Søgemaskiner afslører fortrolig viden

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
En virksomheds websted kan afsløre mere om det, end virksomheden har interesse i. Med de rigtige søgeord kan en angriber finde frem til overvågningskameraer og andre ressourcer, der ikke er til offentlig brug.

Søgemaskiner som Google og Yahoo er på det seneste kommet i sikkerhedsfolkenes søgelys. Nogle aktuelle sager viser, hvordan søgesystemerne kan misbruges til at finde potentielle mål for angreb.

Et eksempel er ormen Santy, der dukkede op i december. Santy angreb webservere og overskrev websiderne på dem. Så i stedet for den oprindelige startside stod der nu "This site is defaced!!! NeverEverNoSanity WebWorm".

Til at få adgang til webstederne anvendte Santy en sårbarhed, der findes i et bestemt serverprogram. Derfor havde ormen brug for at finde frem til servere, der anvendte dette program. Og her kom Google ind i billedet: Ormen sendte forespørgsler til Google, hvor den søgte efter et filnavn, som altid findes på de servere, der anvender det pågældende program.

Google standsede angreb
Normalt ville man opfatte oplysningen om, at en webserver anvender et bestemt program, som noget ganske uskadeligt. Men i dette tilfælde gjorde den det let for Santy at finde frem til nye ofre. Først da folkene bag Google blokerede for den pågældende søgning, holdt ormen op med at sprede sig.

På samme måde kan der mange steder på en virksomheds websted gemme sig informationer, der er nyttige for hackere og andre angribere. Et velkendt trick går ud på at bruge en søgemaskine til at finde frem til websider, som et bestemt databaseprogram producerer. Hvis virksomheden ikke har været omhyggelig med at kontrollere, hvem der har adgang til databaserne, kan en angriber her få nem adgang til fortrolig information.

Skjult kamera
For nylig så vi et mere usædvanligt eksempel på problemet: Overvågningskameraer på nettet. Mange har installeret web-kameraer, som de bruger til at holde øje med det sted, hvor kameraet er opstillet. Disse kameraer kan fjernstyres ved, at man besøger en webside, der findes i kameraets indbyggede webserver.

Fjernstyringssiden indeholder nogle bestemte ord, så hvis man søger efter disse ord, kan man finde frem til andres kameraer. På den måde kan man kigge på det, de viser - og man kan fjernstyre kameraet, dreje det eller zoome ind på interessante detaljer.

Eksemplerne illustrerer, at det kan betale sig at foretage nogle søgninger, hvori ens virksomheds navn indgår. På den måde kan man finde ud af, om virksomheden afslører mere, end man troede.


Oprindelig bragt i Børsen Informatik den 25. januar 2005

Keywords: