Сидя за своим ноутбуком, Крис О’Феррелл вводит несколько слов в поисковую систему Google, и появляется ссылка на то, что кажется военным документом, в котором указаны дата рождения, место рождения, номера паспортов и национальные идентификационные номера подозреваемых талибов и Члены «Аль-Каиды».
Другой поиск возвращает электронную таблицу с именами и номерами кредитных карт.
«В этом вам помогут все поисковые системы», — сказал О’Феррелл, указывая на файлы с добычей, которые он нашел в Интернете: медицинские записи, номера банковских счетов, оценки учащихся и места стоянки 804 кораблей ВМС США, подводных лодок. эсминцы
И все это легально, используя самую мощную поисковую систему в мире.
Эксперты по кибербезопасности говорят, что все больше частных или предположительно секретных документов хранятся онлайн в удаленных уголках компьютеров по всему миру, что делает правительства, частных лиц и компании уязвимыми для нарушений безопасности. На некоторых веб-сайтах и различных форумах технические специалисты даже предлагают инструкции, как найти конфиденциальные документы с помощью довольно простого поиска. Хотя технически это не поддается взлому, эту практику иногда называют взломом Google.
«Существует целая субкультура, которая этим занимается», — сказал О’Феррелл, давний эксперт по взлому и главный технический директор Netsec Inc., консалтинговой фирмы по безопасности из Херндона.
В течение десятилетия поисковые системы, такие как Google, стали более мощными. В то же время Интернет стал более богатым источником информации, поскольку все больше и больше предприятий и государственных учреждений используют Интернет для передачи и обмена информацией. Все это хранится на компьютерах, называемых серверами, каждый из которых подключен к Интернету.
По целому ряду причин — неправильно сконфигурированные серверы, недостатки безопасности, человеческие ошибки — широкий спектр непубличных материалов действительно находится в открытом доступе. Как только Google или другая поисковая система обнаружит его, почти невозможно вернуться к секрету.
По словам инженеров по безопасности, это побуждает Googledorks, которые ищут в Интернете конфиденциальные товары, быть более активными.
«Если говорить о количестве затронутых сайтов, то оно исчисляется десятками тысяч», — сказал 32-летний Джонни Лонг, исследователь и разработчик из Computer Sciences Corp. и опытный хакер, который поддерживает сайт, который, по его словам, связан с ним. хакерское сообщество. Он рассказал о взломе Google на конференции хакеров Def Con в Лас-Вегасе прошлым летом, что привело к повышению осведомленности об уязвимости.
Google выделяется в этих поисках своей эффективностью.
«Причина, по которой Google хорош, заключается в том, что они предоставляют больше информации и больше поисковых инструментов», — сказал О’Феррелл.
Его мощный компьютер «просматривает» каждую страницу в Интернете, по крайней мере, каждые пару недель, что означает обращение к каждому общедоступному серверу в мире, захват каждой страницы и каждой ссылки, прикрепленной к каждой странице. Эти результаты затем каталогизируются с использованием сложных математических систем.
Эксперты по безопасности говорят, что самый простой способ предотвратить доступ Google к информации на веб-сервере — это создать цифровой привратник, например инструкцию для поискового робота. Этот файл с именем robots.txt определяет, что открыто для сканера, а что нет. Однако, если файл robots.txt настроен неправильно или случайно пропущен, это открывает лазейку для Google. Поскольку поисковые роботы Google легальны, никакие сигналы тревоги не сработают.
«Хуже всего то, что это может случиться с правительством, и они могут никогда не узнать об этом», — сказал Лонг. «Если в доспехах есть щель, [the hackers] найду”.
Представители Google и других поисковых систем заявили, что они чувствительны к этой проблеме, но не могут ее контролировать.
«С огромной системой из более чем 10 000 компьютерных систем, постоянно собирающих новую информацию с более чем 3 миллиардов веб-сайтов, компания не может и не хочет контролировать или подвергать цензуре то, что происходит в Интернете», — сказал Крейг Сильверстайн, главный технический директор Google.
«Я думаю, что веб-мастера должны быть осторожны», — сказал он. «Главная проблема в том, что с 3 млрд. [Web sites], там много информации. На своем веб-сайте он предлагает инструмент «Руководство для веб-мастеров» для удаления веб-сайтов из системы Google, включая обширный кэш страниц Google, которые могут больше не быть в сети, сказал Сильверстайн.
Для экспертов по взлому взлом Google имеет некую популистскую привлекательность: любой, у кого есть доступ к Интернету, может это сделать, если знает, как правильно искать.
