На главную  Карта сайта  
Главное меню
Реклама

Google Code Search - новая угроза?

Google Code Search обнаруживает дыры в программах

Хотите знать, какие программы имеют проблемы с безопасностью информации, которые должны быть исправлены? Используя Google Code Search, делайте это с легкостью щелчка.

В четверг профессиональные эксперты по защите информации предупредили разработчиков о том, что они должны остерегаться того, что их open-source архивные базы могут легко позволить хакерам находить программы, которые могут дать трещину при атаке. И раньше Google мог быть использован для поиска открытых исходных кодов, теперь же новый сервис справляется с этим намного лучше.

"Google Code Search может проникнуть в те места, где лежат открытые исходные коды программ (если конечно же доступ туда не запрещен) и легко находить там необходимую информацию. Хакеры получили более быстрый и упрощенный поиск уязвимостей. Причем не только те, кто планирует атаковать какой-то один определенный веб-сайт, но и те, кто хочет атаковать все сайты с подобными уязвимостями"- заявил Крис Висопал - главный руководитель отдела технологии корпорации по защите информационных технологий Veracode."

В тот же день Google заявил, что сервис Google Code Search теперь доступен для общественного использования. Google Code Search "капАет" сквозь хранилище open-source кодов, компилируя огромное количество исходных кодов, имеющихся в сети, в легко доступную для поиска базу данных. Сервис позволяет веб-серферам искать коды удовлетворяющие регулярными выражениями. Поиск может быть ограничен определенным типом файлов и лицензий.

Безопасность использования сервиса Google's Code Search вызывает те же вопросы, что и проблема безопасности оригинального движка Google. "Google hacking" - это термин, который означает использование запросов движка Google для поиска уязвимостей в веб-сайтах. К сожалению, Google hacking в настоящее время начинает быть очень популярен в среде хакеров для нахождения серверов с определенными дырами. Специальные компьютерные вирусы и черви с использованием поискового движка Google стали довольно распространенны в Интернет. Их цель - создание списка потенциально уязвимых жертв для атак. В июле эксперты предупредили о том, что необходимый злоумышленникам код может быть легко найден с помощью поискового движка Google.

В свою очередь, Googlе так же заявляет, что сервис Google's Code Search предназначен для помощи программистам в поисках примеров кодов, а не для поиска потенциальных уязвимостей.

"Маловероятно то, что программисты, пытающиеся разработать систему защиты от Google hacking, смогут опередить злоумышленников, которые ищут «интересные» особенности кода с помощью аналогичного же инструмента. Например, при поиске файлов по запросу "confidential +proprietary" можно найти код, который был неправильно написан. Поиск функции "gets" (общеизвестная дыра) может обнаружить программы, которые легко уязвимы для перегрузки памяти" - заявил Крис Висопал

Эксперты в области защиты информации отметили что, по большой части, функциональность сервиса Google Code Search можно сопоставить и с обычным поисковым движком Google, но новый сервис делает поиск уязвимых скриптов более эффективным.

Висопал заявил: "Это как дать всем желающем телескоп, который превосходит все аналоги по эффективности и мощности. Остается только надеется на то, что они его будут использовать с добрыми намерениями. Преимущество Google Code Search так же в том, что он позволяет автоматическим средствам контроля качества программ (сканеры уязвимостей) предупреждать пользователей об уязвимостях намного быстрее. Главный аргумент разработчиков в пользу открытого доступа этого сервиса в том, что безопасность наоборот повысится потому, что больше людей смогут находить нужную им информацию в доступных для поиска кодах. Но в долгосрочной перспективе использование сервиса Google Code Search может привести к увеличению числа людей ищущих дыры для потенциальных атак".

"Разработать систему защиты против возможности использования Google Code Search для поиска дыр в программах не так то просто" - сказал Джонни Лонг (известный эксперт в области защиты информации, который активно занимается изучением Google hacking). Программисты должны изучить специальные приемы для защиты информации, чтобы с уверенностью знать, что Google Hacking для них не представляет угрозу.

"Эксперты по защите информации, так же обеспокоены тем, что разработка методик борьбы с легко доступными для поиска хранилищами исходных кодов может занять много времени и поэтому злоумышленники  могут даже оказать полезную услугу разработчикам. Программисты же, в свою очередь, должны препятствовать попыткам Google Hacking и пытаться спрятать свои хранилища исходных кодов от Google Code Search. Внедрение новой технологии всегда дает хакерам возможность для новых направлений атак, вопрос лишь в том, смогут ли "хорошие парни" обнаруживать их быстрей" - добавил Джонни Лонг.

Резюме от IZ-news: В итоге - ничего хорошего, но и ничего плохого. Если уж выкладываете архив с дистрибутивом CMS на сервер - закройте его паролем. Или же положите в папку, доступ к которой закрыт для пользователей. Следите за правами доступа к скриптам, которые указываете. Особенно за 755 и тем паче за 777.

То есть попросту говоря - ничего дурного не случилось, просто Google теперь индексирует и файлы, написанные на разных языках программирования.

12.10.2006

Комментарии

ФИО: 
E-mail: 
Тема: 
Комментарий: