Google冲击安全世界

■ 讯源
强大的功能总是让Google成为关注的焦点，这次安全问题又成话题。Google到底以何种方式给安全世界带来冲击？我们又该如何应对？ 从通用电气的股票走势，到如何到达纽约第七大街881号；从《碟中谍III》在哪里上映，到Brian W.九年级退学后发生了什么，无论把什么样的问题交给Google，你都会得到答案。这就是这个价值60亿美元的搜索引擎的魅力所在，它的功能如此强大，以至于公司名Google成为一个动词。 CSO（首席安全官）和CISO（首席信息安全官）们从不同的角度看待Google和它那极易获取的海量在线信息。尽管这些问题与所有的搜索引擎都有关系，但Google却得到了最多关注——不仅因为它在网页搜索市场占有的巨大份额，更因为它企图搜罗一切的野心：从图像到图书馆，再到地球、月球，甚至火星。 “我们总是垂青于新技术，而理解为新技术付出的代价是需要时间的，” 贝尔（加拿大）公司的信息整合副总裁兼首席安全执行官Robert Garigue说。对于安全专家们来说，这种代价是Google可以挖掘网络漏洞和定位敏感设备，还可以用来实施诈骗和其他针对企业的犯罪行为。 冲击一 Google Hacking之严格定义 定义：Google Hacking是利用搜索引擎来寻找系统漏洞。黑客借助精心编写的搜索代码，寻找目标组织计算机系统中的开放端口、暴露出来的错误信息，甚至密码文件等。任何搜索引擎都能完成这些任务。“Google Hacking”这个不算严密的说法被认为是Johnny Long提出的，他是广为传阅的《Google渗透测试者》一书的作者。 冲击方式: Google的工作原理是在网页上“爬行”，将找到的一切建立索引，再把索引信息放入缓存，当用户使用网页搜索时用这些索引信息生成结果。不幸的是，一些组织的系统设置允许Google索引和保存大量原本不该公开的信息。比如说，为了查找CSO的Web服务器的开放端口，黑客可以利用Google搜索 INURL:WWW.CSOONLINE.COM:1，然后INURL:WWW.CSOONLINE.COM:2，以此类推，看看Google是否在端口1、端口2等等建立了索引。研究者也可能搜索“Apache test page”或者“错误信息”等关键词，结果可能显示出类似黑客攻击表的配置详细资料。精心编写的Google搜索代码有时甚至能查找出草率安装的监视器和网络摄影机，而它们原本是保密的。 冲击后果: 假设有人在扫描你的所有端口。通常这样的活动会记录在系统日志里或者触发入侵探测系统，但是像Google这样的搜索引擎一般能够读取和索引服务器上的一切信息。通过搜索这些索引而非系统本身，“你无需实际接触被侵入站点，就可进行侵入测试，” Security Compass的创始人Nish Bhalla 如是说。 应对措施: 以其人之道，还治其人之身：组建自己的Google攻击团队，使Google和其他的搜索引擎成为公司常规入侵测试的一个组成部分。Bhalla建议技术人员关注两个方面：哪些端口是开放的；哪些错误信息是可用的。 发现问题的时候，你的第一反应就是驱逐Google远离你的系统。有一个小窍门可以达到这一目的：运用一个名为“robots.txt”的公共协议文件。这个文件位于网站的根目录，包含着不允许搜索引擎跟踪的文件和文件夹的目录。许多提供搜索引擎服务的公司都会留意这个文件中的目录。 有些搜索引擎对 robot.txt文件视而不见，直接把所有信息加入索引。更糟糕的是，robot.txt文件向黑客泄露了Web服务器上你不想被访问的公共部分。与此同时，通过Google入侵测试，你的信息已经泄露出去了。当然，你可以单独地和搜索引擎公司联系，礼貌地请他们把信息从缓存中移除。但最好是让这些信息失去效用。 “这些缓存信息的保存时间是无法管理的，因此你必须假定它一旦出现，就会永远保存在那里。”AT&T的CISO Ed Amoroso说。他的解决方案很简单，“如果你是通过一串密码找到的某个文件，那就把密码更改一下。” 接下来的步骤是解决潜在的问题。删除或隐藏非公用的信息。长远看，这也是一项艰巨的工作，可以通过关闭多余端口或者完善应用程序来实现这一点。 