.

V domovském adresáři si vytvoříme složku matrix-stack a začneme skládat Docker-Compose soubor.

cd ~
mkdir matrix-stack
nano ./matix-stack/docker-compose.yml

version: '3.3'

services:
  portainer:
    container_name: portainer
    image: portainer/portainer-ce:latest
    restart: always
    ports:
      - "9000:9000"
    volumes:
      - portainer_data:/data
      - /var/run/docker.sock:/var/run/docker.sock

  synapse:
    container_name: synapse
    image: matrixdotorg/synapse:latest
    restart: always
    ports:
      - 8008:8008
    volumes:
      - /var/docker_data/matrix:/data

  postgres:
    container_name: postgres
    image: postgres:14
    restart: unless-stopped
    ports:
      - "5432:5432"
    volumes:
     - /var/docker_data/postgresdata:/var/lib/postgresql/data

    environment:
     - POSTGRES_DB=synapse
     - POSTGRES_USER=synapse
     - POSTGRES_PASSWORD=SUPERSECRETLONGPASSWORD
     - POSTGRES_INITDB_ARGS=--lc-collate C --lc-ctype C --encoding UTF8

  element:
    container_name: element
    image: vectorim/element-web:latest
    restart: unless-stopped
    ports:
      - "80:80"
    volumes:
      - /var/docker_data/element-config.json:/app/config.json

volumes:
  portainer_data:

Pro Synapse místo Sqlite3 použijeme Postgre databázi. Víceméně se standardním nastavením kromě jedné věci.

POSTGRES_INITDB_ARGS=--lc-collate C --lc-ctype C --encoding UTF8

Matrix vyžaduje aby LC_COLLATE a LC_TYPE nastaveny na C. Má to co do činění s akceptováním různých znakových sad.

When LC_CTYPE is C or POSIX, any character set is allowed, but for other settings of LC_CTYPE there is only one character set that will work correctly. Since the LC_CTYPE setting is frozen by initdb, the apparent flexibility to use different encodings in different databases of a cluster is more theoretical than real, except when you select C or POSIX locale (thus disabling any real locale awareness).

Před tím, než pustíme docker-compose, je potřeba udělat ještě pár věcí.

Potřebujeme vygenerovat konfigurační soubor pro Synapse server.

docker run -it --rm \
    -v "/var/docker_data/matrix:/data" \
    -e SYNAPSE_SERVER_NAME=matrix.YOUR_DOMAIN.com \
    -e SYNAPSE_REPORT_STATS=no \
    matrixdotorg/synapse:latest generate

A v nově vygenerovaném souboru předělat Sqlite3 na Postgre. Stačí zakomentovat sekci s Sqlite3 a vložit novou.

database:
  name: psycopg2
  args:
    user: synapse
    password: SUPERSECRETLONGPASSWORD
    database: synapse
    host: postgres
    cp_min: 5
    cp_max: 10

Potom je potřeba vytořit konfigurační soubor pro Element.

sudo nano /etc/docker_data/element-config.yaml

{
    "default_server_config": {
        "m.homeserver": {
            "base_url": "https://matrix.YOUR_DOMAIN.com",
            "server_name": "matrix.YOUR_DOMAIN.com"
        },
        "m.identity_server": {
            "base_url": "https://vector.im"
        }
    },
    "brand": "Element",
    "integrations_ui_url": "https://scalar.vector.im/",
    "integrations_rest_url": "https://scalar.vector.im/api",
    "integrations_widgets_urls": [
        "https://scalar.vector.im/_matrix/integrations/v1",
        "https://scalar.vector.im/api",
        "https://scalar-staging.vector.im/_matrix/integrations/v1",
        "https://scalar-staging.vector.im/api",
        "https://scalar-staging.riot.im/scalar/api"
    ],
    "hosting_signup_link": "https://element.io/matrix-services?utm_source=element-web&utm_medium=web",
    "bug_report_endpoint_url": "https://element.io/bugreports/submit",
    "uisi_autorageshake_app": "element-auto-uisi",
    "showLabsSettings": true,
    "piwik": {
        "url": "https://piwik.riot.im/",
        "siteId": 1,
        "policyUrl": "https://element.io/cookie-policy"
    },
    "roomDirectory": {
        "servers": [
            "matrix.org",
            "gitter.im",
            "libera.chat"
        ]
    },
    "enable_presence_by_hs_url": {
        "https://matrix.org": false,
        "https://matrix-client.matrix.org": false
    },
    "terms_and_conditions_links": [
        {
            "url": "https://element.io/privacy",
            "text": "Privacy Policy"
        },
        {
            "url": "https://element.io/cookie-policy",
            "text": "Cookie Policy"
        }
    ],
    "hostSignup": {
      "brand": "Element Home",
      "cookiePolicyUrl": "https://element.io/cookie-policy",
      "domains": [
          "matrix.org"
      ],
      "privacyPolicyUrl": "https://element.io/privacy",
      "termsOfServiceUrl": "https://element.io/terms-of-service",
      "url": "https://ems.element.io/element-home/in-app-loader"
    },
    "sentry": {
        "dsn": "https://029a0eb289f942508ae0fb17935bd8c5@sentry.matrix.org/6",
        "environment": "develop"
    },
    "posthog": {
        "projectApiKey": "phc_Jzsm6DTm6V2705zeU5dcNvQDlonOR68XvX2sh1sEOHO",
        "apiHost": "https://posthog.element.io"
    },
    "features": {
        "feature_spotlight": true
    },
    "map_style_url": "https://api.maptiler.com/maps/streets/style.json?key=fU3vlMsMn4Jb6dnEIFsx"
}

V horní části souboru upravte pro vaši doménu.

