Google slouží hackerům jako zásobárna tipů na nechráněné stránky

Hackeři objevili novou strategii pro vyhledávání zranitelných webů. Místo aktivních přístupů na cílové stránky využívají archivované kopie internetových stránek poskytované vyhledávačem Google, které jim poskytnou všechny potřebné informace bez rizika odhalení útoku.
Google slouží hackerům jako zásobárna tipů na nechráněné stránky

Jedním ze způsobů, kterým hackeři získávají neoprávněný přístup k cizím webovým serverům je vyhledání skrytých html stránek, které obsahují seznamy uživatelských jmen a hesel potřebných pro přístup na chráněné části serveru. Tyto seznamy jsou většinou ukryty před běžnými návštěvníky, protože na ně nevedou přímé odkazy. Někdy ale správci webů na veřejně přístupných stránkách skryté odkazy na tyto seznamy zapomenou nebo je tam zanechá chybně napsaný software. Takové pochybení ale představuje zásadní bezpečnostní riziko.

Běžný postup hackerů při pokusech dostat se k podobným seznamům představuje automatizované zadávání webových adres „naslepo“. Takový typ útoku i při dodržení bezpečnostních zásad, které předpokládají opatrné zkoumání z různých počítačů v různých intervalech může vzbudit podezření správců serveru při pohledu na analýzy datového provozu. Jeden z hackerů, kteří se přidali na stranu bezpečnostních firem, nyní upozorňuje, že díky vyhledávacím strojům není nutné riziko odhalení podstupovat. Pro přístup k seznamům uživatelských jmen a hesel postačí archivovaná kopie, které poskytuje například google.com.

Automatičtí roboti, kteří indexují web pro vyhledávací stroje, zaznamenávají automaticky všechny odkazy, které na internetu najdou. A to i v případě, kdy nejsou při vyrenderování stránky na obrazovku viditelné. Obsah stránek pak může být zaznamenán a pokud se robot dostane na stránku s citlivými údaji, uchová její kopii také.

Vyhledání kopií těchto stránek by pořád bylo poměrně náročné, hackeři by museli při vyhledávání používat stejnou metodu pokusu a omylu jako při přímém zkoumání cílového serveru. V praxi ale takový problém nemají. Webmasteři používají pro stránky s citlivými údaji často stejné názvy. Častým pojmenováním souboru s uživatelskými hesly je například „bash history“. Kombinací správných klíčových slov jako je „bash history“, „passwords“ a „temporary“ lze seznamy hesel a uživatelských jmen na Google najít poměrně rychle.

Johnny Long, který na tento problém upozornil, se mu hodlá věnovat i v přednášce na hackerské konferenci DefCon v Las Vegas.

Google v reakci na článek tvrdí, že nenese odpovědnost za způsob, jakým jsou jím sebraná data používána. Podle mluvčího poskytuje google.com velice užitečné nástroje pro vyhledávání, ale společnost nemá mnoho možností jak omezit hackování. Představitelé Google mají v podstatě pravdu. Odpovědnost za bezpečnost webů leží na jejich správcích a nikoliv na vyhledávacích systémech a pokud někdo nechá seznamy uživatelských jmen a hesel přístupná z internetu, koleduje si nejen o problémy, ale také o nedobrovolnou změnu místa.

Zdroj: New Scientist

Témata článku: Google, Bezpečnost, Google+, Hacker, History, Webmaster, Uživatelské jméno, Stejný problém, Přímý pohled, Bezpečnostní riziko, New Scientist, Stejná metoda, Zásadní problém, Podobný seznam

26 komentářů

Nejnovější komentáře

  • zatoichi 11. 11. 2005 23:19:30
    nastavit bootov v robots.txt je zlozite a hocikdo to nedokaze
  • Kenya 4. 8. 2003 22:42:33

    Pane Otakare, ja jsem rad ze jste to prelozil a zde napsal.

    Ja...

  • mikel 4. 8. 2003 19:01:04
    na tejto stranke http://uk.news.yahoo.com/030801/12/e5e2g.html je...
Určitě si přečtěte

Jak převést PDF do Wordu: 3 způsoby, které můžete použít

Jak převést PDF do Wordu: 3 způsoby, které můžete použít

** Využít můžete přímo Word v rámci balíčku Office ** Zdarma lze využít Google Dokumenty, neporadí si ale s formátováním ** Obrátit se také můžete na specializované stránky

11.  8.  2017 | Vladislav Kluska | 9

Obří skládačka: Na Floridě staví nejsilnější raketu pro cestu ke Slunci

Obří skládačka: Na Floridě staví nejsilnější raketu pro cestu ke Slunci

** Na Mys Canaveral dorazily přídavné boostery pro raketu Delta IV Heavy ** V létě 2018 vynese raketa do vesmíru kosmickou sondu Parker Solar Probe ** Sonda prolétne okolo Slunce

10.  8.  2017 | Petr Kubala | 8

USB zařízení je možné odposlouchávat ze sousedního portu

USB zařízení je možné odposlouchávat ze sousedního portu

** Crosstalk byl dřív problém paralelních portů, dnes se ho pokusili prověřit na USB ** Zařízení ze sousedního USB portu může odposlouchávat to vedlejší ** Mohou vznikat záškodnické flašky nebo třeba USB lampičky

14.  8.  2017 | Adam Harmada | 18

Zrušený evropský roaming je brutální vražda virtuálních operátorů

Zrušený evropský roaming je brutální vražda virtuálních operátorů

** Když EU rušila roaming, šla přes mrtvoly ** Tou největší jsou virtuální operátoři ** Vlastně je překvapivé, že už nepadají jeden po druhém

12.  8.  2017 | Filip Kůžel | 85


Aktuální číslo časopisu Computer

Velký test NVMe a SATA SSD

Máte slabý signál
Wi-Fi? Poradíme!

Jak umělá inteligence opravuje fotky

Kupujete dron? Ty levné se nevyplatí