Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Atacantes encuentran uso para Google Code Search
 
VSantivirus No 2270 Año 10, lunes 16 de octubre de 2006

Atacantes encuentran uso para Google Code Search
http://www.vsantivirus.com/ws-16-10-06.htm

Por Wilson Salazar
fasalar@videosoft.net.uy


Google ha suministrado inadvertidamente una nueva herramienta a los atacantes en línea. El código fuente del motor de búsqueda de la compañía, revelado hace unas semanas como una herramienta que ayuda a simplificar la vida de los desarrolladores, puede también ser mal utilizada para buscar errores en el software, información de contraseñas, y aún código propietario que no debió haberse publicado en Internet en primer lugar, dicen expertos en seguridad.

Diferente al motor principal de búsqueda Web de Google, Google Code Search (http://code.google.com/) examina líneas de código cada vez que encuentra archivos con código fuente en Internet. Esto puede hacer que los desarrolladores busquen directamente código fuente y desentierren herramientas de código abierto sobre las cuales no tenían conocimiento.

"La desventaja es que usted podría utilizar también esa clase de búsqueda para encontrar las cosas que son vulnerables y entonces conjeturar quién pudo haber utilizado ese fragmento de código y dirigir un ataque directo a él," dijo Mike Armistead, vicepresidente de productos de Fortify Software.

Los atacantes podrían también buscar código con vulnerabilidades en los mecanismos de contraseñas, o frases dentro del software tal como "este archivo contiene propietario", desenterrando posiblemente el código fuente que nunca debió haber sido anunciado en Internet. 

Expertos en seguridad dicen que las implicancias de seguridad de Google Code Search, son por lo menos dignas de mención, si no trascendentales.

Si bien es cierto que hackers experimentados ya pueden hacer este tipo de búsquedas con el motor Web de Google, Code Search es "otra herramienta que hace esto un tanto más fácil para el atacante," dijo Johnny Long, un investigador de seguridad.

Por su parte, Google no tiene mucho que decir acerca del posible mal empleo de su nuevo producto. "Google recomienda que los desarrolladores utilicen buenas prácticas de codificación, que son generalmente aceptadas, incluyendo entender las implicaciones del código que ponen en ejecución y probándolo apropiadamente," dice la compañía.

Google nunca ha dicho mucho sobre los pasos que toma para reducir esta clase de uso erróneo de su motor de búsqueda, aunque el asunto surge de vez en cuando. En julio, Websense utilizó una capacidad poco conocida de la búsqueda binaria dentro del motor de búsqueda de Google para localizar un malware en Internet.

Mientras Google Code Search puede que probablemente no tenga mucho efecto sobre proyectos populares de código abierto, que ya son exhaustivamente escudriñados, podría ayudar a evidenciar las vulnerabilidades en porciones menos conocidas de código, según Lev Toger, un desarrollador de software de Beyond Security.

"Utilizando la búsqueda de código de Google, es mucho más fácil encontrar las porciones interesantes de código," dice él. "Si su tarea es encontrar vulnerabilidad en algún código aleatorio, este filtro puede ahorrarle mucho tiempo"


Relacionados:

Google Code Search
http://code.google.com/


Fuente:

Hackers find use for Google Code Search
http://www.ictworld.co.za/EditorialEdit.asp?EditorialID=27308






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS