Google hacking yine gündemde - Google önlem alıyor
Gönderilme zamanı: 01 Kas 2008, 00:21
Google hacking 2004'de büyük olaydı. Şimdi Google'ın çok arananlar arasında sosyal güvenlik numarası gibi şeylerin olduğunu duyurması ile tekrar gündeme geldi.
Google Hacking Veritabanı yıllardır aktif ve önemli bilgiler getirebilen yüzlerce sorgu var. Ayrıca spesifik alan adları veya bilgi için Google Hacking'i otomatikleştiren Goolag yazılımı da bu sene çıktı.
Veritabanı ve uygulama güvenliği firması Imperva'nın kurucusu Amichai Shulman'ın konuyla ilgili söyledikleri:
"Google gibi arama motorları bilgisayar korsanları tarafından, önemli bilgiler içeren web uygulamalarına karşı daha sık kullanılmaya başlandı. Veri güvenliği konusunda artan bilinçlenmeye rağmen hedeflenen anahtar kelimeler ile web sitelerinden Sosyal güvenlik numaralarını almak sadece saniyeler sürebiliyor. Sosyal güvenlik numaralarının web'de olması ise insanların hatası, bu bilgilerin yayınlanmaması gerekiyor. Bilgisayar korsanları web sitelerine saldırılarda Google'ı daha sofistike yollarla kullanıyorlar."
Shulman Google'a ait bir IP adresinden gelen SQL injection saldırısı yapmanın yolunu da geçenlerde keşfettiklerini söylüyor ve ekliyor:
"Google'ı bu şekillerde kullanmak bilgisayar korsanları için anonimlik sunmanın yanında otomatik saldırı motoru da sunuyor. Goolag ve Gooscan gibi araçlar webde spesifik güvenlik açıkları ile ilgili geniş aramalar yaparak bu problemlere sahip web sitelerinin listesini alabiliyorlar. Bu artık script kiddy oyunu değil -- bu bir iş. Bu çok güçlü bir hacking yeteneği. Diğer bir saldırı metodu ise Google kurtçukları olarak adlandırılan, arama motorunu spesifik güvenlik açıklarını bulmak için arayan kötü amaçlı yazılımlar. Biraz daha kod ekleyerek bulunan açıklardan yararlanmak da mümkün. 2004 yılında bu bilim-kurgu idi. 2008'de ise acı gerçek".
Google ve diğer arama motorları kötüye kullanımı engellemek için önlemler alıyorlar. Örneğin Google sosyal güvenlik numaralarını listeleyecek türde olan aramaları engelledi. Ayrıca bir dakika içinde yapılabilecek arama sayısına da sınırlama getirdi. Bu da güvenlik açığı içerebilecek siteleri toplu aramada büyük bir yavaşlamaya yol açacaktır.
Kaynak:
http://www.darknet.org.uk/2008/10/googl ... es-action/
Google Hacking Veritabanı yıllardır aktif ve önemli bilgiler getirebilen yüzlerce sorgu var. Ayrıca spesifik alan adları veya bilgi için Google Hacking'i otomatikleştiren Goolag yazılımı da bu sene çıktı.
Veritabanı ve uygulama güvenliği firması Imperva'nın kurucusu Amichai Shulman'ın konuyla ilgili söyledikleri:
"Google gibi arama motorları bilgisayar korsanları tarafından, önemli bilgiler içeren web uygulamalarına karşı daha sık kullanılmaya başlandı. Veri güvenliği konusunda artan bilinçlenmeye rağmen hedeflenen anahtar kelimeler ile web sitelerinden Sosyal güvenlik numaralarını almak sadece saniyeler sürebiliyor. Sosyal güvenlik numaralarının web'de olması ise insanların hatası, bu bilgilerin yayınlanmaması gerekiyor. Bilgisayar korsanları web sitelerine saldırılarda Google'ı daha sofistike yollarla kullanıyorlar."
Shulman Google'a ait bir IP adresinden gelen SQL injection saldırısı yapmanın yolunu da geçenlerde keşfettiklerini söylüyor ve ekliyor:
"Google'ı bu şekillerde kullanmak bilgisayar korsanları için anonimlik sunmanın yanında otomatik saldırı motoru da sunuyor. Goolag ve Gooscan gibi araçlar webde spesifik güvenlik açıkları ile ilgili geniş aramalar yaparak bu problemlere sahip web sitelerinin listesini alabiliyorlar. Bu artık script kiddy oyunu değil -- bu bir iş. Bu çok güçlü bir hacking yeteneği. Diğer bir saldırı metodu ise Google kurtçukları olarak adlandırılan, arama motorunu spesifik güvenlik açıklarını bulmak için arayan kötü amaçlı yazılımlar. Biraz daha kod ekleyerek bulunan açıklardan yararlanmak da mümkün. 2004 yılında bu bilim-kurgu idi. 2008'de ise acı gerçek".
Google ve diğer arama motorları kötüye kullanımı engellemek için önlemler alıyorlar. Örneğin Google sosyal güvenlik numaralarını listeleyecek türde olan aramaları engelledi. Ayrıca bir dakika içinde yapılabilecek arama sayısına da sınırlama getirdi. Bu da güvenlik açığı içerebilecek siteleri toplu aramada büyük bir yavaşlamaya yol açacaktır.
Kaynak:
http://www.darknet.org.uk/2008/10/googl ... es-action/