počítač, hacker, it

počítač, hacker, it | foto: Profimedia.cz

Hackeři mají novou zbraň. Věnoval jim ji Google

  • 28
Google bezděčně poskytnul útočníkům nový nástroj — Google Code Search. Pomocí této služby lze totiž vyhledávat i chyby v programech, hesla a další informace, které hacker může využít k útoku.

Nová služba Googlu spuštěná 5. října umožňuje lidem na webu vyhledávat části programových kódů. Uživatel tak má možnost nahlédnout do řádků kódů open-sourcových programů, kdykoliv Google Code Search vyhledá soubory, které daný kód obsahují.

Google Code Search naleznete zde.

Pro někoho nástroj, pro někoho zbraň

Podle některých odborníků je pravděpodobné, že tato služba bude zneužita k častému vyhledávání programových chyb, informací o heslech a dokonce kódů chráněných patentem, které by na Internetu neměly co dělat.

Původně měl nový vyhledávací nástroj ulehčit práci vývojářům, aby mohli jednoduše najít potřebné zdrojové soubory na Internetu. Ovšem je zde jeden háček. 

Objevily se kritické hlasy, podle kterých se může stát, že člověk vyhledá v kódech zranitelná místa, může odhadnout, kdo tyto kousky kódů použil, a pak na ně zaútočit.

Útočníci by mohli také prohledávat kódy za účelem nalezení zranitelných míst v systémech heslování, nebo by mohli v softwaru hledat fráze ukazující na kód programu, na nějž se vztahuje vlastnické právo. Takto  mohou hackeři odhalit soubory, které by ale na Internet vůbec neměly být umístěny.

Dobrý hacker si poradí už dnes

Šikovní útočníci jsou podobných činů schopni i nyní s pomocí normálního vyhledávače Googlu, ale podle odborníků je Code Search nástrojem, který takové útoky velmi usnadňuje.

Google se k možnému zneužití služby příliš nevyjádřil. "Google vývojářům doporučuje, aby při psaní kódů používali obecně přijímané praktiky, uvědomovali si důsledky toho, co píší, a náležitě svůj kód testovali," stojí v prohlášení společnosti.

Společnost Google se nikdy příliš nevyjadřuje ke krokům, které podniká k omezení takovýchto možných zneužití svého vyhledávače, a to i přesto, že k takovým útokům čas od času dochází. Například v červenci tohoto roku Websense využil málo známou schopnost Googlu — vyhledáváni v binárních záznamech — k vypátrání malwaru na Internetu.

Jak někteří upozorňují, zatímco Google Code Search pravděpodobně nebude mít příliš velký efekt na populární open-sourcové projekty, které už spousty vývojářů detailně prozkoumali, mohl by však pomoci k vypátrání slabých míst i v méně známých částech kódů.

Jak funguje Google Code Search:

Podívejte na jednu ukázku: Jde o kód pro generování registračního klíče WinZipu, jak jej našel Google Code Search.

Další příklady můžete nalézt na blogu Jasona Kottkeho.