【造就】演讲 | 令人绝望的是,就连黑客也无法阻止隐私数据被记录和传输
据安全专家称,像Google这样的搜索引擎越来越多地被黑客用来对付拥有敏感数据的Web应用程序。即使对数据安全性的认识不断提高,也需要几秒钟的时间才能获取社会安全号码从数据库和应用程序安全公司Imperva的创始人兼首席技术官Amichai Shulman说:“社会安全号码甚至在网络上的事实是一个人为错误;该信息不应该首先发布。但是,黑客正在以更复杂的方式使用谷歌来自动化攻击网站,Shulman说。Shulman说,Imperva最近发现了一种执行来自属于Google的IP(互联网协议)地址的SQL注入攻击的方法。
在SQL注入攻击中,恶意指令在基于Web的表单上输入并由Web应用程序回答。它通常可以从后端数据库中获取敏感信息,或用于在网页上植入恶意代码。
Shulman拒绝透露周一在RSA大会上发布攻击的详细信息,但称涉及Google的广告系统。谷歌已经收到通知,他说,
操纵Google特别有用,因为它提供了黑客匿名和自动攻击引擎的功能,Shoulman说道。
Goolag和Gooscan等工具可以在整个Web上执行广泛的搜索以查找特定漏洞和返回列表中有这些问题的网站
“这不再是一个剧本kiddy游戏 - 这是一个业务,”Shulman说。 “这是一个非常强大的黑客能力。”
另一种攻击方法是所谓的Google蠕虫,它使用搜索引擎来查找特定的漏洞。 Shulman说,在包含附加代码的情况下,该漏洞可以被利用。“在2004年,这是科幻小说,”Shulman说。 “在2008年,这是一个痛苦的现实。”
Google和其他搜索引擎正在采取措施制止滥用行为。例如,谷歌已经停止某种搜索,可以一次性产生一大堆社会安全号码。它还限制每分钟发送的搜索请求数量,这可能会减慢大量搜索易受攻击的网站的速度。事实上,这只会迫使黑客变得更加耐心。 Shulman说,限制搜索也会伤害那些希望每天自动搜索网站出现问题的安全专业人员。Shulman说,他看到了另一种称为“站点屏蔽”的攻击,这种攻击会导致合法的网站从搜索结果中消失。
Google的搜索引擎会对具有重复内容的网站进行惩罚,并会从其索引中删除一个。黑客可以利用这一点创建一个网站,该网站链接到竞争对手的网页,但是通过代理服务器进行过滤。
Google会在代理域下索引内容。如果使用更多的代理服务器完成了足够多的时间,Google会将目标网页视为重复,并将其从索引中删除。
“这是一项相当麻烦的业务,”Shulman说。可以防御这种情况是阻止他们的网站被搜索引擎的合法IP地址以外的任何东西所索引,Shulman说。