"default_server_config": {
        "m.homeserver": {
            "base_url": "https://matrix.YOUR_DOMAIN.com",
            "server_name": "matrix.YOUR_DOMAIN.com"
        },
        "m.identity_server": {
            "base_url": "https://vector.im"
        }
    }

Tak a teď už můžeme pustit ten docker. Přesuneme se do složky s Docker-Compose souborem a spustíme příkaz docker-compose.

cd ~/matrix-stack
docker-compose up -d

Pokud všechno proběhne dle plánu, tak se můžete zkusit přihlásit do Portaineru a měli byste vidět něco takového.

Teď se potřebujeme připojit do docker kontejneru kde beží Synapse odkud budeme přes příkaz register_new_matrix_user přidávat uživatele.

docker exec -it synapse /bin/bash

register_new_matrix_user -c /data/homeserver.yaml http://127.0.0.1:8008

Příkaz vás následně navede co vyplnit.

V tomto bodě nám už vše běží a máme vytvořeného prvního uživatele. Pokud se přes prohlížeč podíváte na http://<ip-adresa-vaseho-stroje>:8008 uvidíte že Matrix server běži.

Určitě se nechceme vždy připojovat na http://<ip-adresa-vaseho-stroje>:8008. To by bylo poněkud nepohodlné a pravděpodobně by to fungovalo jen v lokální síti. Ještě bychom mohli přesměrovat porty na router, ale to je prašť jako uhoď.

Lepší bude použít doménu jako matrix.nasedomena.eu a samozřejmě https protokol, aby naše data po internetu nelítala jen tak.

Bude to chtít zařídit několik věcí.

• Je potřeba mít veřejnou statickou IP.
• Koupit nějakou doménu.
• Vyřídit si certifikát. Například přes službu Let's Encrypt.
• Zprovoznit reverzní proxy, která bude zpracovávat příchozí požadavky. Pro tento článek použijeme webový server Nginx jako reverzní proxy. Jak zprovoznit Nginx jako reverzní proxy najdete v článku na tomto webu.

Budeme chtít používat https://matrix.nasedomena.eu a https://element.nasedomena.eu.

Pro element.nasedomena.eu bude konfigurační soubor pro Nginx vypadat nějak takhle.

 server {
    listen 80;
    server_name element.nasedomena.eu;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    server_name element.nasedomena.eu;

    ssl on;
    ssl_certificate /etc/letsencrypt/live/nasedomena.eu/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/nasedomena.eu/privkey.pem; # managed by Certbot

    location / {
        proxy_pass http://192.168.1.111:80;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Veškerý nešifrovaný provoz směrující na element.nasedomena.eu bude přesměrován na šifrovaný.

Pro samotný Matrix server je nutné do konfigurace přidat ještě pár věcí.

server {
    listen 80;
    server_name matrix.nasedomena.eu;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    listen 8448 ssl http2 default_server;
    listen [::]:8448 ssl http2 default_server;

    server_name matrix.nasedomena.eu;

    ssl on;
    ssl_certificate /etc/letsencrypt/live/nasedomena.eu/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/nasedomena.eu/privkey.pem; # managed by Certbot

     location /.well-known/matrix/client {
                return 200 '{"m.server": {"base_url": "matrix.nasedomena.eu:443"}}';
                default_type application/json;
                add_header Access-Control-Allow-Origin *;
        }

    location /.well-known/matrix/server {
                default_type application/json;
                add_header Access-Control-Allow-Origin *;
                return 200 '{"m.server":"matrix.nasedomena.eu:443"}';
        }

    location / {
        proxy_pass http://192.168.1.111:8008;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Jestli máme všechno dobře nakonfigurováno, můžeme zkusit https://element.nasedomena.eu. Poběží tu webový klient pro Matrix. Budeme muset upravit domovský server na náš matrix.nasedomena.eu, protože v základu je tam nastavený matrix.org. Poté se můžeme přihlásit jako uživatel, kterého jsme vytvořili v jednom z předchozích kroků.

K připojení můžete samozřejmě využít jakéhokoliv klienta Matrixu. Přidejte další další uživatele pomocí kroků výše a můžete začít komunikovat naprosto soukromě. Komunikace s dalšími uživateli v rámci Fediverse je také možná. Samotný Synapse jde různě nakonfigurovat. Můžete například povolit registraci uživatelů přes klienty a další možnosti. Konfigurace Synapse ale není náplní tohoto článku.

The post Self hosted Matrix server first appeared on Hard Wired.