黑基网 首页 学院 电脑技术 查看内容

Google冲击安全世界

2009-2-11 08:35| 投稿: computer

摘要: 交了论文三稿,吃饭、洗澡、洗衣服,想起今天是《计算机世界》出版的日子,放下手里的衣服,下楼买了份报纸。果然,看到了大上周译的稿子,登载A22-24版。按照惯例,报纸用“...
交了论文三稿,吃饭、洗澡、洗衣服,想起今天是《计算机世界》出版的日子,放下手里的衣服,下楼买了份报纸。果然,看到了大上周译的稿子,登载A22-24版。按照惯例,报纸用“讯源”的假名,意为“资讯之源”。作为实习记者,没有看到自己的名字,也是情理之中的事情,第一份作品,发表了就好,至少,可以拿着报纸向老板讨稿费了。     两天,只睡了40来分钟,4000多词到7000多字,整整两版的文字,还是蛮有成就感的。下面是我译的初稿,和发表的略有不同,感兴趣的可以读读,我觉得还是可以看懂的。     当然,对于技术恐惧的人们,还是别遭罪了。您知道下面的文字是俺翻译的就行。-------------------------------------------------------------------------------------------------------- Google冲击安全世界 美国《首席安全官》 Sarah D. ScaletS 著  本人译 弗莱明汉姆 (2006年5月15日)从通用电气的股票走势,到如何到达纽约第七大街881号,从《碟中谍III》在哪里上映,到Brian W.九年级退学后发生了什么,无论把什么样的问题交给Google,你都会得到答案。这就是这个价值60亿美元的搜索引擎的魔力,它的功能如此强大,以至于公司名字Google成为一个动词。 这样强大的功能让Google成为新闻的热点,有时也会在审查中惹出一些麻烦。比如Google最近和美国司法部的冲突,以及这位搜索巨人对中国政府审查制度的微词。 CSO(首席安全官)和CISO(首席信息安全官)们认真关注Google有不同的理由。他们同时也思考网络中海量的信息和轻而易举获得信息的方式意味着什么。尽管这些问题和所有的搜索引擎都有关系,但Google聚集了人们的目光——不仅因为它在网页搜索市场占有的巨大分额,更因为它企图搜罗一切的野心:从图像到图书馆,再到地球、月球,还有火星。 “我们总是垂青于新技术,理解新技术的价值是需要时间的,”Robert Garigue说,他是位于蒙特利尔市的贝尔(加拿大)公司的信息整合副总裁兼首席安全执行官。对于安全专家们来说,这种代价是:Google可以用来探查网络漏洞和定位敏感设备,还可以用来实施诈骗和其它针对企业的犯罪行为。下面,CSO介绍了Google给安全世界带来的冲击的方式,以及公司可以采取什么样的措施应对这种冲击。 1.Google 攻击(Google hacking)(严格定义)// or Google 挖掘 如何定义:Google攻击是利用搜索引擎来查找系统漏洞。黑客借助精心编写的搜索代码,寻找目标组织计算机系统中的开放端口、暴露出来的错误信息,甚至密码文件等等。任何搜索引擎可以完成这些任务。“Google 攻击”这个某种程度上不严密的说法是Johnny Long发明的,他是《Google攻击入侵测试者》(Google Hacking for Penetration Testers)一书的作者,这本书广为传阅。Long 建立了一个虚拟市场(http://johnny.ihackstuff.com),在这里,注册成员可以对写出来的复杂的Google 搜索代码交流、鉴定。 运行原理:Google的工作原理是在网页上“爬行”,将查找到的一切建立索引,将索引信息放入缓存,然后在用户使用网页搜索时用这些索引信息生成结果。不幸的是,一些组织的系统设置允许Google索引和保存大量原本不该公开的信息。比如说,为了查找CSO Web服务器的开放端口,黑客可以利用Google搜索 INURL:WWW.CSOONLINE.COM:1,然后 INURL:WWW.CSOONLINE.COM:2,以此类推,看看Google是否在端口1,端口2等等建立了索引。研究者也可能搜索“阿帕奇测试页”(Apache test page)或者“错误信息”(error message)等关键词,结果可能显示出配置的详细资料、黑客攻击表。 精心编写的Google搜索代码有时甚至能查找出草率安装的监视器和网络摄影机,而它们原本是保密的。 重要性:假设有人在扫描你的所有端口。通常,这样的活动会纪录在系统日志里或者触发入侵探测系统。但是像Google这样的搜索引擎的网络爬虫(爬行机器人)一般能够读取和索引服务器上的一切信息(如果它们不能,那么别人也无法访问你的服务器)。通过搜索这些索引,而不需要搜索系统本身, “你可以在不实际接触被侵入站点的前提下进行侵入测试,”Security Compass 的创始人Nish Bhalla 如是说。 应对措施:以其人之道,还治其人之身:组建自己的Google攻击团队,使Google和其他的搜索引擎成为公司常规入侵测试的一个组成部分。Bhalla 建议技术人员关注两个方面:哪些端口是开放的;哪些错误信息是可以利用的。 发现问题的时候,你的第一反应应该是驱逐Google远离系统的这些部分。有一个小窍门可以达到这一目的:运用一个名为“robots.txt”的公共协议文件。这个文件位于网站的根目录,包含着不允许搜索引擎跟踪的文件和文件夹的目录。(举一个出了名冗长的例子,请参见白宫网站的文件 www.whitehouse.gov/robots.txt)许多提供搜索引擎服务的公司都会留意这个文件中的目录。 注意到上文说“许多”了么?另有一些搜索引擎对 robot.txt文件视而不见,直接把所有信息加入索引。更糟糕的是,robot.txt文件向黑客泄露了Web 服务器上你不想被访问的公共部分。与此同时,通过Google入侵测试你的信息已经泄露出去了。当然,这是你可以单独和搜索引擎公司联系,礼貌的请他们把信息从缓存中移除(参见www.Google.com/webmasters上的说明)。但是,最好让这些信息失去效用。 “这些缓存信息的保存时间是无法管理的,因此你必须假定它一直在那儿,而且会永远的存在下去,” AT&T的CISO Ed Amoroso说。他的解决方案很简单,“如果你是通过一串密码找到的某个文件,那就把密码更改一下。” 接下来的步骤是解决潜在的问题。删除或隐藏不想公开的信息。长远看,这也是一项艰巨的工作,可以通过关闭多余端口或者完善应用程序来实现这一点。 冲击等级:4 (最高级)你必须确保你的公司没有意外地发布攻击自身系统的说明。 2 Google 攻击(Google hacking)(宽泛定义)// or Google 挖掘 如何定义:使用搜索引擎查找知识产权(产品)。这是Google的核心:研究者采用目标网页搜索来搜集零碎的信息,然后把它们拼接起来,形成组织发展策略的图景。不同于进行SQL注入式攻击,使用公共资源搜集竞争情报是完全合法的。(实际上可以是一项很好的商业模式)。 运行原理:研究者为了获得而浏览网页,这些信息包括学术会议发表的研究,聊天室里的评论,个人简历或者工作机会。“公司在互联网各处留下了零星的线索,” Fuld & Co.的创始人Leonard Fuld这样说,他即将出版一本书,名为《竞争情报的密语》(The Secret Language of Competitive Intelligence)。通常的手段是用搜索查询某一具体格式的文件,比如微软Excel 电子表格(文件格式xls)、微软Word文档(文件格式doc)或者Adobe 的PDF(文件格式:pdf)。通过这种方式,可以过滤掉许多多余的信息。比如说想查找关于通用汽车的信息,我在二月某日以“GENERAL MOTORS”、“FINANCIAL ANALYSIS”作为关键词检索产生56,400个结果,而采用“GENERAL MOTORS”、“FINANCIAL ANALYSIS”、FILETYPE:XLS进行搜索只得到34个文档。其中一个是某家招聘代理机构的一份电子表格,包含了许多公司(包括通用汽车)当前的高级管理关人员的职位和工作记录(尽管没有名字),他们可能也是就业市场的一员。 另一种做法是搜索具有非公开信息含义的短语。比如,像“personal”、“confidential”或者“not for distribution”这些关键词是无价的。这些目标搜索未必能够回回命中,但他们可能有相当大的吸引力。比如说,在二月的同一天,我搜索“GENERAL MOTORS”“NOT FOR DISTRIBUTION”,首先得到的是一个PDF文件,来自一个客户信贷分类公司,信息没有很好的编辑过,粘贴文本到另一文档,察看起来很容易。 最后的手段是到目标组织的网站上寻找信息,比如说,电话簿可能在社交工程诈骗中被利用。研究者可以使用站内搜索功能查找“phone list”或“contact list”等语句。(事实上,这个搜索可以是SITE:CSOONLINE.COM "PHONE LIST",如果你尝试一下这个搜索,你会发现CSO曾经发表过文章指出为什么公司的电话目录最好隐藏起来。) 重要性:信息安全顾问Ira Winkler认为:“只要Google上有的东西,就是合法的。”他是《间谍在我们之中》(Spies Among Us)一书的作者。这种竞争情报的侦察只有在涉及商业秘密的时候才是非法的,也就是说,倘若它在Google上公开化了,你还能说把它作为商业秘密来保护么? 应对措施:上文提到的Google攻击组涉及到一些对敏感文件的站内搜索,比如像财务记录和标记为“禁止传阅”的文件。在你的界限之外,最好对别人对你的组织的评价有所了解,即便你对此改变不了什么。 “利用搜索引擎调查自己的公众形象实际上已经成为每个公司安全规划的一个组成部分,” Amoroso 说。 如果愿意,像MarkMonitor 和 Cyveillance 这样的商标保护公司可以替你做这些事。制定(并强制执行)好的制度,约束职员使用博客、留言板和聊天室,也可以减少公司泄密。 冲击等级:3 (重要) 这种竞争情报永远存在,并且具有破坏性。互联网意味着更多的信息泄露,而且越来越容易获取。 3.Google 地球(Google Earth) 如何定义:Google Earth是一款下载软件,可以提供全球的航拍空拍图片。(相同图片也可以通过Google Maps网站获得http://maps.Google.com )图片的视野和分辨率令人乍舌,以至于在2005年Google Earth推出beta版的时候就引来非议。有人认为他们的家的后院仅仅是点击几下鼠标就可以到达,另一些人害怕恐怖分子利用地标和关键性军事设施的图片策划袭击。 运行原理:用户安装完这款软件之后(基础版本可以在http://earth.Google.com 免费下载),可以选择地球上任何地点进行缩放,即使分辨不出汽车来,通常也可以分辨出公路。虚拟地球可以被各种各样的信息覆盖,包括公路、铁路、咖啡馆、宾馆等等。企业的研究人员也可以在Google Maps上添加任何信息,从凶案发生的位置到哪个公共卫生间有放置婴儿的桌子。图片分辨率有大有小,最新的摄于三年前,图片来源于商业公司和公共领域。 重要性:让这些信息如此容易的获得是否合理,从整个社会的角度,是值得探讨的。但是对于美国本土的公司来说,其安全风险并不大。这些信息中大部分可以通过其它途径获得。比如说,微软曾经将十年前美国地质勘测Terraserver计划的图片进行拼接(http://terraserver.microsoft.com),只不过效果不太平滑罢了。 这些图片不但早就可以在网上获得,而且可以轻易的从政府和私人出购买,军方智囊团Globalsecurity.org的负责人John Pike解释道。对此唯一的限制是两条法律条款。第一,这些图像至少拍摄于24小时之前;第二,美国军方对图片享有Pike称之为的“快门控制”的权利,即商业卫星公司不得发布可能危及美军军事行动的图像。据Pike所知,美国军方从未行使过这种权力,也没有在布什领导的反恐战争中更改对卫星图像管制的条款。 “如果Rummy对此都不担心”——Pike 指的是部长Donald Rumsfeld,“很难说还有谁会因此睡不着觉。” 应对措施:如果你的组织的安全计划是建立在一个没人可以获得空拍或航拍照片的设施之上,那么Google earth 可能对计划没有多大影响。“任何人,只要能按照设施的草图进行恐怖袭击,同样也会按照设施的图像进行攻击,”Pike说,“如果安全负责人们不想让别人看见什么,最好在上面加个屋顶。” 除此之外,为鸡尾酒会准备几个关于Google Earth 和 Google Maps的玩笑。比如说,在美国食品药品管理局,首席信息安全官Kevin Stine个人对Google Earth十分着迷,他喜欢思索Google Earth的潜在功能,比如说制定灾难预案。“站在CISO的角度,我认为我们应该关注这样的工具软件,”他说。但是对于他的安全小组,他能想到的Google Earth最终产生的唯一的影响是耗尽带宽——如果它开始投入商业运用的话。换言之,你会关注自己家草坪上的椅子从太空中看下去到底有多大。 冲击等级:1 (最小)烟雾弹里的安全防范是20世纪的事情了,Google Earth 恰恰证明了这一点。 4.点击诈骗 如何定义:点击诈骗是操纵按点击付费广告的行为。犯罪者夸大正常点击再现广告的人数,或者为自己敛财,或者大幅增加竞争者的广告负担。 运行原理:在按点击付费广告中,广告主按照网站广告链接的点击数付费。Google,雅虎和其它搜索引擎公司允许广告主将文字广告放置在他们的页面上,当用户搜索的关键词与之匹配时,文字广告出现在搜索页上,搜索引擎公司通过这种方式赚取广告费。操纵按点击数付费广告有两种手段:竞争者点击诈骗和网络点击诈骗。 首先,竞争者各种各样。假设某家出售寿险的公司要在Google上做广告。这家公司可能申请并赢得了“人寿保险”的关键词。那么,当用户Google这个关键词的时候,公司的广告以付费链接的形式出现在搜索结果旁边。(排名顺序取决于每点击付费的价格和Google神秘的超级算法。)每次有人点击付费链接,寿险公司就按照协议付给Google费用——假设每次5美元。通过竞争者点击诈骗,不正当竞争者可以通过疯狂点击此寿险公司的广告链接来提高其广告费用。 其次,网络点击诈骗利用Google不是唯一的Google广告发布者这一点牟利。比如某人有一个关于保险的博客,他可以成为Google广告的代理,将Google广告放置在他的页面上。如果寿险公司付给Google公司每点击5美元,这位博客可能可以从对其页面广告的点击中收益1美元。网络点击诈骗就是广告代理通过产生欺诈性的流量来提高自身的收益。 Google坚持说它一直在试图监控这一问题。Google信用安全产品经理Shuman Ghosmajumder说,公司监控着各种形式的“非法点击”,通常会将多余的费用退还广告主,并关闭有欺诈行为的广告代理。在2005年,Google甚至打赢了和进行点击诈骗的广告代理的官司。但是一些广告主反映,Google阻止和监控欺诈行为不利,因为它本身也在这种欺诈中获利。Google正面临着网站托管商AIT公司的一系列的诉讼,同时和邮件订货商Lane's Gifts & Collectibles 9千万美元支付款的争议还未了结。(截至到发稿时,这笔款额的归属还没有宣判。) 