Beveiligingsanalist Waarschuwt voor 'Google Hacking'

Zoekmachines zoals Google worden steeds vaker door hackers gebruikt tegen webtoepassingen die gevoelige gegevens bevatten, aldus een beveiligingsdeskundige.

Zelfs met een groeiend bewustzijn over gegevensbeveiliging, duurt het een paar seconden om de sofinummers te plukken van websites met behulp van gerichte zoektermen, zei Amichai Shulman, oprichter en chief technology officer voor database- en applicatiebeveiligingsbedrijf Imperva.

Het feit dat socialezekerheidsnummers zelfs op internet staan, is een menselijke fout; de informatie mag nooit in de eerste plaats worden gepubliceerd. Maar hackers gebruiken Google op meer geavanceerde manieren om aanvallen op websites te automatiseren, zei Shulman.

Bij een SQL-injectieaanval wordt een schadelijke instructie ingevoerd op een webformulier en beantwoord door een webtoepassing. Het kan vaak gevoelige informatie uit een back-enddatabase opleveren of worden gebruikt om kwaadwillende code op de webpagina te plaatsen. Shulman weigerde details te geven over hoe de aanval werkt tijdens zijn presentatie op de RSA-conferentie op maandag, maar zei dat het betrekking heeft op Google's advertentiesysteem. Google is op de hoogte gebracht, zei hij.

Het manipuleren van Google is vooral handig omdat het anonimiteit biedt voor een hacker plus een geautomatiseerde aanvalsengine, zei Shulman.

Tools zoals Goolag en Gooscan kunnen uitgebreide zoekopdrachten op internet uitvoeren voor specifieke doeleinden kwetsbaarheden en retourlijsten van websites die deze problemen hebben.

"Dit is geen scriptkiddy-game meer - dit is een bedrijf," zei Shulman. "Dit is een zeer krachtige hackfunctie."

Een andere aanvalsmethode zijn zogenaamde Google-wormen, die de zoekmachine gebruiken om specifieke kwetsbaarheden te vinden. Met de toevoeging van aanvullende code, kan de kwetsbaarheid worden uitgebuit, zei Shulman.

"In 2004 was dit sciencefiction," zei Shulman. "In 2008 is dit een pijnlijke realiteit."

Google en andere zoekmachines ondernemen stappen om het misbruik te stoppen. Google heeft bijvoorbeeld bepaalde soorten zoekopdrachten gestopt die in één keer een groot aantal socialezekerheidsnummers konden opleveren. Het legt ook beperkingen op aan het aantal zoekopdrachten dat per minuut wordt verzonden, wat massale zoekacties naar kwetsbare websites kan vertragen.

In werkelijkheid dwingt het hackers gewoon wat geduldiger te zijn. Het stellen van limieten aan zoekopdrachten doet ook pijn aan beveiligingsprofessionals die geautomatiseerde dagelijkse zoekopdrachten van hun websites willen uitvoeren voor problemen, zei Shulman. Shulman zei dat hij een ander soort aanval heeft gezien met de naam 'site masking', waardoor een legitieme website eenvoudigweg wordt verdwijnen uit de zoekresultaten.

De zoekmachine van Google bestraft sites met dubbele inhoud en haalt er een uit de index. Hackers kunnen hiervan profiteren door een website te maken met een link naar de webpagina van een concurrent, maar wordt gefilterd door een proxyserver.

Google indexeert de inhoud onder het domein van de proxy. Als dit voldoende vaak wordt gedaan met meer proxyservers, beschouwt Google de getargete webpagina als een duplicaat en verwijdert deze de index.

"Dit is nogal een probleem voor het bedrijf," zei Shulman.

Unidirectionele websitebeheerders kan zich hiertegen verdedigen, behoudens dat hun website wordt geïndexeerd door iets anders dan het legitieme IP-adres van een zoekmachine, aldus Shulman.