小心!黑客利用Google挖掘你的隐私
作者:娟子 编译 2007-04-04
内容导航:
文本Tag: Google 网络安全 行业观察 中小企业 黑客
【IT168 专稿】据一位安全专家表示,善于见缝插针的黑客们有可能利用Google公司的搜索工具,数以TB计地挖掘包括知识产权以及密码在内的诸多企业敏感数据。
Google时代 企业更该注重数据保护
总部设于美宾夕法尼亚州阿伦敦市的Security Constructs公司的执行总监汤姆.鲍尔斯(Tom Bowers)指出:IT专业人士必须对不法分子的这些技俩有个全面认识,这样才能时刻留心自己公司的珍贵资料不会出现在Google上。 "用Google能搜索到的信息都将变为公开信息。"他在上周波士顿召开的SecureWorld会议上说道。"现在关注自家的知识产权是否出现在Google上并采取正确防御策略以防止这一情况发生也是企业的职责所在。"
鲍尔斯并不是第一个提出"Google有可能被用于挖掘企业机密"这一警告的安全专家。渗透测试专家约翰尼.朗(Johnny Long)就曾用很大篇幅来解释将Google转变为恶意工具的各种途径,并且在他自己的网站johnny.ihackstuff.com上公布了一个Google黑客技巧数据库(Google hacking database ,GHDB)。鲍尔斯表示,虽然如此,但仍有许多企业并未清醒认识到Google威胁的真正可怕。
Google上周宣布,将开始在从数百万全球用户那所收集到的海量信息的前面设置一个匿名盾牌,以使在线搜索信息的提供者更难以被追踪到。不过到现在仍并没有迹象表明,这一措施将会减少鲍尔斯所说的那些风险。当然,唯一原因就是黑客们已掌握了避开这类防御盾牌的决窃。
对此,鲍尔斯指出,许多Google黑客都是经验丰富的间谍。而作为财富100强中一家制药公司的前任信息安全操作经理,鲍尔斯特别指出,已有制药公司雇佣情报收集人员用来了解他们的竞争对手。
黑客青睐Google专业搜索工具
Google黑客们能够利用Google的精确搜索工具来瞄准目标并且寻找财务文档以及安全分析报告,因为这些往往是潜在的信息宝库。所以黑客们更加青睐专业的Google工具,包括Google 地球(Google Earth)、Google 专利搜索(Google Patent Search)以及Google 博客搜索(Google Blog Search)等。
鲍尔斯表示:Google地球服务可被间谍们用于获取竞争对手工厂车间的卫星照片。而如果一家企业所拥有的其中一个专利包含的信息过多,那么Google 专利搜索将会显得特别有价值。"一旦你有一个专利想要公开,那么你在提呈这个专利相关信息时就必须要再三斟酌,"他表示。"你所提呈的信息仅包括能说明其独特性并足以取得专利的内容即可,若提呈太多信息则这些内容有可能会被你的竞争对手看到,那么他们就能复制你的工艺流程。专利可是一个真正的信息聚宝盆啊。"此外,博客也算是信息的一个极好来源,足以让一家企业用来对付另一家企业。在博客世界里能共享许多观点,有时甚至还能共享许多的知识产权。
不过鲍尔斯也表示,也许最好的情报工具要算是Google快讯(Google Alerts),它能基于用户定制的规格为用户提供其所要的内容。"你能借助这种搜索方式来实现数据挖掘、商业智能(BI)和计算机取证,"他表示。"我的Google快讯是设定为以每日电子邮件形式发送给我的,使用起来非常容易,而且你能用它来快速发现你公司的信息并展开相应调查。"当然,调查是关于这些资料信息是如何出现在Google上的。
此外,鲍尔斯发现Google还能用来挖掘那些企业认为已经销毁的表单文件。这些表单文件中某些可能还包括用户名及密码等有价值的细节资料。比如:他就曾在一个案例中,通过运用Google发现了一个带有账户名称及密码的电子数据表。
企业应尽快撤销Google上的敏感数据
按照Google发言人的说法,他们所开发的桌面搜索工具目的是让用户更方便快捷地查找存在硬盘上的数据,因而不会对其可能引起的此类安全问题做特殊处理。除了Google之外,其他一些公司如Blinkx和Copernic也提供类似的搜索引擎,而象ISYS、X1、雅虎、微软等公司据称也正在开发此类产品。显然,能够让企业泄密的搜索工具变得越来越多,企业必须引起足够的重视,以防数据泄漏。
对于那些在Google上查询自已公司信息的IT专业人士,鲍尔斯建议先以一个问题起头,然后再精确调整这个搜索,问更多问题并进行更精确的搜索。一旦发现公司信息,就执行一个源数据分析来确定文档的生成日期并找到隐藏的超链接。而对于那些确实发现自家公司敏感数据在Google上散播的那些人来说,Google为他们提供一个在线表格,他们可在表格中填入要求Google撤下的内容。