Google slouží hackerům jako zásobárna tipů na nechráněné stránky

Hackeři objevili novou strategii pro vyhledávání zranitelných webů. Místo aktivních přístupů na cílové stránky využívají archivované kopie internetových stránek poskytované vyhledávačem Google, které jim poskytnou všechny potřebné informace bez rizika odhalení útoku.

Jedním ze způsobů, kterým hackeři získávají neoprávněný přístup k cizím webovým serverům je vyhledání skrytých html stránek, které obsahují seznamy uživatelských jmen a hesel potřebných pro přístup na chráněné části serveru. Tyto seznamy jsou většinou ukryty před běžnými návštěvníky, protože na ně nevedou přímé odkazy. Někdy ale správci webů na veřejně přístupných stránkách skryté odkazy na tyto seznamy zapomenou nebo je tam zanechá chybně napsaný software. Takové pochybení ale představuje zásadní bezpečnostní riziko.

Běžný postup hackerů při pokusech dostat se k podobným seznamům představuje automatizované zadávání webových adres „naslepo“. Takový typ útoku i při dodržení bezpečnostních zásad, které předpokládají opatrné zkoumání z různých počítačů v různých intervalech může vzbudit podezření správců serveru při pohledu na analýzy datového provozu. Jeden z hackerů, kteří se přidali na stranu bezpečnostních firem, nyní upozorňuje, že díky vyhledávacím strojům není nutné riziko odhalení podstupovat. Pro přístup k seznamům uživatelských jmen a hesel postačí archivovaná kopie, které poskytuje například google.com.

Automatičtí roboti, kteří indexují web pro vyhledávací stroje, zaznamenávají automaticky všechny odkazy, které na internetu najdou. A to i v případě, kdy nejsou při vyrenderování stránky na obrazovku viditelné. Obsah stránek pak může být zaznamenán a pokud se robot dostane na stránku s citlivými údaji, uchová její kopii také.

Vyhledání kopií těchto stránek by pořád bylo poměrně náročné, hackeři by museli při vyhledávání používat stejnou metodu pokusu a omylu jako při přímém zkoumání cílového serveru. V praxi ale takový problém nemají. Webmasteři používají pro stránky s citlivými údaji často stejné názvy. Častým pojmenováním souboru s uživatelskými hesly je například „bash history“. Kombinací správných klíčových slov jako je „bash history“, „passwords“ a „temporary“ lze seznamy hesel a uživatelských jmen na Google najít poměrně rychle.

Johnny Long, který na tento problém upozornil, se mu hodlá věnovat i v přednášce na hackerské konferenci DefCon v Las Vegas.

Google v reakci na článek tvrdí, že nenese odpovědnost za způsob, jakým jsou jím sebraná data používána. Podle mluvčího poskytuje google.com velice užitečné nástroje pro vyhledávání, ale společnost nemá mnoho možností jak omezit hackování. Představitelé Google mají v podstatě pravdu. Odpovědnost za bezpečnost webů leží na jejich správcích a nikoliv na vyhledávacích systémech a pokud někdo nechá seznamy uživatelských jmen a hesel přístupná z internetu, koleduje si nejen o problémy, ale také o nedobrovolnou změnu místa.

Zdroj: New Scientist

Diskuze (26) Další článek: ADSL agregováno! ... A je to velmi drsné

Témata článku: Google, Bezpečnost, New Scientist, Webmaster, Hacker, Přímý pohled, Google+, Bezpečnostní riziko, Stejný problém, Zásobárna, NEC, Stejná metoda, Uživatelské jméno, Zásadní problém, History, Správný klíč, Napsaný software, Podobný seznam


Určitě si přečtěte

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

** Total Commander je na Windows takřka legendou ** Licence však stojí více než tisíc korun ** Našli jsme pro vás deset alternativ dostupných zdarma

Karel Kilián | 141

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

** Vědci spočítali, jak velká by musela být posádka pro vícegenerační let k nejbližší hvězdné soustavě ** Proxima Centauri se nachází 4,3 světelných let od nás ** Za současných technologií bychom k ní letěli 6300 let

Petr Kubala | 53

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

** Teplotní extrémy dokážou překvapit. Seznamte se s rekordy v Česku i ve světě ** Rekordní hodnoty jsou mnohdy až k neuvěření ** Zjistěte, kdy ke bylo největší horko, zima, déšť či vítr

Karel Kilián | 7

Nová zbraň Microsoftu proti iPadu: Levný tablet Surface Go bude stát jen deset tisíc

Nová zbraň Microsoftu proti iPadu: Levný tablet Surface Go bude stát jen deset tisíc

** Microsoft představil nový tablet Surface Go ** Nový model zaujme nízkou cenou, ale schopnostmi zařízení Surface ** Microsoft nepoužil čip ARM, ale klasický procesor od Intelu 

Karel Javůrek | 116

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

** Apple odhalil své plány na zcela nové mapy ** Několik let pracuje na nových mapách, které by měly předběhnout konkurenci ** Objeví se s příchodem iOS 12 pro vybrané státy

Karel Javůrek | 50

Takhle zemřete, když asteroid dopadne na vaše město

Takhle zemřete, když asteroid dopadne na vaše město

** Jak by to dopadlo, kdyby na světovou metropoli či do nedalekého moře dopadl velký asteroid? ** Simulovali to odborníci z University of Southampton ** Výsledky jsou velmi zajímavé

Petr Kubala | 32


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji