Google bezděčně poskytnul útočníkům nový nástroj — Google Code Search. O co jde?

Nejnovější služba Googlu spuštěná 5. října umožňuje lidem na webu vyhledávat části programových kódů. Uživatel tak má možnost nahlédnout do řádků kódů open-sourcových programů, kdykoliv Google Code Search vyhledá soubory, které daný kód obsahují.

Podle některých odborníků je pravděpodobné, že tato služba bude zneužita k častému vyhledání programových chyb, informací o heslech a dokonce kódů chráněných patentem, které by na Internetu neměly co dělat.

Původní záměr byl ten, že nový vyhledávací nástroj ulehčí práci vývojářům, aby mohli jednoduše najít potřebné zdrojové soubory na Internetu. Ovšem jeden háček zde přece jen je.

Objevily se kritické hlasy, podle kterých se může stát, že člověk vyhledá v kódech zranitelná místa, může odhadnout, kdo tyto kousky kódů použil, a pak na ně zaútočit.

Útočníci by mohli také prohledávat kódy za účelem nalezení zranitelných míst v systémech heslování nebo by mohli v softwaru hledat fráze ukazující na kód programu, na nějž se vztahuje vlastnické právo. Takto lidé mohou odhalit soubory, které by ale na Internet vůbec neměly být umístěny..

Šikovní hackeři jsou podobných činů schopni i nyní s pomocí normálního vyhledávače Googlu, ale podle odborníků je Code Search nástrojem, který takové útoky velmi usnadňuje.

Google se k možnému zneužití služby příliš nevyjádřil. " Google vývojářům doporučuje, aby při psaní kódů používali obecně přijímané praktiky, uvědomovali si důsledky toho, co píší, a náležitě svůj kód testovali," stojí v prohlášení společnosti.

Google se nikdy moc nevyjadřuje ke svým krokům, které podniká k omezení takovýchto možných zneužití svého vyhledávače, ačkoliv čas od času k těmto zneužitím dojde. V červenci tohoto roku Websense využil málo známou schopnost Googlu — vyhledáváni v binárních záznamech — k vypátrání malwaru na Internetu.

Jak někteří upozorňují, zatímco Google Code Search pravděpodobně nebude mít příliš velký efekt na populární open-sourcové projekty, které už spousty vývojářů detailně prozkoumali, mohl by pomoci k vypátrání slabých míst i v méně známých kouscích kódů.

Ještě na konec se podívejte na jednu ukázku. Jde o kód pro generování registračního klíče WinZipu, jak jej našel Google Code Search. Další příklady můžete nalézt na blogu Jasona Kottkeho.