Úvod > Články > Nahrál Google hackerům na smeč?

Nahrál Google hackerům na smeč?

Společnost Google nedávno spustila novou službu. Ovšem jak kritické hlasy varovaly a jak se záhy i ukázalo, Google prakticky poskytnul novou zbraň útočníkům.

Služba Google Code Search byla spuštěna 5. října. Má pomáhat vývojářům k lepšímu vyhledávání potřebných části kódů open-sourcových programů. K těm se může dostat prakticky každý, kdo zadá hledaná klíčová slova — Google Code Search poté vypíše seznam všech souborů, které dané části kódu obsahují, a vypíše i požadovaný kód.

Problém je ten, že se na internetu objevují nejen kódy open-sourcového softwaru, ale i kódy komerčního, které by na internetu ale vůbec neměly být. Jistě, tohle Google ovlivnit nemůže. Jeho záměr poskytnout vývojářům nástroj k vyhledávaní kódů je chvályhodný. Problém je ten, koho nazýváte „vývojářem“. Google tak nevědomky nahrál i hackerům a různým útočníkům, kteří se mohou velmi snadno dostat do srdcí komerčních programů a mohou napadnout třeba zranitelná místa v systémech heslování.

Odborníci na softwarovou bezpečnost upozorňují, že by se na tato rizika nemělo zapomínat a situace by se měla řešit. Jiní možnost napadení rozličných komerčních softwarů označují za alarmující a spuštění nové služby označují za jistou chybu.

Situace je však taková, že zruční hackeři tyto kódy jsou schopni nalézt i s obyčejným vyhledávačem Googlu. To však nic nemění na tom, že Google Code Search jim práci značně ulehčil.

Třeba  letos v červnu využila společnost Websense ke svým obchodním účelům  jedné méně známé vlastnosti obyčejného vyhledávače Googlu — tzv. vyhledávání v binárních záznamech — k vypátrání malwaru na internetu. (Společnost Websense se zabývá filtrováním stránek s nevhodným obsahem.)

Jako příklad zneužití nové služby poslouží následující odkaz. Po otevření stránky se objeví část programového kódu pro generování registračního čísla WinZipu. O těchto „dírách“ informoval Jason Kottke na svém blogu, kde najdete odkazy i na jiné části kódů, které se na Internet neměly dostat.

Jak se k problému vyjádřil Google? Skoro vůbec. Není divu, jelikož opravdu nemůže za to, že komerční zdrojové kódy někdo z poškozených společností nedopatřením nebo úmyslně na internet uložil.

„Google vývojářům doporučuje, aby při psaní kódů používali obecně přijímané praktiky, uvědomovali si důsledky toho, co píší, a náležitě svůj kód testovali,“ stojí v prohlášení Googlu.

Jak se leckteří odborníci jednoznačně shodli, Google code search nesplní svůj původní záměr, jelikož známé open-sourcové programy již byly dost podrobně prozkoumány velkým počtem vývojářů. Samozřejmě, že pomůže s opravami méně známých volně šiřitelných programů, ovšem nebezpečí zneužití služby k napadení komerčního softwaru je neoddiskutovatelné.

16. 10. 2006

Autor: Oldřich Klimánek

Sdílejte

Přečtěte si také

 

Technika s lidskou povahou

O prázdninách převážím notebook mezi domovem a návštěvami s dětmi u babiček a dědů. Pokaždé, když jej pak zapojuji...

 

Furt něco mažu

Používám dvě e-mailové adresy. Jednu soukromou, jednu pracovní, vlastně firemní. Na soukromou mi chodí hromady...

 

5 zajímavých pivních webů

O prázdninách, v parném létě, přijde dobré pivečko vhod. Měl jsem štěstí i na nová piva jako Rampušák, a chtěl jsem...

Nejčtenější články

Vodafone zlevnil pevný LTE internet

 

Pokud k vám nevedou žádné kabely, ale i přesto byste si chtěli pořídit hezky stabilní internet, možná pro vás máme...

O2 nabídne rodinám 5G internet

 

Od poloviny listopadu máte možnost získat od O2 nový bezdrátový internet na frekvenci 3,7 GHz. Operátor má toto...

Televizní speciál: Kde najdete to nejlepší z erotiky

 

Abyste nemuseli přemýšlet o tom, jak se při objednávání televize zeptat na erotické kanály, připravili jsme pro vás...