重要性:点击诈骗对每个CSO来说将会成为一种司空见惯的手段。它证明了电子犯罪已经变得多么错综复杂和有利可图。起初,CSO们开始察看服务器日志,通过查找列表中的IP地址来发现骗子。作为回应,骗子们编写自动程序变换IP地址,更改时间标志。接下来,CSO们改进点击诈骗探测工具,致力于帮助网络广告主监视诈骗的新兴产业开始萌芽。等待他们的是“点击农场”,骗子们雇用境外人员点击,手段更加隐蔽。正如SearchEngine-Watch.com 执行编辑Chris Sherma说的那样:“这是一场猫捉老鼠的游戏。” 应对措施:第一步是采用追踪手段。根据行业组织——搜索引擎行销专业组织(Sempo)的最新调查,42%的被调查者曾经受到点击诈骗的困扰,但有近三分之一的被调查者说他们不会主动去追踪诈骗。“监控诈骗行为有如寻找没有意义的事物,”这一组织研究委员会的主席Kevin Lee解释道,“如果上周每天你花费100美元,这周每天花费130美元,生意却没有任何改观,无论你的成功法则是什么,”你可能有麻烦了,他说。 “通常搜索引擎可以发现明显的欺诈行为,甚至可以不必为此付出成本,”Lee继续说道,但是如果你的问题严重些,你就需要搜集信息来证明为什么你认为一些点击是诈骗性质的,并且要求广告经营商退还广告费。Ghosmajumder 说Google 在调查组身上下了很大力气,这个组负责前瞻性的监控诈骗行为,同时对广告主报告的可能的诈骗行为进行研究。Google的工程师也在努力,希望通过技术手段识别非法点击。 根据Sempo的调查,78%的遭遇点击诈骗的广告主得到了搜索提供商的退款,40%的情况是在广告主要求下,搜索提供商才退款。 当然,是否索求退款也是一个问题。追查到底,还是为诈骗行为买单?帮助广告部门弄清楚那个更值,除了CSO,还有更合适的人选么? 冲击等级:2(中等)对于采用按点击数付费的公司,这是一个应该关注的问题。点击诈骗有可能在很大程度上降低在线广告的效益。但是对于90%收益来自广告的Google来说,公司有足够的动机解决这个问题,让广告主们不至于对每点击付费模式失去信心。 5. Google 桌面 (Google Desktop) 如何定义:Google提供的免费工具,允许用户快速搜索硬盘内容。(MSN,雅虎也提供类似的工具)其最新版本可以用来在计算机之间共享文件。 运行原理:和Google为网页建立索引相似,用户下载这一工具后,Google Desktop在后台为硬盘上的所有文件建立索引。按照默认设置,所有固定驱动器都被建立索引,用户也可以自行指定某个文件夹不在索引之列,或者添加某个驱动器。搜索结果的文件格式可以设定:包括文本文件、电子表格、PDF、网页历史纪录、电子邮件等等。一旦索引建立,用户运行Google搜索的时候,本地硬盘上的文件出现在搜索结果的顶部。用户也可以在桌面上打开这个工具软件,单独使用,甚至不需要连接互联网。 新版本还有一个有争议的特性:允许用户在计算机间共享文件。如果启用这一功能,Google在一台计算机上建立索引,将索引上传至Google服务器,再将其下载到另一台计算机上(也同样配置了此软件)。然后,在一台计算机上进行搜索返回两台机器上的结果。 重要性:人们对此感到棘手的原因是显而易见的。一旦安装了这一工具,文件被建立了索引,偷窥者都不用一顿饭的工夫,甚至只需一杯咖啡的时间,就可以搜到别人硬盘上的文件,比如说,有关Bob Jones's的薪水的文件。更糟糕的是,普通用户可能并没有意识到或者理解如何确保敏感文件不被索引。 为了自身的声誉,Google已经试图改进个这一工具的标准配置。新版的Google Desktop自动返回的结果是具有密码保护的文档和保密的HTTP页面。现在,如果用户不更改设置,那些格式的文件不会被索引。“人们怨声载道,Google很快就做了更改,” SearchEngineWatch.com的Sherman说。