«Это самый простой взлом методом «укажи и щелкни» — это весело, это ново, это странно, но вы можете получить мощные результаты», — сказал Эдвард Скудис, консультант по безопасности в INS Inc., которая помогает правительственным и бизнес-клиентам отслеживать то, что видно. из Интернета. «Эта концепция использования поисковой системы для взлома существует уже некоторое время, но в последние месяцы она получила широкое распространение», — сказал он.
Строки поиска, включающие «xls», «cc» или «ssn», часто возвращают электронные таблицы, номера кредитных карт и номера социального страхования, связанные со списком клиентов. Поиск по слову «всего» часто приводит к финансовым калькуляторам с цифрами в долларах. Хакер, имеющий достаточно времени и опыта в выявлении конфиденциального контента, может найти угрожающее количество якобы конфиденциальной информации.
“Муравей [client’s] Я нашел электронную таблицу Excel с 10 000 номеров социального обеспечения и кредитных карт на веб-сайте банка», — сказал Скудис об одной успешной охоте за сокровищами.
По его словам, веб-сервер банка был должным образом настроен для обеспечения конфиденциальности таких документов, но кто-то по ошибке поместил информацию не на ту сторону баррикад. «Google нашел открытую дверь и вмешался.
Скудис рассказал о своих выводах «раскрасневшим руководителям», и ему сказали: «Просто исправьте это, черт возьми».
Google и другие операторы поисковых систем не могут измерить, как часто через их веб-сайты осуществляется доступ к личным документам или сколько из них удаляются из соображений безопасности.
«Проблема в том, что по мере развития инструментов поисковых систем люди стали небрежнее относиться к тому, что они помещают на общедоступный веб-сервер», — сказал Том Уайлд, вице-президент и генеральный менеджер 19 поисковых систем Terra Lycos. «Было бы невозможно отслеживать» десятки миллионов поисковых запросов, которые происходят каждый день, сказал Уайлд, добавив, что он никогда не был уведомлен о нарушениях безопасности на своих сайтах.
Правительственные чиновники заявили, что им известно о взломе Google, и они работают с государственными учреждениями и компаниями над защитой конфиденциальных документов на веб-серверах.
«Это проблема, о которой мы знаем и отслеживаем», — сказал Амит Йоран, директор отдела кибербезопасности Министерства внутренней безопасности. По закону каждое агентство несет ответственность за собственную безопасность, и, хотя о взломе или нарушениях безопасности сообщается Национальной безопасности, отдел кибербезопасности не отслеживает интернет-контент, сказал он.
Кто виноват, когда кто-то раскапывает секретный документ, непонятно.
«Я не знаю, какой закон был нарушен только из-за поиска» в общедоступной поисковой системе, заявил представитель ФБР Пол Брессон, отметив, что бюро еще не приняло мер против лиц, которые нашли защищенные документы с помощью поисковых систем. . «Если они используют его для какой-то зловещей цели, это еще одна проблема».
Доступность частной информации способствует росту кражи личных данных, что является главной проблемой потребителей Федеральной торговой комиссии в течение последних четырех лет. В прошлом году FTC получила почти 215 000 жалоб на кражу личных данных по сравнению с примерно 152 000 в 2002 году.
С 2001 года FTC рассчиталась с Eli Lilly & Co., Microsoft Corp. и производитель одежды Guess Inc. за неспособность принять «разумные» меры для обеспечения безопасности медицинской или финансовой информации, заявила Джессика Рич, помощник директора офиса комиссии. защита потребителя. Разрешение информации о клиентах находиться на небезопасном сервере может подвергнуть бизнес такой ответственности.
«Есть уникальные уязвимости в базах данных, к которым можно получить доступ через Интернет», — сказал Рич, добавив, что FTC рассчитывает в будущем подать больше дел, связанных с безопасностью.
После обнаружения конфиденциальных страниц восстановить их непросто.
Даже после того, как документ извлечен с веб-сервера, как это было в случае, когда MTV удалило со своего веб-сайта пресс-релиз перед Суперкубком, обещавший «шокирующие моменты» в течение полугода, документы часто остаются в кэше или хранятся на других серверах. компьютеры поисковых систем, чтобы к ним все еще можно было получить доступ.
«После того, как он будет размещен в сети, очень сложно вернуть цифровую лошадь в электронный хлев», — сказал Марк Ротенберг, исполнительный директор Информационного центра электронной конфиденциальности. «Вернуть его практически невозможно».
Источник: Вашингтон пост
Спасибо Montreal Web Design за подсказку.
Сообщение от Серж.
SEO
https://www.searchenginejournal.com/online-search-engines-help-lift-cover-of-privacy/264/
