现在,网络搜索引擎的用户们开始越来越多地把注意力集中在搜索密码、信用卡号码、机密文档甚至计算机漏洞这些让人敏感的数据,而这些数据很容易被黑客利用。
这个问题并不是现在才出现的,安全专家说:“几年前从搜索引擎开始为网页作索引的时候,网站管理人员就已经在搜索结果里发现一些不太适合为公众所知的网页。
越来越方便的Google
前不久,著名的搜索引擎Google新增加了一个功能,除了搜索网页文档以外,还可以查找其他各种类型的文件,而这些文件在以前的Google基本搜索中都无法查找,现在即使一般用户或者初级黑客也只需要简单的几步操作就可以完成。
新的可搜索的文件类型包括Adobe PostScript、Lotus 1-2-3和WordPro、MacWrite、Microsoft Excel、PowerPoint、Word和Rich Text Format(RTF格式)。
“总的来说,现在问题比以前严重多了,如果在AltaVista搜索引擎中输入password,最多可以出现几百个密码文件,”一位知名安全专家说,“像Google这类的搜索引擎一旦增加了这样的功能,黑客们就有更多的可以追踪的对象了。”
自从Google推出这个新功能以后,心有余悸的网管们就开始忙着或者消除一些可以被Google搜索发现的敏感的网页,或者加强防护。
而Google则否认自己应该对这个安全隐患负责,但是同时,公司也开始研究一种方法,能够在这些敏感网页作为搜索结果提交给用户之前先捕获它们。
“作为搜索引擎,我们的工作就是寻找、过滤和索引一些对于公众有用的信息,”Google的发言人说,“而我们认为公众信息就是指能够在Internet这样的公众场出现而不需要被搜索引擎以任何方式屏蔽的信息,问题在于有人以错误的方式暴露了这些信息。同时,我们也已经意识到这个问题,开发部门也正在研究相应的解决方法。”
病毒的威胁
除了给黑客们搜索敏感数据和攻击对象提供一个便利的工具,Google的按文件类型搜索功能使得搜索也更加不安全,因为单击文件类型连接比浏览网页更容易感染病毒和恶意代码。
“在这个新功能推出的时候,我考虑最多的也是安全问题。”一位业内人士说,“扩大搜索范围是好事,但是当他们单击一个连接的时候并没有认识到这样足以把自己暴露在病毒面前。这在以前的搜索引擎中我们没有遇到过,因为HTML文件相对来说安全得多。”虽然一些开发中会用到JavaScript。
Google的用户如果害怕感染病毒,可以用“View HTML”方式浏览非HTML文件类型,不过这个选项会产生一些无用的针对Microsoft's Word和Excel的恶意代码。
搜索引擎并非没有经历过不受欢迎的尴尬,网站管理者只需要在他们的网页上加入一个简单的“robots.txt”就可以“谢绝”加入索引。而Google也给网管们保留了一个网站,提供一些选项缩减或者关闭搜索。但是这些选项也存在漏洞,例如“要求搜索引擎不索引网页”的选项并没有设置为外界无法修改,robots.txt文件只能关闭某一些引擎,给不怀好意的人大开后门。另外,robots.txt使用的签名方式也是“此地无银三百两”,等于给黑客们打一个告示,说明其中有重要或者敏感的信息。
安全专家认为使用搜索引擎不好的方面主要有两个:一个是暴露敏感和缺乏保护的重要数据,例如密码、信用卡号码;另一个是使用搜索引擎搜索网站运行的程序,例如CGI,它的弱点是显而易见的。
黑客的可乘之机
当然,专家们也说,即使没有Google这个功能,黑客们仍然有办法在网络中搜索他们需要的东西,最近出现的一些Internet蠕虫如Code Red、Nimda说明这种大量的自动的黑客行为已经不需要搜索引擎来寻找存在漏洞的计算机了。
入侵者有他们自己的搜索引擎,可以绕过“禁用引擎”的设置,仍然可以找到那些带有密码的敏感文档和存在漏洞的CGI程序,而且如果网站使用了robots.txt,就等于告诉大家其中是敏感数据,所以才要求不要加入到索引中。
对于这个问题,网管们认为有针对性的预防措施是最关键的。在他们设计网站的时候就应该知道怎样保护自己,Standard Apache Password Protection可以解决绝大多数由于搜索引擎带来的问题,搜索引擎不能破解它。还有,它使用标准的HTTP/1.0 Basic Authentication,通过保存在MySQL Database的口令来检查用户。
但是仍然有人认为Google应该对这个事情受到批评。他们认为Google只考虑到这个功能对于用户将多么有用,但是忽略了安全。如果他们认为这个功能应该提供,就必须从最开始就考虑如果有人捣乱安全问题该怎么解决
