Google新功能令誰都有可能成為黑客

前不久，著名的搜索引擎Google新增加了一個功能，除了搜索網頁文檔以外，還可以查找其他各種類型的文件，而這些文件在以前的Google基本搜索中都無法查找，現在即使一般用戶或者初級黑客也隻需要簡單的幾步操作就可以完成。

新的可搜索的文件類型包括AdobePostScript、Lotus1-2-3和WordPro、MacWrite、MicrosoftExcel、PowerPoint、Word和RichTextFormat(RTF格式)。

“總的來說，現在問題比以前嚴重多了，如果在AltaVista搜索引擎中輸入password，最多可以出現幾百個密碼文件，”一位知名安全專家說，“像Google這類的搜索引擎一旦增加了這樣的功能，黑客們就有更多的可以追蹤的對象了。”

自從Google推出這個新功能以後，心有餘悸的網管們就開始忙著或者消除一些可以被Google搜索發現的敏感的網頁，或者加強防護。

而Google則否認自己應該對這個安全隱患負責，但是同時，公司也開始研究一種方法，能夠在這些敏感網頁作為搜索結果提交給用戶之前先捕獲它們。

“作為搜索引擎，我們的工作就是尋找、過濾和索引一些對於公眾有用的信息，”Google的發言人說，“而我們認為公眾信息就是指能夠在Internet這樣的公眾場出現而不需要被搜索引擎以任何方式屏蔽的信息，問題在於有人以錯誤的方式暴露了這些信息。同時，我們也已經意識到這個問題，開發部門也正在研究相應的解決方法。”

病毒的威脅

除了給黑客們搜索敏感數據和攻擊對象提供一個便利的工具，Google的按文件類型搜索功能使得搜索也更加不安全，因為單擊文件類型連接比瀏覽網頁更容易感染病毒和惡意代碼。

“在這個新功能推出的時候，我考慮最多的也是安全問題。”一位業內人士說，“擴大搜索範圍是好事，但是當他們單擊一個連接的時候並沒有認識到這樣足以把自己暴露在病毒麵前。這在以前的搜索引擎中我們沒有遇到過，因為HTML文件相對來說安全得多。”雖然一些開發中會用到JavaScript。

Google的用戶如果害怕感染病毒，可以用“ViewHTML”方式瀏覽非HTML文件類型，不過這個選項會產生一些無用的針對Microsoft'sWord和Excel的惡意代碼。

搜索引擎並非沒有經曆過不受歡迎的尷尬，網站管理者隻需要在他們的網頁上加入一個簡單的“robots.txt”就可以“謝絕”加入索引。而Google也給網管們保留了一個網站，提供一些選項縮減或者關閉搜索。但是這些選項也存在漏洞，例如“要求搜索引擎不索引網頁”的選項並沒有設置為外界無法修改，robots.txt文件隻能關閉某一些引擎，給不懷好意的人大開後門。另外，robots.txt使用的簽名方式也是“此地無銀三百兩”，等於給黑客們打一個告示，說明其中有重要或者敏感的信息。

安全專家認為使用搜索引擎不好的方麵主要有兩個：一個是暴露敏感和缺乏保護的重要數據，例如密碼、信用卡號碼；另一個是使用搜索引擎搜索網站運行的程序，例如CGI，它的弱點是顯而易見的。

黑客的可乘之機

當然，專家們也說，即使沒有Google這個功能，黑客們仍然有辦法在網絡中搜索他們需要的東西，最近出現的一些Internet蠕蟲如CodeRed、Nimda說明這種大量的自動的黑客行為已經不需要搜索引擎來尋找存在漏洞的計算機了。

入侵者有他們自己的搜索引擎，可以繞過“禁用引擎”的設置，仍然可以找到那些帶有密碼的敏感文檔和存在漏洞的CGI程序，而且如果網站使用了robots.txt，就等於告訴大家其中是敏感數據，所以才要求不要加入到索引中。

對於這個問題，網管們認為有針對性的預防措施是最關鍵的。在他們設計網站的時候就應該知道怎樣保護自己，StandardApachePasswordProtection可以解決絕大多數由於搜索引擎帶來的問題，搜索引擎不能破解它。還有，它使用標準的HTTP/1.0BasicAuthentication，通過保存在MySQLDatabase的口令來檢查用戶。

但是仍然有人認為Google應該對這個事情受到批評。他們認為Google隻考慮到這個功能對於用戶將多麼有用，但是忽略了安全。如果他們認為這個功能應該提供，就必須從最開始就考慮如果有人搗亂安全問題該怎麼解決。