کارشناسان امنیتی شرکت اعلام کردند، کد منبع جدید موتور جستجوی شرکت گوگل که به منظور آسانتر نمودن کار برای توسعهدهندگان توسط گوگل به عنوان ابزاری که میتواند در جستجوی باگهای نرمافزاری، اطلاعات رمز و حتی کد اختصاصی که نباید در نخستین مکان به اینترنت فرستاده شود، عرضه شده، میتواند مورد سوءاستفاده قرار گیرد.
برخلاف موتور جستجوی اصلی وب گوگل، Google Code Search هر جا که فایلهای کد منبع را در اینترنت پیدا میکند، در آن رخنه مینماید. این عمل، جستجوی کد منبع را به طور مستقیم برای توسعهدهندگان آسانتر خواهد کرد و ابزارهای منبع بازی که ممکن است چیزی راجع به آنان ندانند را کشف کنند، اما زیانهایی را نیز در پی دارد.
مارک آرمیستد، قائم مقام مدیر تولیدات با کد منبع شرکت Fortify Software گفت، جنبه منفی آن است که شما نیز میتوانید آن نوع جستجو را به منظور نظر به چیزهایی که آسیبپذیر هستند، مورد استفاده قرار دهید و سپس حدس بزنید که چه کسی ممکن است کد را استفاده کرده باشد و سپس از آن جهت حمله استفاده کنید. همچنین متجاوزان میتوانند کد را برای آسیبپذیریها در مکانیزمهای اسم رمز جستجو کنند، یا عبارات بین نرمافزار مثل «این فایل شامل مالکیت اختصاصی است» را جستجو نمایند و احتمالا کد منبع را که نباید هرگز در اینترنت ارسال میشد پیدا کنند.
کارشناسان امنیتی گفتهاند که مفاهیم امنیتی Google Code Search اگر جهان را به شگفتی نیندازند حداقل قابل ملاحظه هستند.
جانی لانگ محقق شرکت Computer Sciences طی مصاحبهای توسط پست الکترونیک گفت، نفوذگران زبردست هم اکنون ممکن است قادر باشند که این نوع از جستجو را با موتور جستجوی وب گوگل انجام دهند، اما Google Search ابزار دیگری است که برای متجاوز کمی آنرا آسانتر میکند.
گوگل برای این بخش، چیز زیادی درباره استفاده نادرست احتمالی از محصول جدیدش ندارد که بگوید.
شرکت در بیانیه خود گفت، گوگل به توسعهدهندگان توصیه میکند تا عموما از شیوههای کدگذاری درست قبول شده که عبارتند از درک اشارات و مفاهیم کدی که آنان انجام میدهند و به طور مقتضی آزمایش میکنند، استفاده کنند. با اینکه گاهی اوقات مسئلهای پیش میآید، هیچگاه گوگل بیشتر از این در مورد گامهایی که به منظور کاستن از این نوع استفادههای نادرست از موتور جستجوی خود بر میدارد، توضیح نداده است.
در ماه جولای، شرکت Websense از قابلیت جستجوی باینری کمتر شناخته شده در موتور جستجو گوگل استفاده کرد تا در اینترنت بدنبال برنامه نرمافزاری مضر بگردد. لفتوگر توسعهدهنده نرمافزاری شرکت Beyond Security گفت: هنگامی که Google Code Search احتمالا در پروژههای منبع باز عمومی که اکنون به طور بسیار دقیقی مورد بررسی قرار گرفته است، تاثیر کمتری خواهد داشت، میتواند به یافتن آسیبپذیریها در قطعات کد کمتر شناخته شده کمک کند.
وی از طریق پست الکترونیک گفت: استفاده از Google Code Search، دریافتن کدهای جالب توجه بسیار آسانتر است. اگر وظیفه شما یافتن آسیبپذیری در برخی کدهای اتفاقی است، این فیلتربندی میتواند زمان زیادی را برای شما محفوظ نگه دارد.
گروه علمی فرهنگی: شرکت گوگل به طور سهوی به متجاوزان آنلاین، ابزار جدیدی را اهدا کرده است.
کد خبر 5764