Úvod > Články > Nahrál Google hackerům na smeč?

Nahrál Google hackerům na smeč?

Společnost Google nedávno spustila novou službu. Ovšem jak kritické hlasy varovaly a jak se záhy i ukázalo, Google prakticky poskytnul novou zbraň útočníkům.

Služba Google Code Search byla spuštěna 5. října. Má pomáhat vývojářům k lepšímu vyhledávání potřebných části kódů open-sourcových programů. K těm se může dostat prakticky každý, kdo zadá hledaná klíčová slova — Google Code Search poté vypíše seznam všech souborů, které dané části kódu obsahují, a vypíše i požadovaný kód.

Problém je ten, že se na internetu objevují nejen kódy open-sourcového softwaru, ale i kódy komerčního, které by na internetu ale vůbec neměly být. Jistě, tohle Google ovlivnit nemůže. Jeho záměr poskytnout vývojářům nástroj k vyhledávaní kódů je chvályhodný. Problém je ten, koho nazýváte „vývojářem“. Google tak nevědomky nahrál i hackerům a různým útočníkům, kteří se mohou velmi snadno dostat do srdcí komerčních programů a mohou napadnout třeba zranitelná místa v systémech heslování.

Odborníci na softwarovou bezpečnost upozorňují, že by se na tato rizika nemělo zapomínat a situace by se měla řešit. Jiní možnost napadení rozličných komerčních softwarů označují za alarmující a spuštění nové služby označují za jistou chybu.

Situace je však taková, že zruční hackeři tyto kódy jsou schopni nalézt i s obyčejným vyhledávačem Googlu. To však nic nemění na tom, že Google Code Search jim práci značně ulehčil.

Třeba  letos v červnu využila společnost Websense ke svým obchodním účelům  jedné méně známé vlastnosti obyčejného vyhledávače Googlu — tzv. vyhledávání v binárních záznamech — k vypátrání malwaru na internetu. (Společnost Websense se zabývá filtrováním stránek s nevhodným obsahem.)

Jako příklad zneužití nové služby poslouží následující odkaz. Po otevření stránky se objeví část programového kódu pro generování registračního čísla WinZipu. O těchto „dírách“ informoval Jason Kottke na svém blogu, kde najdete odkazy i na jiné části kódů, které se na Internet neměly dostat.

Jak se k problému vyjádřil Google? Skoro vůbec. Není divu, jelikož opravdu nemůže za to, že komerční zdrojové kódy někdo z poškozených společností nedopatřením nebo úmyslně na internet uložil.

Google vývojářům doporučuje, aby při psaní kódů používali obecně přijímané praktiky, uvědomovali si důsledky toho, co píší, a náležitě svůj kód testovali,“ stojí v prohlášení Googlu.

Jak se leckteří odborníci jednoznačně shodli, Google code search nesplní svůj původní záměr, jelikož známé open-sourcové programy již byly dost podrobně prozkoumány velkým počtem vývojářů. Samozřejmě, že pomůže s opravami méně známých volně šiřitelných programů, ovšem nebezpečí zneužití služby k napadení komerčního softwaru je neoddiskutovatelné.

16. 10. 2006

Autor: Oldřich Klimánek

Sdílejte

Přečtěte si také

 

Technika s lidskou povahou

O prázdninách převážím notebook mezi domovem a návštěvami s dětmi u babiček a dědů. Pokaždé, když jej pak zapojuji...

 

Furt něco mažu

Používám dvě e-mailové adresy. Jednu soukromou, jednu pracovní, vlastně firemní. Na soukromou mi chodí hromady...

 

5 zajímavých pivních webů

O prázdninách, v parném létě, přijde dobré pivečko vhod. Měl jsem štěstí i na nová piva jako Rampušák, a chtěl jsem...

Nejčtenější články

Jak u vás letos bude zvonit Ježíšek? Třeba přes mobil...

 

Pokud zrovna řešíte, jak zasimulovat Ježíškovo zazvonění tak, aby vás děti neodhalily, máme pro vás pár tipů...

Black Friday u Vodafonu: Neomezený tarif za 399 Kč

 

Vodafone v rámci Black Friday zlevňuje neomezený tarif. Se slevou až 46 % si ho můžete pořídit pouhých 72 hodin.

Black Friday je tady! Pořiďte si neomezený tarif od Vodafonu za 399 Kč

 

Black Friday odstartoval a s ním i sleva na neomezené tarify od Vodafonu. Pořídit si je můžete za historicky...