A Google titkos tartalmakhoz segítheti a hackereket

Utolsó frissítés:

Szerző:

szerző:
hvg.hu
Tetszett a cikk?

Egy új technológia segítségével egyszerűen kiszűrhetőek lesznek azok a hackerek, akik a Google és más keresőmotorok segítségével könnyen sebezhető vagy nem kellően védett dokumentumokhoz és fájlokhoz jutnak hozzá.

Jay Heiser a Gartner piackutató cég elnökhelyettese olyan új keletű alkalmazások megjelenésére hívja fel a figyelmet, melyek elsősorban a Google-al karöltve, éppen  futó és könnyen sebezhető weboldalak adataihoz férkőznek hozzá, megkárosítva azok tulajdonosait. Az első ilyen jellegű „féreg”, a Santy decemberben tűnt fel a világhálón, de Januárban már olyan támadásokról is születtek híradások, amelyek céges hálózatokra kötött kamerák képét tették láthatóvá gazdájuk számára.

„Bár ma még marginálisnak tűnik az infószerzés ezen mószere, de később komoly gondokat okozhat” - mondta a kutató a Yahoo.nak. "A programozó kölyköknek és a hobby hackereknek ez minden bizonnyal könnyű terep, védett tartalmak megszerzésére. A Google említett szolgáltatása csak elmélyíti az említett biztonsági rést." A szóban forgó keresések az "inurl:" Google alkalmazást veszik igénybe, amely internetes címek bejáratott könyvtárrendszer útvonalait járja végig. Heiser szerint például a „hálózati kamerák web interface-e alapbeállítással fut, így elérési útjuk lekövetése gyerekjáték az inurl: segítségével.”

„Ennek ellenére a kamerák elvétve közölnek igazán érzékeny tartalmakat, a fő következménye az illegális megfigyeléseknek az adott elérési utak megnövekedett adatforgalma”. A behatolók célja általában néhány izgalmas felvétel megtekintése csupán.

Néhány esetben azonban a hackerek a becserkészett kamerák beállításait is megváltoztatják. Heiser a „tesztbehatolások” alkalmával arra is képes volt, hogy a kamerákat mozgassa és zoomoljon.

Hogyan védekezzünk a behatolókkal szemben (Oldaltörés)

Az ilyen jellegű behatolások megakadályozására a Gartner cég azt javasolja, hogy a vállalatok weboldalai közül csak azokat indexeljék – vagyis tegyék kereshetővé a keresőmotorok számára – amelyek publikus tartalomakat hordoznak. Ellenkező esetben ha a teljes szerver kereshető a Yahoo vagy a Google számára, minden amit a szerverre van linkeltek kikerülhet a világhálóra.

A rendszergazdák feladata a „robots.txt” fájlokban az indexelhetőség helyes beállítása. Ennek ellenére léteznek olyan hacker orientált keresők, amelyek meglelik a helyes könyvtárelérést, de ezek nem képesek az internet jelentős szeletének átfésülésére, így kicsi az esélyük a céges szervereken való kutakodásra.

Heiser a megfelelő védelem érdekében a legújabb biztonsági frissítések letöltésére és a megfelelő belépési kódok alkalmasára figyelmeztet.