Securityexperts: risico aan Google Code Search
Securityexperts waarschuwen developers en gebruikers van open-sourcesoftware dat ze zich bewust moeten zijn dat Googles nieuwe zoektool voor programmeurs een nieuwe gelegenheid biedt voor hackers om gericht op zoek te gaan naar zwakheden in software.
Met de normale zoekmachine van het bedrijf kan weliswaar ook al in sourcecode worden gezocht, maar de functionaliteit beperkt zich tot het zoeken naar het vóórkomen van specifieke stukken tekst. Met Google Code Search kan door gebruikmaking van reguliere expressies, een formalisme om tekstpatronen te beschrijven, veel gerichter naar potentieel kwetsbare code worden gezocht. Chris Wysopal van beveiliger Veracode wijst erop dat dat een nieuwe aanvalslinie opent op onder meer websites die gebruik maken van open-sourcecode. Het is een nieuw voorbeeld van hoe Google misbruikt kan worden: eerder was al duidelijk dat hackers de zoekmachine gebruiken om bijvoorbeeld potentieel kwestbare serverapplicaties te vinden en databases te plunderen.Volgens Johnny Long, expert op het gebied van hacken met behulp van Google, moeten programmeurs zich beter realiseren wat veilige programmeertechnieken zijn en wat beter vermeden kan worden. Zo dienen ze zich bijvoorbeeld te beperken tot het gebruik van onderzochte en veilig geachte libraries. Hij erkent dat het hackers wellicht een tijdje een voordeel zullen hebben eer developerscommunities zich de implicaties van doorzoekbare sourcecodeverzamelingen realiseren. “Programmeurs moeten de verleiding weerstaan hun code te proberen af te sluiten van de zoekmachine,” zo stelt Long, daarmee wijzend op de mogelijkheid om via het bestandje robots.txt de code op slot te zetten voor Google Code Search.
Fout opgemerkt of meer nieuws? Meld het hier