A Google kereső adatbázisát használja a webszájtok biztonsági réseinek felderítésére a McAfee új fegyvere, a SiteDigger 2.0. Mivel az ötletet a fejlesztők a hackerektől lopták, a csodafegyvert öngyilkos módon az Index.hu ellen fordítottuk. Jól jöttünk ki a dologból, de nincs minden rendben. Kiderült: információt szivárogtat az Index.
Lehet, hogy nem lesz egyszerű, de képzelje el egy pillanatra azt, hogy Ön egy nagyvállalat, és felettébb aggódik adatai biztonsága miatt. Alkalmazottai hiszékenyek, rosszindulatúak vagy egyszerűen csak alkalmatlanok: elég egy rossz helyre küldött mail, egy meggondolatlan blogposzt, és szenzitív céges információk kerülnek ki a netre, még mielőtt annyit mondhatna, hogy adatbiztonság.
Nem brigád, de hatékony
Van megoldás. Behívhat például egy iparikém-elhárító brigádot, bár az drága, durva, és nem is biztos, hogy segít. Vagy kipróbálhatja a Foundstone SiteDigger 2.0-t, a McAfee vírusirtó cég azonos nevű leányvállalatának legújabb szoftverét. A SiteDigger (magyarul szájtásó, bármilyen rosszul is hangzik) első verziója tavaly nyáron jelent meg; a mostaniról a cég azt állítja, hogy a korábbinál nyolcszor hatékonyabban dolgozik. Ráadásul teljesen ingyenes.
Titokban szenzitív
A programot a cég arra szánja, hogy feltérképezzen egy-egy webszájtot és kimutassa a biztonsági hiányosságokat, és ezzel természetesen nincs egyedül a piacon. A SiteDigger újdonsága abban áll, hogy a rések felderítéséhez a Google adatbázisában tárolt információt használja úgy, hogy lekérdezések révén próbálja kideríteni, vajon fellelhetők-e a cég webszájtján - de a webmester tudta nélkül - az adott cégre vonatkozó szenzitív adatok.
Google nélkül nem megy
A gyakorlatban a SiteDigger a Google Web services API nevű szolgáltatását használja, amelyet a Google azoknak a cégeknek fejlesztett ki, amelyek szeretnének a hatalmas adatbázisban saját készítésű programjaikon belülről keresni. A felhasználónak ezért azon kívül, hogy letölti a mindössze 3,2 megabájtos SiteDiggert, el kell vándorolnia a Google site-jára, és, ha még nem tette volna, először accountot, majd felhasználói licencet szereznie. (Az ingyenes licenc napi ezer lekérdezést engedélyez.)
Információ szivárog
A program telepítése után az aggodalmaskodó cégtulajdonos vagy webmester felmérheti saját szájtjának hiányosságait: az Index.hu-n a SiteDigger 2.0 összesen öt hibát talált, köztük egy olyan lukat, amelyen keresztül szerinte információ szivároghat ki. Azt, hogy hol találta a lukat, mi sem tudjuk. Mivel a SiteDigger készítői viszont pontosan tudják, hogy a programot jó és rossz szándékkal ugyanolyan hatékonysággal lehet használni, a hibaüzenetek felsorolásakor nem adják meg a pontos URL-t, csak a hiba természetéről adnak tájékoztatást. Az Index.hu egyik biztonsági hiányossága a SiteDigger szerint a "possible information disclosure", vagyis a lehetséges információkiszivárgás, ami egy hírportálnak talán megbocsátható.
Kövesse az Indexet Facebookon is!
Követem!