冲击指数 ★★★★ 你必须确保你的公司没有意外地发布攻击自身系统的说明。 冲击二 Google Hacking之广泛定义 定义：使用搜索引擎查找知识产权。这是Google的核心：研究者采用目标网页搜索来搜集零碎的信息，放在一起，就组成了一个企业的战略图。但是与SQL注入式攻击不同的是，使用公共资源搜集竞争情报是完全合法的。 冲击方式: 研究者为了获取信息而浏览网页，这些信息包括学术会议上发表的研究成果、聊天室里的评论、个人简历或者工作机会，公司在互联网各处都可能留下零星的线索。通常的手段是用搜索查询某一具体格式的文件，比如微软Excel电子表格、Word文档或者Adobe的PDF文件。通过这种方式，可以过滤掉许多多余的信息。比如说想查找关于通用汽车的信息，输入“GENERAL MOTORS”、“FINANCIAL ANALYSIS”作为关键词，会产生56400个结果，而采用“GENERAL MOTORS”、“FINANCIAL ANALYSIS”、FILETYPE:XLS，就只得到34个文件。 另一种做法是搜索具有非公开信息含义的短语。比如“personal”、“confidential”或者“not for distribution”。这些目标搜索未必能够回回命中，但他们仍有相当大的吸引力。比如说，搜索“GENERAL MOTORS”“NOT FOR DISTRIBUTION”，首先得到的是来自一个客户信贷分类公司的PDF文件。 最后一种方式是到目标组织的网站上寻找信息，比如说，电话簿可能在社交工程诈骗中被利用。研究者可以使用站内搜索功能查找“phone list”或“contact list”等语句。事实上，这个搜索可以是SITE:CSOONLINE.COM“PHONE LIST”，如果你尝试一下这个搜索，你就会发现CSO曾经发表过文章，指出为什么公司的电话目录最好隐藏起来。 冲击后果：信息安全顾问、《间谍在我们之中》的作者Ira Winkler认为：“只要Google上有的东西，就是合法的。”这种竞争情报的侦察只有在涉及商业秘密的时候才是非法的，也就是说，倘若它在Google上公开化了，你还能把它作为商业秘密来保护吗？ 应对措施: Google Hacking涉及到一些对敏感文件的站内搜索，比如像财务记录和标记为“禁止传阅”的文件。在你的界限之外，最好对别人对你的组织的评价有所了解，即便你改变不了什么。“利用搜索引擎调查自己的公众形象实际上已经成为每个公司安全规划的一个组成部分，”Amoroso 说。 如果愿意，像MarkMonitor和Cyveillance这样的商标保护公司可以替你做这些事。制定一些制度，约束职员使用博客、留言板和聊天室，也可以减少公司泄密。 冲击指数 ★★★ 这种竞争情报永远存在，并且具有破坏性。互联网意味着更多的信息泄露，而且越来越容易获取。 冲击三 Google Earth 定义: Google Earth是一款下载软件，可以提供全球的航拍空拍图片，相同图片也可以通过Google Maps网站获得。图片的视野和分辨率令人乍舌，以至于在2005年Google Earth推出beta版的时候就引来非议。有人认为他们的家的后院仅仅是点击几下鼠标就可以到达，另一些人害怕恐怖分子利用地标和关键性军事设施的图片策划袭击。 冲击方式: 用户安装完这款软件之后，可以选择地球上任何地点进行缩放，即使分辨不出汽车，通常也可以分辨出公路。虚拟地球可以被各种各样的信息覆盖，包括公路、铁路、咖啡馆、宾馆等等。企业的研究人员也可以在Google Maps上添加任何信息，从凶案发生的位置到哪个公共卫生间有放置婴儿的桌子。图片分辨率有大有小，最新的摄于3年前，主要来源于商业公司和公共领域。冲击后果: 如此容易地获得这些信息是否合理，从整个社会来说，是值得探讨的，但是对于美国本土的公司来说，其安全风险并不大。这些信息中大部分可以通过其他途径获得。比如说，微软曾经将10年前美国地质勘测Terraserver计划的图片进行拼接，只不过效果不太平滑罢了。 这些图片不但早就可以在网上获得，而且可以轻易地从政府和私人处购买，军方智囊团Globalsecurity.org的负责人John Pike解释道。对此惟一的限制是两条法律条款。第一，这些图像至少拍摄于24小时之前；第二，美国军方对图片享有Pike称之为“快门控制”的权利，即商业卫星公司不得发布可能危及美军军事行动的图像。据Pike所知，美国军方从未行使过这种权利，也没有在布什领导的反恐战争中更改对卫星图像管制的条款。 应对措施: 如果你的组织的安全计划是建立在一个没人可以获得空拍或航拍照片的设施之上，那么Google earth可能对计划没有多大影响。“任何人，只要能按照设施的草图进行恐怖袭击，同样也会按照设施的图像进行攻击，”Pike说，“如果安全负责人们不想让别人看见什么，最好在上面加个屋顶。” 冲击指数 ★ 烟雾弹里的安全防范是20世纪的事情了，Google Earth恰恰证明了这一点。 冲击四 点击诈骗 定义: 点击诈骗是操纵按点击广告付费的行为。犯罪者夸大点击在线广告的人数，或者为自己敛财，或者大幅增加竞争者的广告负担。 冲击方式: 在按点击付费广告中，广告主按照网站广告链接的点击数付费。Google、雅虎和其他搜索引擎公司允许广告主将文字广告放置在他们的页面上，当用户搜索的关键词与之匹配时，文字广告出现在搜索页上，搜索引擎公司通过这种方式赚取广告费。操纵按点击数付费的广告有两种手段：竞争者点击诈骗和网络点击诈骗。 假设某家出售寿险的公司要在Google上做广告。这家公司可能申请并取得了“人寿保险”的关键词。那么，当用户Google这个关键词的时候，公司的广告以付费链接的形式出现在搜索结果旁边。每次有人点击付费链接，寿险公司就按照协议付给Google费用。通过竞争者点击诈骗，不正当竞争者可以通过疯狂点击此寿险公司的广告链接来提高其广告费用。 网络点击诈骗利用Google不是惟一的Google广告发布者这一点牟利。比如某人有一个关于保险的博客，他可以成为Google广告的代理，将Google广告放置在他的页面上。如果寿险公司付给Google公司每点击5美元，该博客可能从对其页面广告的点击中收益1美元。网络点击诈骗就是广告代理通过产生欺诈性的流量来提高自身的收益。 Google坚持说它一直在试图监控这一问题。Google信用安全产品经理Shuman Ghosmajumder说，公司监控着各种形式的“非法点击”，通常会将多余的费用退还广告主，并关闭有欺诈行为的广告代理。但是一些广告主反映，Google阻止和监控欺诈行为不力，因为它本身也在这种欺诈中获利。 冲击后果：点击诈骗对每个CSO来说将会成为一种司空见惯的手段。它证明了电子犯罪已经变得多么错综复杂和有利可图。起初，CSO们开始察看服务器日志，通过查找列表中的IP地址来发现骗子。作为回应，骗子们编写自动程序变换IP地址，更改时间标志。接下来，CSO们改进点击诈骗探测工具，致力于帮助网络广告主进行监视。但随之而来的是“点击农场”，骗子们雇用境外人员点击，手段更加隐蔽。正如SearchEngine-Watch.com执行编辑Chris Sherman说的那样：“这是一场猫捉老鼠的游戏。” 应对措施: 第一步是采用追踪手段。但根据搜索引擎行销专业组织Sempo的最新调查，42%的被调查者曾经受到点击诈骗的困扰，但有近1/3的被调查者说他们不会主动去追踪诈骗。 “通常搜索引擎可以发现明显的欺诈行为，甚至可以不必为此付出成本，”Sempo研究委员会主席Kevin Lee说，但是如果你的问题比较严重，你就需要搜集信息来证明为什么你认为一些点击是诈骗性质的，并且要求广告经营商退还广告费。Ghosmajumder说Google在调查组身上下了很大力气，这个组负责前瞻性的监控诈骗行为，同时对广告主报告的可能的诈骗行为进行研究。Google的工程师也在努力，希望通过技术手段识别非法点击。 冲击指数 ★★ 对于采用按点击数付费的公司，这是一个应该关注的问题。点击诈骗有可能在很大程度上降低在线广告的收益。但是对于90%收益来自广告的Google来说，公司有足够的动机解决这个问题，让广告主们不至于对点击付费模式失去信心。 冲击五 Google桌面 定义: Google提供的免费工具，允许用户快速搜索硬盘内容，其最新版本可以用来在计算机之间共享文件。冲击方式: 和Google为网页建立索引相似，用户下载这一工具后，Google Desktop在后台为硬盘上的所有文件建立索引。按照默认设置，所有固定驱动器都被建立索引，用户也可以自行指定某个文件夹不在索引之列，或者添加某个驱动器。搜索结果的文件格式可以设定：包括文本文件、电子表格、PDF、网页历史纪录、电子邮件等等。一旦索引建立，用户运行Google搜索的时候，本地硬盘上的文件出现在搜索结果的顶部。用户也可以在桌面上打开这个工具软件，单独使用，甚至不需要连接互联网。 新版本还有一个有争议的特性：允许用户在计算机间共享文件。如果启用这一功能，Google在一台计算机上建立索引，将索引上传至Google服务器，再将其下载到另一台计算机上。然后，在一台计算机上进行搜索，返回两台机器上的结果。 冲击后果: 人们对此感到棘手的原因是显而易见的。一旦安装了这一工具，文件被建立了索引，偷窥者甚至只需一杯咖啡的时间，就可以搜到别人硬盘上的文件。更糟糕的是，普通用户可能并没有意识到或者理解如何确保敏感文件不被索引。 为了自身的声誉，Google已经试图改进这一工具的标准配置。新版的Google 桌面自动返回的结果，是具有密码保护的文档和HTTP页面。现在，如果用户不更改设置，那些格式的文件不会被索引。即便如此，恰当的设置依然显得很复杂。一些公司，以及那些担心泄露个人隐私的个人，也对Google心存戒备。 跨机搜索的功能加剧了这种担心。Google表示，通过这种功能，用户的个人文件可以在Google服务器上保留30天。Google对这个时间范围没有太重视。Google事业部产品经理Matthew Glotzbach表示，如果你的两台电脑在线并且处于同步状态，只需几分钟，Google就能从一台计算机上上载信息并将它下传到另一台计算机上。 但是，将信息全部保存在Google服务器上可能会带来麻烦。在一个案件里，Google收到美国司法部的传召，要求搜索结果帮助分析儿童在线隐私保护法案的执行情况。法官减少了Google应移交的信息量，但在接下来的辩论中，人们逐渐意识到Google保存信息的数量和性质。 应对措施：Sarbanes-Oxley法案要求公司对信息的保留地点和时限记录在案。考虑一下你的用户在工作中是否需要桌面搜索，如果需要，就要着手去了解它是如何配置和使用的。而CSO可以确保用户理解这些工具软件的隐私含义，而不是仅仅让用户阅读隐私权政策。 在食品药品管理局，Stine是最早关注这款工具软件的。“曾经有人提出过要求使用桌面搜索，但呼声不强烈”，他说。如果大量用户确实需要桌面搜索，Stine说，他会认真研究一下这种技术是如何识别、索引和显示信息的。“我们必须确保我们还在对信息保持全面的控制——至少尽可能全面的控制，”他说。 幸好，他有多种选择。有些公司采用企业桌面搜索工具，协助CISO们保存信息表格。Google桌面3企业版目前尚处在测试阶段，它允许管理员彻底禁止像跨机搜索这样的功能。Google表示正在致力于使这款软件的后续版本更加便于管理。“我想我们会收到乐观和正面的响应。我们已经深入研究了关于跨机搜索功能的反馈，尤其在企业的环境中，我们正努力让公司使用起来更简单。” 冲击指数 ★★★★ 桌面搜索系统是一项未经测试的很可能被滥用的技术。如果你的用户不需要，不要让他们使用它。如果他们确实需要，应考虑使用具有中央控制管理功能的企业工具软件。 未来的冲击 Google冲击着我们，它竖起一面镜子，强迫我们审视放在网上的一切。“Google具备强大破坏力的同时也提供了搜索能力，”Winkler说，“它的强大所在也是它的危险所在。” 未来的搜索技术只会更加危险，贝尔（加拿大）公司的Garigue指出，搜索引擎技术尚处在它的婴儿期，仅仅是浅尝辄止，用他的话说，只是“浅网”。“浅网”是网页服务器上的一切公开信息，”他说，“深网则是暗藏在数据库里的一切。”从国会图书馆，到Lexis-Nexis的受法律保护的新成果，再到联机医学文献分析和检索系统的数据库，人们通过在线模式得到的信息还是只向特定用户开放，而不是Google。“Google是第一代工具，”Garigue说。随着这些工具的不断完善，冲击波一定会变得越来越强大。 （计算机世界报 2006年06月05日 第21期 A22、A24）
_xyz