Google slouží hackerům jako zásobárna tipů na nechráněné stránky

Hackeři objevili novou strategii pro vyhledávání zranitelných webů. Místo aktivních přístupů na cílové stránky využívají archivované kopie internetových stránek poskytované vyhledávačem Google, které jim poskytnou všechny potřebné informace bez rizika odhalení útoku.

Jedním ze způsobů, kterým hackeři získávají neoprávněný přístup k cizím webovým serverům je vyhledání skrytých html stránek, které obsahují seznamy uživatelských jmen a hesel potřebných pro přístup na chráněné části serveru. Tyto seznamy jsou většinou ukryty před běžnými návštěvníky, protože na ně nevedou přímé odkazy. Někdy ale správci webů na veřejně přístupných stránkách skryté odkazy na tyto seznamy zapomenou nebo je tam zanechá chybně napsaný software. Takové pochybení ale představuje zásadní bezpečnostní riziko.

Běžný postup hackerů při pokusech dostat se k podobným seznamům představuje automatizované zadávání webových adres „naslepo“. Takový typ útoku i při dodržení bezpečnostních zásad, které předpokládají opatrné zkoumání z různých počítačů v různých intervalech může vzbudit podezření správců serveru při pohledu na analýzy datového provozu. Jeden z hackerů, kteří se přidali na stranu bezpečnostních firem, nyní upozorňuje, že díky vyhledávacím strojům není nutné riziko odhalení podstupovat. Pro přístup k seznamům uživatelských jmen a hesel postačí archivovaná kopie, které poskytuje například google.com.

Automatičtí roboti, kteří indexují web pro vyhledávací stroje, zaznamenávají automaticky všechny odkazy, které na internetu najdou. A to i v případě, kdy nejsou při vyrenderování stránky na obrazovku viditelné. Obsah stránek pak může být zaznamenán a pokud se robot dostane na stránku s citlivými údaji, uchová její kopii také.

Vyhledání kopií těchto stránek by pořád bylo poměrně náročné, hackeři by museli při vyhledávání používat stejnou metodu pokusu a omylu jako při přímém zkoumání cílového serveru. V praxi ale takový problém nemají. Webmasteři používají pro stránky s citlivými údaji často stejné názvy. Častým pojmenováním souboru s uživatelskými hesly je například „bash history“. Kombinací správných klíčových slov jako je „bash history“, „passwords“ a „temporary“ lze seznamy hesel a uživatelských jmen na Google najít poměrně rychle.

Johnny Long, který na tento problém upozornil, se mu hodlá věnovat i v přednášce na hackerské konferenci DefCon v Las Vegas.

Google v reakci na článek tvrdí, že nenese odpovědnost za způsob, jakým jsou jím sebraná data používána. Podle mluvčího poskytuje google.com velice užitečné nástroje pro vyhledávání, ale společnost nemá mnoho možností jak omezit hackování. Představitelé Google mají v podstatě pravdu. Odpovědnost za bezpečnost webů leží na jejich správcích a nikoliv na vyhledávacích systémech a pokud někdo nechá seznamy uživatelských jmen a hesel přístupná z internetu, koleduje si nejen o problémy, ale také o nedobrovolnou změnu místa.

Zdroj: New Scientist

Témata článku: Google, Bezpečnost, Přímý pohled, Podobný seznam, History, Zásadní problém, Webmaster, Hacker, Bezpečnostní riziko, Zásobárna, New Scientist, Uživatelské jméno, Stejný problém, Google+, Stejná metoda

Určitě si přečtěte


Aktuální číslo časopisu Computer

26 procesorů v důkladném testu

Zhodnotili jsme 18 bezdrátových reproduktorů

Jak fungují cash back služby?

Pohlídejte své děti na internetu