Google jako zbraň

  • 1
Kvality vyhledávače Google jsou dobře známé - a jen díky nim si tato služba získala současnou bezkonkurenční oblibu. Google má ale i svoji odvrácenou tvář. Může posloužit hackerům při hledání nezabezpečených webů.

Jedním z problémů Googlu je závislost některých firem či informačních zdrojů na jeho (v úplnosti nezveřejněných) metodách hodnocení relevance stránek. V tomto článku se ale podíváme na možnost zneužít Google jako hackerský útočný nástroj. Možný postup popsal internetový magazín Wired. Obsáhlou databázi Google a jeho indexovací schopnosti lze využít pro vyhledání serverů, které nemají zabezpečený databázový webový frontend.

Hackerovi stačí zadat dostatečně promyšlený dotaz do vyhledávače, aby za něj odvedl nepříjemnou práci a našel server, který nemá zabezpečenou databázi pro vstup zvenčí. "Google, patřičně použitý, má větší útočný potenciál než jakýkoliv jiný hackovací nástroj," uvedl hacker Adrian Lamo, který o poslední hrozbě informoval.

Základní myšlenka je velmi elegantní. Proč se snažit v záplavě webů najít ten, který má otevřený přístup k databázi, když stránka, která tento přístup poskytuje, bude jistě indexovaná Googlem? Potom tedy např. zadáním fráze "select a database to view" získáte kolem 200 odkazů, vedoucích povětšinou na interface aplikace FileMaker Pro, používané jako jednodušší nástroj pro přístup k databázím prostřednictvím webového prohlížeče. Některé z odkazů pak směřují ke zdrojům citlivých informací. Jeden vás např. dovede k osobním údajům (adresám, telefonním číslům a podrobným životopisům) několika set lektorů firmy Apple, včetně jejich uživatelských jmen a hesel. Databáze není nijak chráněna (to však již v době uveřejnění tohoto článku pravděpodobně neplatí).

Další link pak odkazuje na stránky fakulty medicíny Drexel University s databází 5 500 pacientů fakultní neurochirurgie. Každý záznam obsahuje adresu, telefonní číslo i podrobný chorobopis. V tomto případě byla databáze "chráněna" heslem, shodným s názvem databáze. Okamžitě po upozornění na chybu naštěstí její správce server odstavil.

Organizace, provozující Google, si je vlastní odpovědnosti za možné zneužití přístupu k citlivým datům zřejmě vědoma, a tak už nyní nabízí webmasterům nástroj, který dokáže nedbale zabezpečené a zveřejněné informace z indexu Googlu odstranit během 24 hodin. Současně je prý ve vývoji nástroj, který by to dokázal ještě rychleji.

Článek přinášíme ve spolupráci s časopisem Computerworld.