黑客们一直在寻找能够利用的漏洞,获取访问公司网络、工业控制系统、金融数据等的权限。黑客工具箱隐藏得最深的工具当属 Google Dorking,该工具可以识别出存在漏洞的系统,并发现它们在互联网上的特定位置。
因此问题来了:Google Dorking 的工作方式是怎样的?有哪些与之相关联的风险?机构如何尽可能地减少暴露风险?
上个月美国马里兰州举行的Gartner安全与风险管理峰会上,发布的调查显示,全球IT安全开销将会在2016年达到920亿美金,而在2019年时将增长至1160亿美金。尽管对于边界防御投入甚多,行业仍旧在拼尽全力,做到先黑客一步。但最近接二连三发生的数据泄露事件让人们对这些投资的效果产生了一定的怀疑。
显然,大多数网络攻击者并不具有企业和政府级别的财力。然而,他们十分有效地利用了自己手中的工具。尽管商业和公共机构通常使用的是市面上最先进的技术,黑客仍旧能够通过通过极小的切口,使用基于情报的方式制造巨大破坏。
在今年发生的一次著名网络攻击中,可能来自伊朗的黑客使用了一种被称为 Google Dorking 的简单技术,获取了纽约某水坝计算机系统的控制权限。该技术很容易掌握,而且黑客经常使用它来识别目标系统的漏洞,以及互联网上可以获取的敏感信息。Google Dorking 并不像是进行一次传统的在线搜索那样简单,它使用谷歌搜索引擎中的高级变量来在搜索结果中找到特定的信息,比如版本号、文件名。
在使用Google高级变量进行搜索时的句法举例如下:
Operator_name:keyword
在该技术出现之后,其基本原理也被使用在了其它搜索引擎上,比如Bing和Shodan。与此同时,任何拥有计算机、能够访问互联网的人都能够方便地通过维基百科等公开信息源学习高级变量的相关知识。即使是美国联邦机构也正在关注 Google Dorking 造成的威胁。美国国土安全部和联邦调查局在2014年发布了一份特别的安全备忘录,向商业领域警告 Google Dorking。
那么机构应当如何应对 Google Dorking 产生的黑客入侵风险呢?以下是一些最佳方法:
1. 避免在互联网上发布敏感信息
Google Dorking带来的隐含风险在于,搜索引擎总是在扫描、监控并收录互联网上的每个设备、端口、特定的IP地址。尽管收录这些信息的原意在于供公众使用,有些能够被搜索引擎爬虫接触到的则本来属于敏感信息。因此,如果错误配置了内网和其它机密信息源,就很有可能导致意外的信息泄露。
2. 从搜索引擎索引中将敏感网站或网页移除
确保包含敏感信息的网站或网页无法被搜索引擎检索。比如,GoogleUSPER提供了从谷歌的索引中移除整个站点、特定URL、缓存备份、目录的工具。另一个选项则是使用robots.txt文件来防止搜索引擎索引特定站点。可以通过将此txt文件放在Web服务器的顶层目录中来实现该效果。
3. 使用Google Dorking来进行Web漏洞测试
在日常的安全操作中加入定期测试Web漏洞的部分,并将Google Dorking作为你的主动式安全工具。可以利用Google Hacking Database这样的在线仓库,它会记录下包含用户名、存在漏洞的服务器、甚至是包含密码的文件等的搜索句法。
Google Dorking 的存在表明,现在到了重新思考日常漏洞评估和漏洞管理措施的时候了。最终而言,决定我们消除网络风险能力的并不是我们使用的工具,而是我们使用它们的方式。换言之,我们需要找到方法,将浪费时间的安全操作自动化,并使用基于情报的手段,更方便地确定漏洞是否真正能够被利用,以及其意味着的风险。
====================================分割线================================
本文转自d1net(转载)