黑客們一直在尋找能夠利用的漏洞,獲取訪問公司網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、金融數(shù)據(jù)等的權(quán)限。黑客工具箱隱藏得最深的工具當(dāng)屬 Google Dorking,該工具可以識(shí)別出存在漏洞的系統(tǒng),并發(fā)現(xiàn)它們?cè)诨ヂ?lián)網(wǎng)上的特定位置。
因此問題來了:Google Dorking 的工作方式是怎樣的?有哪些與之相關(guān)聯(lián)的風(fēng)險(xiǎn)?機(jī)構(gòu)如何盡可能地減少暴露風(fēng)險(xiǎn)?
上個(gè)月美國馬里蘭州舉行的Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)上,發(fā)布的調(diào)查顯示,全球IT安全開銷將會(huì)在2016年達(dá)到920億美金,而在2019年時(shí)將增長至1160億美金。盡管對(duì)于邊界防御投入甚多,行業(yè)仍舊在拼盡全力,做到先黑客一步。但最近接二連三發(fā)生的數(shù)據(jù)泄露事件讓人們對(duì)這些投資的效果產(chǎn)生了一定的懷疑。
顯然,大多數(shù)網(wǎng)絡(luò)攻擊者并不具有企業(yè)和政府級(jí)別的財(cái)力。然而,他們十分有效地利用了自己手中的工具。盡管商業(yè)和公共機(jī)構(gòu)通常使用的是市面上最先進(jìn)的技術(shù),黑客仍舊能夠通過通過極小的切口,使用基于情報(bào)的方式制造巨大破壞。
在今年發(fā)生的一次著名網(wǎng)絡(luò)攻擊中,可能來自伊朗的黑客使用了一種被稱為 Google Dorking 的簡單技術(shù),獲取了紐約某水壩計(jì)算機(jī)系統(tǒng)的控制權(quán)限。該技術(shù)很容易掌握,而且黑客經(jīng)常使用它來識(shí)別目標(biāo)系統(tǒng)的漏洞,以及互聯(lián)網(wǎng)上可以獲取的敏感信息。Google Dorking 并不像是進(jìn)行一次傳統(tǒng)的在線搜索那樣簡單,它使用谷歌搜索引擎中的高級(jí)變量來在搜索結(jié)果中找到特定的信息,比如版本號(hào)、文件名。
在使用Google高級(jí)變量進(jìn)行搜索時(shí)的句法舉例如下:
Operator_name:keyword
在該技術(shù)出現(xiàn)之后,其基本原理也被使用在了其它搜索引擎上,比如Bing和Shodan。與此同時(shí),任何擁有計(jì)算機(jī)、能夠訪問互聯(lián)網(wǎng)的人都能夠方便地通過維基百科等公開信息源學(xué)習(xí)高級(jí)變量的相關(guān)知識(shí)。即使是美國聯(lián)邦機(jī)構(gòu)也正在關(guān)注 Google Dorking 造成的威脅。美國國土安全部和聯(lián)邦調(diào)查局在2014年發(fā)布了一份特別的安全備忘錄,向商業(yè)領(lǐng)域警告 Google Dorking。
那么機(jī)構(gòu)應(yīng)當(dāng)如何應(yīng)對(duì) Google Dorking 產(chǎn)生的黑客入侵風(fēng)險(xiǎn)呢?以下是一些最佳方法:
1. 避免在互聯(lián)網(wǎng)上發(fā)布敏感信息
Google Dorking帶來的隱含風(fēng)險(xiǎn)在于,搜索引擎總是在掃描、監(jiān)控并收錄互聯(lián)網(wǎng)上的每個(gè)設(shè)備、端口、特定的IP地址。盡管收錄這些信息的原意在于供公眾使用,有些能夠被搜索引擎爬蟲接觸到的則本來屬于敏感信息。因此,如果錯(cuò)誤配置了內(nèi)網(wǎng)和其它機(jī)密信息源,就很有可能導(dǎo)致意外的信息泄露。
2. 從搜索引擎索引中將敏感網(wǎng)站或網(wǎng)頁移除
確保包含敏感信息的網(wǎng)站或網(wǎng)頁無法被搜索引擎檢索。比如,GoogleUSPER提供了從谷歌的索引中移除整個(gè)站點(diǎn)、特定URL、緩存?zhèn)浞?、目錄的工具。另一個(gè)選項(xiàng)則是使用robots.txt文件來防止搜索引擎索引特定站點(diǎn)??梢酝ㄟ^將此txt文件放在Web服務(wù)器的頂層目錄中來實(shí)現(xiàn)該效果。
3. 使用Google Dorking來進(jìn)行Web漏洞測試
在日常的安全操作中加入定期測試Web漏洞的部分,并將Google Dorking作為你的主動(dòng)式安全工具??梢岳肎oogle Hacking Database這樣的在線倉庫,它會(huì)記錄下包含用戶名、存在漏洞的服務(wù)器、甚至是包含密碼的文件等的搜索句法。
Google Dorking 的存在表明,現(xiàn)在到了重新思考日常漏洞評(píng)估和漏洞管理措施的時(shí)候了。最終而言,決定我們消除網(wǎng)絡(luò)風(fēng)險(xiǎn)能力的并不是我們使用的工具,而是我們使用它們的方式。換言之,我們需要找到方法,將浪費(fèi)時(shí)間的安全操作自動(dòng)化,并使用基于情報(bào)的手段,更方便地確定漏洞是否真正能夠被利用,以及其意味著的風(fēng)險(xiǎn)。