Сидя на своем ноутбуке, Крис О’Феррелл вводит несколько слов в поисковую систему Google, и появляется ссылка на то, что похоже на военный документ, в котором перечислены подозреваемые члены «Талибана» и «Аль-Каиды», дата рождения, место рождение, паспортные номера и национальные идентификационные номера.
Другой поиск возвращает таблицу с именами и номерами кредитных карт.
«Все поисковые системы дадут вам это», – сказал О’Феррелл, указывая на файлы лута, которые он нашел в Интернете: медицинские записи, номера банковских счетов, рейтинги студентов и места стыковки 804 кораблей, подводных лодок и кораблей из ВМС США Соединенные Штаты Америки разрушители
И все законно, используя самый мощный в мире интернет-поисковик.
Эксперты по кибербезопасности говорят, что в удаленных уголках компьютеров по всему миру растет количество частных или предположительно секретных документов, что делает правительство, людей и компании уязвимыми для нарушений безопасности. На некоторых веб-сайтах и в различных группах сообщений технические специалисты даже предлагают инструкции по поиску конфиденциальных документов с помощью относительно простого поиска. Хотя технически это не является нарушением, эту практику иногда называют «взломом Google».
ОБЪЯВЛЕНИЕ
ПРОДОЛЖИТЕ ЧИТАТЬ НИЖЕ
«Существует целая субкультура, которая этим занимается», – сказал О’Феррелл, эксперт по пиратству и технический директор консалтинговой службы безопасности Netsec Inc., базирующейся в Херндоне.
За десятилетие своего существования поисковые системы, такие как Google, стали более мощными. В то же время Интернет стал более богатым источником информации, так как все больше компаний и государственных учреждений полагаются на Интернет для передачи и обмена информацией. Все хранится на компьютерах, называемых серверами, каждый из которых связан с Интернетом.
По разным причинам (плохо настроенные серверы, дыры в системах безопасности, человеческие ошибки) широкий спектр материалов, которые не предназначены для широкой публики, фактически является общедоступным. Как только Google или другая поисковая система найдет его, почти невозможно снова сохранить секрет.
По словам инженеров по безопасности, это ведет к увеличению активности “Googledorks”, которая ищет конфиденциальную информацию в Интернете.
«Что касается количества сайтов, затронутых этим, то оно исчисляется десятками тысяч», – говорит 32-летний Джонни Лонг, исследователь и разработчик из Computer Sciences Corp. и ветеран-хакер, который, по его словам, поддерживает веб-сайт и поддерживает его связь. , Сообщество хакеров. Он говорил о взломе Google на конференции хакеров Def Con в Лас-Вегасе прошлым летом, что привело к повышению осведомленности об уязвимостях, сказал он.
Google выделяется для этих поисков из-за его эффективности.
ОБЪЯВЛЕНИЕ
ПРОДОЛЖИТЕ ЧИТАТЬ НИЖЕ
«Причина, по которой Google хорош, заключается в том, что они дают вам больше информации и предоставляют больше инструментов для поиска», – сказал О’Феррелл.
Его мощный компьютер «сканирует» каждую веб-страницу в Интернете, по крайней мере, каждые две недели, что означает просмотр каждого общедоступного сервера в мире, захват каждой страницы и каждой ссылки, прикрепленной к каждой странице. Эти результаты каталогизируются с использованием сложных математических систем.
Эксперты по безопасности заявили, что самый простой способ предотвратить доступ Google к информации на веб-сервере – это настроить цифровой контроллер в форме инструкции для сканера поисковых систем. Этот файл, который называется robots.txt, определяет, что открыто для сканера, а что нет. Но если файл robots.txt настроен некорректно или случайно оставлен, открывается отверстие, в которое входит Google. А так как трекеры Google легальны, тревоги не сработают.
«Самое страшное в том, что это может происходить с правительством, и они могут никогда не узнать, что происходит», – сказал Лонг. «Если в броне есть трещина, [the hackers] Он его найдет ».
Google и другие представители поисковой системы заявили, что они чувствительны к проблеме, но не в состоянии ее контролировать.
По словам Крейга Сильверстайна (Craig Silverstein), директора по технологиям Google, с огромной системой из более чем 10 000 компьютерных систем, постоянно собирающих новую информацию на более чем 3 миллиардах веб-сайтов, компания не может и не хочет отслеживать или подвергать цензуре то, что находится в Интернете. ,
«Я думаю, что веб-мастера должны быть осторожны», сказал он. «Основная проблема заключается в том, что с 3 миллиардами [Web sites]Там много информации “. По словам Сильверстейна, на своем собственном веб-сайте «Руководство для веб-мастеров» предлагается инструмент для удаления веб-сайтов из системы Google, в том числе большого кэшированного хранилища страниц Google, которое может быть недоступно в Интернете.
Для экспертов по хакерству взлом Google имеет своего рода популистскую привлекательность: любой, кто имеет доступ к Интернету, может сделать это, если знает правильный способ поиска.
«Это самый простой взлом по принципу« укажи и щелкни »: он веселый, новый, причудливый, и, тем не менее, он может достичь мощных результатов», – сказал Эдвард Скоудис, консультант по безопасности INS Inc., который помогает правительственным и бизнес-клиентам. контролировать то, что видно. из Интернета. «Эта концепция использования поисковой системы для взлома была известна уже некоторое время, но в последние несколько месяцев она исчезла», вероятно, из-за нового энтузиазма в подпольном хакерском сообществе, сказал он.
Строки поиска, содержащие «xls», «cc» или «ssn», часто отображают электронные таблицы, номера кредитных карт и номера социального страхования, связанные со списком клиентов. Добавление слова «итого» в поиске часто приводит к отображению финансовых таблиц, которые составляют цифры в долларах. Хакер, у которого достаточно времени и опыта для распознавания конфиденциального контента, может столкнуться с пугающим количеством предположительно частной информации.
ОБЪЯВЛЕНИЕ
ПРОДОЛЖИТЕ ЧИТАТЬ НИЖЕ
“В [client’s] На сайте банка я обнаружил электронную таблицу Excel с 10 000 номеров социального страхования и кредитными картами », – сказал Скоудис, один из его успешных охотников за сокровищами.
По его словам, веб-сервер банка был правильно настроен для сохранения конфиденциальности таких документов, но кто-то по ошибке разместил информацию не на той стороне забора. «Google обнаружил, что дверь открыта и вошла».
Скоудис столкнулся с «краснолицыми руководителями» своими выводами, сказал он, и ему сказали: «Просто исправь это, черт побери».
Google и другие операторы поисковых систем не могут измерить частоту доступа к личным документам на своих сайтах или их количество по соображениям безопасности.
«Сложность заключается в том, что по мере развития инструмента поисковой системы люди становились все слабее в отношении того, что они размещают на общедоступном веб-сервере», – сказал Том Уайльд, вице-президент и генеральный менеджер всех 19 поисковых систем. Terra Lycos. «Было бы невозможно отслеживать» десятки миллионов поисков, которые происходят каждый день, сказал Уайлд, добавив, что он никогда не был уведомлен о взломе безопасности на его сайтах.
ОБЪЯВЛЕНИЕ
ПРОДОЛЖИТЕ ЧИТАТЬ НИЖЕ
Правительственные чиновники сказали, что они были знакомы со взломом Google и работали с правительственными агентствами и компаниями для защиты конфиденциальных документов на веб-серверах.
«Это проблема, о которой мы знаем и отслеживаем», – сказал Амит Йоран, директор отдела кибербезопасности Департамента внутренней безопасности. По закону каждое агентство несет ответственность за свою собственную безопасность, и, хотя Homeland Security информируется о хакерских атаках или нарушениях безопасности, подразделение кибербезопасности не контролирует веб-контент.
Неясно, кто виноват, когда кто-то выкапывает конфиденциальный документ.
«Я не знаю, какой закон был нарушен только для поиска» в общедоступной поисковой системе, сказал Пол Брессон, представитель ФБР, отметив, что ведомство еще не приняло меры против людей, которые нашли защищенные документы с помощью поисковых систем. поиск. , «Если они используют это для какой-то зловещей цели, это другая проблема».
Доступность частной информации способствует увеличению числа случаев кражи личных данных, которая была проблемой потребителей номер один для Федеральной торговой комиссии в течение последних четырех лет. В прошлом году FTC получила около 215 000 жалоб на кражу личных данных, по сравнению с 152 000 в 2002 году.
ОБЪЯВЛЕНИЕ
ПРОДОЛЖИТЕ ЧИТАТЬ НИЖЕ
С 2001 года FTC рассматривает дела с Eli Lilly & Co., Microsoft Corp. и производителем одежды Guess Inc. за неспособность предпринять «разумные» шаги для обеспечения безопасности медицинской или финансовой информации, сказала Джессика Рич, помощник директора комиссионный офис. Защита потребителя. Разрешение размещать информацию о клиенте на незащищенном сервере может привести к такой ответственности компании.
«Существуют уникальные уязвимости, связанные с базами данных, доступ к которым можно получить через Интернет», – сказал Рич, добавив, что FTC планирует в будущем привлечь больше дел, связанных с безопасностью.
Когда конфиденциальные страницы найдены, их нелегко найти в секрете.
Даже после того, как документ был удален с веб-сервера, как это было в случае, когда MTV отозвал со своего веб-сайта пресс-релиз перед Суперкубком, обещающий «шокирующие моменты» в перерыве шоу, документы часто они остаются в кеше или хранятся на других компьютерах поисковой системы, чтобы к ним можно было получить доступ.
«После размещения в сети очень трудно найти цифровую лошадь в электронной конюшне», – сказал Марк Ротенберг, исполнительный директор Электронного информационного центра конфиденциальности. «Почти невозможно вернуть его обратно».
ОБЪЯВЛЕНИЕ
ПРОДОЛЖИТЕ ЧИТАТЬ НИЖЕ
Источник: Вашингтон Пост
Спасибо Montreal Web Design за совет.
Написал Серж.
