Nahrál Google hackerům na smeč?

Společnost Google nedávno spustila novou službu. Ovšem jak kritické hlasy varovaly a jak se záhy i ukázalo, Google prakticky poskytnul novou zbraň útočníkům.

Služba Google Code Search byla spuštěna 5. října. Má pomáhat vývojářům k lepšímu vyhledávání potřebných části kódů open-sourcových programů. K těm se může dostat prakticky každý, kdo zadá hledaná klíčová slova — Google Code Search poté vypíše seznam všech souborů, které dané části kódu obsahují, a vypíše i požadovaný kód.

Problém je ten, že se na internetu objevují nejen kódy open-sourcového softwaru, ale i kódy komerčního, které by na internetu ale vůbec neměly být. Jistě, tohle Google ovlivnit nemůže. Jeho záměr poskytnout vývojářům nástroj k vyhledávaní kódů je chvályhodný. Problém je ten, koho nazýváte „vývojářem“. Google tak nevědomky nahrál i hackerům a různým útočníkům, kteří se mohou velmi snadno dostat do srdcí komerčních programů a mohou napadnout třeba zranitelná místa v systémech heslování.

Odborníci na softwarovou bezpečnost upozorňují, že by se na tato rizika nemělo zapomínat a situace by se měla řešit. Jiní možnost napadení rozličných komerčních softwarů označují za alarmující a spuštění nové služby označují za jistou chybu.

Situace je však taková, že zruční hackeři tyto kódy jsou schopni nalézt i s obyčejným vyhledávačem Googlu. To však nic nemění na tom, že Google Code Search jim práci značně ulehčil.

Třeba  letos v červnu využila společnost Websense ke svým obchodním účelům  jedné méně známé vlastnosti obyčejného vyhledávače Googlu — tzv. vyhledávání v binárních záznamech — k vypátrání malwaru na internetu. (Společnost Websense se zabývá filtrováním stránek s nevhodným obsahem.)

Jako příklad zneužití nové služby poslouží následující odkaz. Po otevření stránky se objeví část programového kódu pro generování registračního čísla WinZipu. O těchto „dírách“ informoval Jason Kottke na svém blogu, kde najdete odkazy i na jiné části kódů, které se na Internet neměly dostat.

Jak se k problému vyjádřil Google? Skoro vůbec. Není divu, jelikož opravdu nemůže za to, že komerční zdrojové kódy někdo z poškozených společností nedopatřením nebo úmyslně na internet uložil.

„Google vývojářům doporučuje, aby při psaní kódů používali obecně přijímané praktiky, uvědomovali si důsledky toho, co píší, a náležitě svůj kód testovali,“ stojí v prohlášení Googlu.

Jak se leckteří odborníci jednoznačně shodli, Google code search nesplní svůj původní záměr, jelikož známé open-sourcové programy již byly dost podrobně prozkoumány velkým počtem vývojářů. Samozřejmě, že pomůže s opravami méně známých volně šiřitelných programů, ovšem nebezpečí zneužití služby k napadení komerčního softwaru je neoddiskutovatelné.

16. 10. 2006

Autor: Oldřich Klimánek