即便如此,恰当的设置依然显得很复杂。一些公司,以及那些担心泄露个人隐私的个人,也对Google使大量的信息变得可以获得心存戒心。 跨机搜索的功能加剧了这种担心。Google表示,通过这种功能,用户的个人文件可以在Google服务器上保留至30天。Google对这个时间范围没有太重视。Google事业部产品经理Matthew Glotzbach指出:“如果你的两台电脑在线并且处于同步状态,(文件在Google服务器上),只需几分钟”——这就是Google从一台计算机上上载信息并将它下传到另一台计算机上的速度。 但是,将信息全部保存在Google服务器上是比较麻烦,假设搜索引擎公司会受到监察官的例行传唤。(Google的隐私权政策是:“我们也许会在有限的情况下和第三方共享信息,这些情况包括执行司法程序、阻止诈骗和临近的危害,以及保证我们网络和服务的安全。”)在一个特别紧张的案件里,Google收到美国司法部的传票,要求搜索结果帮助分析儿童在线隐私保护法案的执行情况。法官减少了Google应移交的信息量,在接下来的辩论中,人们逐渐意识到Google保存信息的数量和性质。 应对措施:是到了迎头赶上的时候了——Brown认为这是极其重要的,因为 Sarbanes-Oxley法案要求公司对信息的保留地点和时限记录在案。考虑一下你的用户在工作中是否需要桌面搜索,如果需要,就要着手去了解它是如何配置和使用的。(加分点:去找CSO,他可以确保用户理解这些工具软件的隐私含义,不要仅仅让用户阅读隐私权政策。) 在食品药品管理局,Stine是最早关注这款工具软件的。“曾经有人提出过要求(使用桌面搜索),但呼声不强烈”,他说。如果(当)大量用户确实需要桌面搜索的时候,Stine说,他会认真研究一下这种技术是如何识别、索引和显示信息的。“我们必须确保我们还在对信息保持全面的控制——至少尽可能全面的控制,”他说。 幸好,他有多种选择。有些公司采用企业桌面搜索工具,协助CISO们保存信息表格。Google desktop 3企业版目前尚处在测试阶段,它允许管理员彻底禁止像跨机搜索这样的功能。Google表示正在致力于使这款软件以后的版本更加便于管理。“我想我们会收到乐观和正面的响应,” Glotzbach说,“我们已经深入研究了关于跨机搜索功能的反馈,尤其在企业的环境中,我们正努力让公司使用起来更简单,”他很确信的说。 X1 技术已经被雅虎采用,这种技术提供了一种颇有竞争力的搜索工具。Brown认为,从IT业远景来看,这种工具更易于管理。“这些技术存在的问题是:它们刚刚发布,马上就被人们下载使用,” Brown说,“对于公司来说,跟上新形势还需要一段时间。” 冲击波指数:4 (最强) 桌面搜索系统是一项未经测试的很可能被滥用的技术。如果你的用户不需要,不要让他们使用它。如果他们确实需要,应考虑使用具有中央控制管理功能的企业工具软件。 未来的冲击 Google 冲击着我们,它竖起一面镜子,强迫我们审视放在网上的一切。“Google具备强大的破坏力的同时也提供了搜索能力,” Winkler说,“它的强大所在也是它的危险所在。” 未来的搜索技术只会更加危险,贝尔(加拿大)公司的Garigue指出搜索引擎技术尚处在它的婴儿期,仅仅是浅尝则止,用他的话说,只是“浅网”。“浅网是网页服务器上一切公开的信息,”他说“深网则是暗藏在数据库里的一切。”从国会图书馆,到Lexis-Nexis的受法律保护的新成果,再到Medline(联机医学文献分析和检索系统——译者注)的数据库,绝大多数人们通过在线模式得到的信息还是只向特定用户开放,而不是Google。“Google是第一代工具,” Garigue说。随着这些工具的不断完善,冲击波一定会变得越来越强大。  
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部