Společnost Google nedávno spustila novou službu. Ovšem jak kritické hlasy varovaly a jak se záhy i ukázalo, Google prakticky poskytnul novou zbraň útočníkům.
Služba Google Code Search byla spuštěna 5. října. Má pomáhat vývojářům k lepšímu vyhledávání potřebných části kódů open-sourcových programů. K těm se může dostat prakticky každý, kdo zadá hledaná klíčová slova — Google Code Search poté vypíše seznam všech souborů, které dané části kódu obsahují, a vypíše i požadovaný kód.
Problém je ten, že se na internetu objevují nejen kódy open-sourcového softwaru, ale i kódy komerčního, které by na internetu ale vůbec neměly být. Jistě, tohle Google ovlivnit nemůže. Jeho záměr poskytnout vývojářům nástroj k vyhledávaní kódů je chvályhodný. Problém je ten, koho nazýváte „vývojářem“. Google tak nevědomky nahrál i hackerům a různým útočníkům, kteří se mohou velmi snadno dostat do srdcí komerčních programů a mohou napadnout třeba zranitelná místa v systémech heslování.
Odborníci na softwarovou bezpečnost upozorňují, že by se na tato rizika nemělo zapomínat a situace by se měla řešit. Jiní možnost napadení rozličných komerčních softwarů označují za alarmující a spuštění nové služby označují za jistou chybu.
Situace je však taková, že zruční hackeři tyto kódy jsou schopni nalézt i s obyčejným vyhledávačem Googlu. To však nic nemění na tom, že Google Code Search jim práci značně ulehčil.
Třeba letos v červnu využila společnost Websense ke svým obchodním účelům jedné méně známé vlastnosti obyčejného vyhledávače Googlu — tzv. vyhledávání v binárních záznamech — k vypátrání malwaru na internetu. (Společnost Websense se zabývá filtrováním stránek s nevhodným obsahem.)
Jako příklad zneužití nové služby poslouží následující odkaz. Po otevření stránky se objeví část programového kódu pro generování registračního čísla WinZipu. O těchto „dírách“ informoval Jason Kottke na svém blogu, kde najdete odkazy i na jiné části kódů, které se na Internet neměly dostat.
Jak se k problému vyjádřil Google? Skoro vůbec. Není divu, jelikož opravdu nemůže za to, že komerční zdrojové kódy někdo z poškozených společností nedopatřením nebo úmyslně na internet uložil.
„Google vývojářům doporučuje, aby při psaní kódů používali obecně přijímané praktiky, uvědomovali si důsledky toho, co píší, a náležitě svůj kód testovali,“ stojí v prohlášení Googlu.
Jak se leckteří odborníci jednoznačně shodli, Google code search nesplní svůj původní záměr, jelikož známé open-sourcové programy již byly dost podrobně prozkoumány velkým počtem vývojářů. Samozřejmě, že pomůže s opravami méně známých volně šiřitelných programů, ovšem nebezpečí zneužití služby k napadení komerčního softwaru je neoddiskutovatelné.
16. 10. 2006
Autor: Oldřich Klimánek
O prázdninách převážím notebook mezi domovem a návštěvami s dětmi u babiček a dědů. Pokaždé, když jej pak zapojuji...
Používám dvě e-mailové adresy. Jednu soukromou, jednu pracovní, vlastně firemní. Na soukromou mi chodí hromady...
O prázdninách, v parném létě, přijde dobré pivečko vhod. Měl jsem štěstí i na nová piva jako Rampušák, a chtěl jsem...
Pokud zrovna řešíte, jak zasimulovat Ježíškovo zazvonění tak, aby vás děti neodhalily, máme pro vás pár tipů...
Vodafone v rámci Black Friday zlevňuje neomezený tarif. Se slevou až 46 % si ho můžete pořídit pouhých 72 hodin.
Black Friday odstartoval a s ním i sleva na neomezené tarify od Vodafonu. Pořídit si je můžete za historicky...