ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Статья не совсем новая, но интересная =)

Специалисты в области информационной безопасности предупредили разработчиков программного обеспечения с открытым исходным кодом о новой опасности, которая может угрожать их разработкам в результате недобросовестного использования поисковой машины Google Code Search. По словам специалистов, новый продукт Google облегчит хакерам задачу по поиску программ, уязвимости в которых могут использоваться для проведения атак. Поисковый алгоритм Google и ранее мог использоваться для поиска отдельных строк программного кода, однако Google Code Search индексирует содержимое open-source репозиториев значительно лучше, отмечает сайт SecurityFocus.com.

«Этот продукт глубже просматривает места, в которых находится доступный для всех код и очень четко его индексирует. Это ускоряет и облегчает хакерам задачу по поиску уязвимостей. Речь идет не о людях, которые хотят атаковать конкретный сайт, а о людях, которые хотят атаковать любой сайт», — комментирует появление нового продукта Крис Вайсопал (Chris Wysopal), технический директор новой компании Veracode, специализирующейся на информационной безопасности.

О запуске нового продукта Google объявила в минувший четверг. Google Code Search просматривает содержимое репозиториев и компилирует его в удобную для поиска базу данных. Продукт позволяет веб-серферам находит код, содержащий конкретные регулярные выражения, а кроме того, поиск можно ограничивать по типу файлов и лицензии.

Обеспокоенность, связанная с запуском Google Code Search напоминает о проблемах, с которыми некоторые специалисты связывают и основной поисковик Google. Существует даже термин «Google hacking», подразумевающий поиск уязвимостей на сайтах через специальные запросы. Авторы червей и вирусов пытались использовать Google для создания списка потенциальных объектов атаки. А в июле эксперты заявили, что Google можно использовать и для поиска вредоносного кода.

В ответ на опасения экспертов, связанных с Google Code Search, в компании заявили, что продукт предназначен для помощи программистам, которые смогут таким образом искать образцы кода и значения неочевидных функций, а вовсе не для сбора информации об уязвимостях. Профессионалы в области информационной безопасности признают, что большинство уязвимостей, обнаруживаемых с помощью Google Code Search, могут быть найдены и в «обычном» Google.

Новый продукт позволит аудиторам кода предупреждать пользователей и разработчиков о брешах в программах значительно быстрее. Главный аргумент в пользу программ с открытым исходным кодом — их безопасность поддерживает большее количество людей. В долгосрочной перспективе Google Code Search может привести к увеличению числа тех, кто следит за безопасностью кода того или иного open source-продукта. «Это как дать каждому телескоп. Будем надеяться, что телескопы будут использовать в хороших целях», — прокомментировал перспективы новой разработки Google Вайсопал.

Источники:
SecurityFocus.com