Los hacker utilizan Google Code Search para sus objetivos


Parece que Google ha proporcionado inadvertidamente una nueva herramienta a los atacantes online. El nuevo motor de búsqueda de código fuente de la compañía, dirigido inicialmente a facilitar la vida de los desarrolladores, también puede utilizarse con otros propósitos menos bondadosos, como por ejemplo la existencia de bugs en el software, información sobre contraseñas e incluso código propietario que no debería haberse publicado en primer lugar, según comentan los expertos de seguridad.





A diferencia del motor de búsqueda web principal de Google, Google Code Search se centra en las líneas de código que pueda encontrar en los archivos de código fuente que existan en Internet. Esto facilitará la búsqueda de código fuente a los desarrolladores de modo que puedan bucear directamente por herramientas open source, algo que de otro modo no hubiese sido posible. Pero esto tiene un aspecto negativo.

Según Mike Armistead, vice presidente de productos para el análisis de código fuente Fortify Software, "La contrapartida es que también puedes utilizar este tipo de búsqueda para encontrar aspectos vulnerables e imaginar cómo puedes utilizar un trozo de código para atacarlo"

Los atacantes también podrían buscar vulnerabilidades del código en el mecanismo de las contraseñas, o buscar frases dentro del software como por ejemplo "Este archivo es propiedad" posiblemenete relacionado con código fuente que no debería haberse publicado nunca en Internet.

Los expertos sobre seguridad indican que las implicaciones de seguridad de Google Code Search son significativas si no alarmantes.
Los hacker más avispados ya podían realizar este tipo de búsqueda utilizando el motor de búsquedas general de Google, pero el nuevo Code Search "supone otra herramienta que facilita aún más la labor del atacante", según ha declarado en una entrevista por correo electrónico Johnny Long, investigador de seguridad en Computer Sciences Corp.

Por su parte, Google no tiene mucho que decir sobre los posibles usos no legítimos de su nuevo producto. Según ha publicado la empresa, "Google recomienda a los desarrolladores que utilicen las buenas prácticas de código generalmente aceptadas, incluyendo la aceptación de las implicaciones del código que implementan y su adecuada revisión".

Mientras que Google Code Search probablemente no tenga un efecto excesivo sobre los proyectos open source más populares, que de hecho ya han sido examinados en detalle, puede suponer una fuente de vulnerabilidades para las porciones de código menos conocidas, tal y como indica Lev Toger, desarrollador de software de Beyond Security.

"Mediante el uso de Google Code Search resulta mucho más sencillo encontrar piezas de código interesantes; si tu tarea consiste en encontrar vulnerabilidades en algún código aleatorio, este tipo de filtrado te puede ahorrar mucho tiempo."

<Nota por xombra:>
Un ejemplo de busqueda:
http://www.google.com/codesearch?lr=&q=DB_USER+DB_PASSWORD
<fin nota>

 

Fuente:
idg.es



Otras noticias de interés:

Las empresas incumplen sus SLA en TI
Aunque el 81% de las empresas firman acuerdos de nivel de servicio (SLA) para sus sistemas de información, sólo se cumplen el 74% de las veces, según un estudio de Forrester para Compuware....
Informes relacionados con el Software Libre
ticbeat.com ha publicado varios interesantes informes relacionados con el Software Libre. Lectura recomendada....
Nueva versión de Samba
Se encuentra disponible la versión 2.2.8 de Samba. La actualización de la extendida implementación de soporte del protocolo SMB/CIFS cubre una importante vulnerabilidad que existe desde la versión 2.0.x a la 2.2.7a de Samba. ...
ZoneAlarm puede permitir el robo de información
ZoneAlarm puede permitir el robo de información de nuestra computadora, sin que el usuario pueda detectar la transferencia, según se ha revelado en conocidas listas de seguridad. La falla podría afectar también a otros cortafuegos, y se basa en e...
Usuarios de correos Web pueden estar expuestos a virus
El equipo de seguridad de la compañía israelí GreyMagic Software, ha detectado errores en la tecnología de filtrado de los servicios de correo vía Web como Yahoo! y Hotmail, que posibilitan a un pirata informático traspasar las defensas impleme...
¿Es procedente el despido por navegar en horas de trabajo?
Se convierte esta en la pregunta del millón ya que, a día de hoy, no existe una respuesta única y excluyente que nos permita saber si el uso de Internet y del correo electrónico en el trabajo puede ser causa de despido....
Man In The Middle en una conexión WPA/WPA2
El amigo Maligno, ha escrito en su blog un interesante artículo sobre una falla en WPA/WPA2 PSK....
Fallo en PDF permite alterar las firmas de documentos
Una reciente investigación ha demostrado la posibilidad de que puedan alterarse las firmas digitales de los archivos PDF....
Nanotecnologías: riesgos toxicológicos
La Revista del MIT (Instituto Tecnológico de Massachusetts) denuncia que las nanopartículas aumentan un 1.700% el proceso oxidativo....
Nueva versión Sabayon 5.3
Sabayon Linux (anteriormente conocida como RR4 Linux / RR64 Linux(versión 32 bits/versión 64 bits);3 es una distribución Linux basada en Gentoo, creada y mantenida por Fabio Erculiani (lxnay) y el Equipo de Sabayon4 . ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • code
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • google
  • gpl
  • gtk
  • hack
  • hacker
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • objetivos
  • opensource
  • pgp
  • php
  • sabayon
  • search
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • utilizan
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra