黑客的行前功課—Google Hacking

簡單到令人感到驚慌
Johnny Long所撰寫的Google Hacking for Penetration Testers一書的內容完全如同書名字面上的意義。身為安全分析師(white hat)的Long，建了一個維護 Google Hacking Database (GHDB)的網站(http://johnny.ihackstuff.com/)，該資料庫標示駭客和滲透測試人員發現對弱點目標具作用的搜尋字串，如Mark “Simple Nomad” Loveless以及Ryan Russell就是駭客是最先開始使用的語法。由於Logn的書以及產業研討會上的不定期報告，使得Google hacking成為和安全相關的專有名詞。
Long 說：「這是一個很單純的事實，如果你對任何細微的資料建立了可被檢索的介面，心懷鬼胎的人就會找到這個資料，並用來做一些『不好』的事。」某種程度上Google hacking算是誤稱，它是利用Google廣泛、強大的搜尋功能來取得敏感資訊，這些資訊可能是企業內伺服器、檔案、密碼記錄檔、公開的目錄、網頁介面的設備管理畫面、遠端桌面的用戶協定以及管理介面、或是路由器、交換器的管理者介面存在的弱點，是滲透測試人員從駭客身上學得的技巧。
Google hacking不需要具備多高深的技術，適當地組合進階搜尋選項及關鍵字，就可以讓你在網際網路上看到無法置信的企業秘密。因此許多安全管理人員要求Google hacking作為滲透測試的一部份，在安全政策、程序的設計和運作上，檢視有哪些資料及基礎建設的控制介面暴露於網際網路上的。
「如果你搜尋的最終目的是要取得網路存取權限以及入侵某些東西，必須輔以額外的安全知識才能達到攻擊的目的。透過Google並不會直接的毀壞掉某人的防火牆」Long說道。「如果你自己本身擁有相關的安全知識，(不論你是好人還是壞份子)，Google是一個讓你簡單取得關鍵資訊的好工具，這也是為何Google hacking變得如此普遍的原因。技術人員體認到Google hacking帶來的影響，而非技術人員感受到Google hacking是多麼的簡單。」
Long的網站，在某種程度上是降低Google hacking被使用的門檻。GHDB把超過1,200個的搜尋字串分為14類，這些搜尋字串是由網路社群中數百位成員提供，這些搜尋字串涵蓋範圍很廣，可以透過搜尋字串找出許多資安的缺失，如登入失敗後顯示的資訊過多，或者網路印表機、網路攝影機等線上設備的資訊是沒有隱藏起來的。Google還可能找出更危險的資料，像是IDS的弱點資訊、防火牆的記錄日誌、或者容易遭受入侵的網站伺服器版本。
一名安全專家簡單地說明利用Google 的駭客行為：他在簡短的電話交談中，教導如何用Google找到遠端桌面協定的延伸檔，並利用幾個進階搜尋條件的組合，找到193筆結果。隨機點選某一個連結，結果回傳一個對話框詢問我們想要開啟或者儲存遠端桌面，該專家建議我們不該再往下動作。如同我們所做的動作，我們有機會可以看到別人正在工作中的畫面。這樣的情結夠駭人聽聞了吧！

暴風雨氣象報導
Google搜尋「weather」，檢索出的第一筆結果是The Weather Channel的網站。從市場行銷的角度來看，該站網路架構主任John Penrod喜愛這個結果，然而從安全的角度來看，Penrod了解到www.weather.com這個網站遭受惡意查詢的危險度也會相對加深。
Penrod表示他的團隊會完整追蹤日誌記錄來避開駭客，並且在The Weather Channel網站開發的過程中進行品質保證程序、高安全標準要求、以及程式碼再檢查。這些行動都是專家們認為防禦Google hacking的最好方法。他說：「對我們來說最重要的事是商標的保護，而網站可能遭遇到的最壞狀況就是被入侵或遭到阻斷攻擊。」任何風險評估都必須包含資訊洩漏的風險以及需負擔的法律責任，哪些資訊是您的公司願意分享給全世界的，哪些是公司願意犧牲的。這是一個很重要的概念，公司行號必須了解哪些資產有網頁介面以及這些資產是否安全無虞。然而這個概念對於網站正快速成長的企業來說卻難以落實。企業政策要嚴格地定義哪些應用系統可以被放在網站上，以及放上前得先取得組織管理者、系統管理員及開發者的官方簽核，而這樣的過程必須成為例行性的程序。
新版的The Weather Channel網站在上線使用前，必須進入品質保證程序，由內部小組再次檢視並驗證發展過程是否遵照先前所訂定的安全程序進行。此外，行政管理系統、人員也必須和網際網路隔離。這是一個穩當的策略，因為搜尋引擎才不會管你的網站是哪一種屬性，使用隔離的政策可以確保搜尋引擎不會找到網站上那些沒有被保護周全的資料。
「品質保證小組檢查每一個公開區域的檔案、目錄。心態上不能因為瀏覽器中不會顯示，就假設不會有任何人會發現。」Penrod說︰「從基礎上就必須確保作業系統是安全的、網站伺服器應用程式是安全的、動態資料內容建立過程是安全的，以及只有你想公開的資訊才能被看到。」
防護機制包含了一些簡單的工作，像是在網站根目錄建立搜尋引擎排除協定標準文字檔robot.txt，禁止Google的搜尋機器人「扒走」根目錄下的資料。使用像NOARCHIVE以及NOSNIPPE等的meta標籤，以防制Google快取記錄特定檔案，而對應用程式給予密碼保護也可以阻擋Google的搜尋。
「每一個人對於我們所呈現Google hacking的結果都感到無法相信」Vigilar安全顧問公司的決解方案工程管理者Dave Shackleford說：「他們習慣在每一天的生活中使用Google。Google是一項客觀的查詢工具，檢索的結果可能很一般，也可能不是你需要的資訊。這也是為何Google處於領先地位的原因。」
公司應該分配一些時間進行Google hacking，在搜尋引擎上對公司進行檢索，看看是否在駭客攻擊你之前，找出任何駭客可能用來造成危害的資訊。如果在線上發現存放在網頁上的資料敏感，公司應該移除該目錄或使用密碼保護它。此外，可以透過線上表單通知Google，將該網頁的資訊從搜尋結果以及快取中移除。類似像The Weather Channel，排名的順位影響能見度，卻要同時考量安全的這類網站，如果使用搜尋引擎排除協定，將會損害該網站在搜尋引擎上的排名順序。Penrod 說：「在經營上的考量，我們當然樂於在Google上看到我們的網站，然而以安全面的角度來思考，我們卻不這麼希望。因此，任何資料要放到網站之前，我們必須先做仔細的風險評估。」


快取資料的威脅
如果你成為Google hack的犧牲品，就會真實地體悟這種風險的存在。幾乎難以估計有多少企業曾經淪為犧牲品，不過潛在的犧牲者數目應該是更驚人的。駭客利用搜尋字串，可以從中推敲出入侵目標的網路架構，達到最終的攻擊目的。Long表示，近幾個月以來，許多尋找空帳號及空密碼保護的VoIP網頁介面的搜尋字串被傳到送GHDB中，而其他沒有被保護的介面可以讓駭客用來將企業的內部運作整個中斷、關閉。也可以很輕易地找出一個沒有安全防護的Linksys路由器或者思科VPN連接器的管理介面。駭客透過Google進行入侵，不比學會在客廳表演的把戲困難。
駭客喜愛Google在於它的匿名性；即使在攻擊前對目標進行勘查，也沒有任何人知道，因為Google快取所有可搜尋的網頁，就算某個檔案、網頁已經從你的網站中移除了，也請確定沒有別的地方存有一份備份資料。駭客會掃描頁庫存檔，看看殘存的檔案或者被遺忘的有價資訊，但他們的掃描紀錄，卻不會出現在你的伺服器日誌記錄，而你也不會知道，你的敏感資料是否在不該擁有的人手上。 長期的關注與追蹤，即使確認頁庫存檔及連結敏感資訊的原始連結已經從網站中移除，也無法完全的保證駭客無法從搜尋引擎得到你的資料。安全管理人員還必須確認檢索結果裡的網頁摘要也要被移除，如果沒有移除，駭客依然可以透過這些片段的資料，拼湊出你不願意被看見的網頁。
「目前有許多關於快取的技術，他們的目的都在幫你確認哪一些資料要清除，並確定已經被清除」 Long說。「不能只是單單傳送移除請求表格給Google，還必須使用與駭客相同的技巧，持續追蹤確認這些資料確實被移除了。」
防禦Google駭客的攻擊，不能只在程序上做改變，還包含了網站管理人員安全態度的培養。尤其網站應用一直沒有對網站基礎建設進行定期滲透測試以及程式碼再檢視的過程，就被快速地放到市場，所以駭客總是可以利用網站挖掘出敏感資訊。

分享的倫理
Long身為Computer Sciences Corp.的專業滲透測試人員，在自己的網站上公布GHDB相關資訊時，也曾面臨道德上的煎熬，最後，他還是決定將資訊公開。「民眾可能會因為這些負面的資料受到影響，但是開放社群的討論可以教育更多的人，並全面地了解Google hacking是怎麼一回事。」Long說：「我承認我的網站推波助瀾幫助了一些壞份子，如果你因此認為不開放資料可以保護某人的資料不被竊取的話，這樣的想法更蠢。」
GHDB已經濃縮某些工具成為簡單的列表，可以用來檢索您公司的網站是否可能被查出敏感資訊。Long也已經將他自己開發的工具Gooscan開放原始碼供人使用，Athena是另一個和Gooscan相似的工具，不利用Google API進行違反Google服務政策的查詢。使用者應該有察覺，Google會阻擋惡意使用者IP範圍來，為其他工具像是Witko以及Foundstone的SiteDigger都是透過Google API來進行查詢的工具，也因此在查詢時需要提供Google的授權碼。
「我們努力的項目之一就是算出我們讓GHDB被多少大眾了解以及存取」 Long說：「從我們的角度，是否已經有足夠的民眾體了解什麼是Google hacking。我們提供善良的人們一個有利的開端；我們在正確時間點盡可能地公開相關資訊。這也是我們的目標—宣傳這個問題，提高民眾認知，並讓人們開始思考Google hacking所帶來的潛在威脅。」
另一個問題在於，Google有沒有任何責任，在收到移除請求之前，避免公開這些可能為企業帶來危害的資訊。針對這樣的疑問，Google的發言人除了說他了解Google hacking這個字義，並陳述公司的工作是將網際網路帶給使用者外，他拒絕發表更進一步的評論。Long同意Google發言人的說法，除非Google打算將警告其他公司曾被進行搜尋當成收費的商業模式，否則Google沒有義務進行這樣的工作。
Long說：「這不是他們的資料，Google並不是這些資料的所有權者。移除並避免可能被發現的敏感資訊是企業安全管理人員自己的責任。」

本文作者MICHAEL S. MIMOSO是 Information Security資深編輯，如您有任何意見請寄至 feedback@infosecuritymag.com.