सुरक्षा विश्लेषक 'गूगल हैकिंग' के बारे में चेतावनी देता है

सुरक्षा विशेषज्ञों के मुताबिक, Google के जैसे खोज इंजन, वेब अनुप्रयोगों के खिलाफ हैकर्स द्वारा तेजी से इस्तेमाल किया जा रहा है, जो सुरक्षा विशेषज्ञ के अनुसार संवेदनशील डेटा रखता है।

डेटा सुरक्षा के बारे में बढ़ती जागरूकता के साथ, यह सामाजिक सुरक्षा नंबर वेबसाईट से लक्षित खोज शब्दों का उपयोग, डाटाबेस और एप्लिकेशन सुरक्षा कंपनी इम्पार्वा के संस्थापक और मुख्य टेक्नोलॉजी अधिकारी Amichai Shulman ने कहा है।

तथ्य यह है कि वेब पर भी सामाजिक सुरक्षा नंबर एक मानवीय त्रुटि है; जानकारी को पहले स्थान पर कभी भी प्रकाशित नहीं किया जाना चाहिए। लेकिन हैकर्स वेब साइट्स के खिलाफ हमलों को स्वचालित करने के लिए अधिक परिष्कृत तरीकों से Google का उपयोग कर रहे हैं, शलमन ने कहा।

शुलमान ने कहा कि इम्फावा ने हाल ही में एक एसक्यूएल इंजेक्शन हमले का निष्पादन करने का एक तरीका खोजा है जो आईपी (इंटरनेट प्रोटोकॉल) पते से आता है जो Google

एक एसक्यूएल इंजेक्शन हमले में, एक दुर्भावनापूर्ण निर्देश वेब-आधारित प्रपत्र पर दर्ज किया गया है और एक वेब अनुप्रयोग द्वारा उत्तर दिया गया है। यह अक्सर बैकएण्ड डेटाबेस से संवेदनशील जानकारी उत्पन्न कर सकता है या वेब पेज पर दुर्भावनापूर्ण कोड लगा सकता है।

शलमान ने सोमवार को आरएसए सम्मेलन में अपनी प्रस्तुति के दौरान हमले कैसे काम करता है, इसके बारे में जानकारी देने से मना कर दिया, लेकिन कहा कि यह Google की विज्ञापन प्रणाली Google ने अधिसूचित कर दिया है, उन्होंने कहा।

Google को विनियोग करने के लिए विशेष रूप से उपयोगी है क्योंकि यह एक हैकर और स्वचालित हमले के इंजन के लिए नाम न छापता है, शलमान ने कहा।

उपकरण जैसे गोलाग और गोओस्कैन विशिष्ट वेब के लिए वेब पर विस्तृत खोजों को अंजाम दे सकते हैं कमजोरियों और वेब साइटों की वापसी सूची जिसमें उन समस्याएं हैं।

"यह अब एक स्क्रिप्ट किडी गेम नहीं है - यह एक व्यवसाय है," शलमन ने कहा। "यह एक बहुत ही शक्तिशाली हैकिंग क्षमता है।"

एक और हमले की विधि तथाकथित Google कीड़े हैं, जो विशिष्ट कमजोरियों को खोजने के लिए खोज इंजन का उपयोग करते हैं। अतिरिक्त कोड को शामिल करने के साथ, शल्मन ने कहा कि, भेद्यता का शोषण किया जा सकता है।

"2004 में, यह विज्ञान कथा थी," शुलमान ने कहा। "2008 में, यह एक दर्दनाक वास्तविकता है।"

Google और अन्य खोज इंजन दुरुपयोग को रोकने के लिए कदम उठा रहे हैं। उदाहरण के लिए, Google ने कुछ प्रकार की खोजों को बंद कर दिया है जो एक ही झटके में सामाजिक सुरक्षा नंबरों का खण्ड उत्पन्न कर सकता है। यह प्रति मिनट भेजा गया अनुरोध अनुरोधों की संख्या को सीमित करता है, जो कमजोर वेबसाइट्स के लिए बड़े पैमाने पर खोजों को धीमा कर सकता है।

वास्तव में, यह सिर्फ हैकर्स को थोड़ा अधिक रोगी बनने के लिए मजबूर करता है खोज पर सीमा डालने से सुरक्षा पेशेवरों को भी परेशान किया जा सकता है जो समस्याओं के लिए अपनी वेब साइटों की स्वचालित दैनिक खोज करना चाहते हैं। शल्मैन ने कहा।

शुलमान ने कहा कि उन्होंने "साइट मास्किंग" नामक एक अन्य प्रकार के हमले को देखा है, जिससे एक वैध वेब साइट खोज परिणामों से गायब हो जाता है।

Google की खोज इंजन उन साइटों को दंडित करता है जिनकी डुप्लिकेट सामग्री होती है और एक को इसके सूचकांक से छोड़ दिया जाता है हैकर्स वेब साइट बनाकर इसका लाभ उठा सकते हैं, जिसमें प्रतिस्पर्धी के वेब पेज पर एक लिंक है लेकिन प्रॉक्सी सर्वर के माध्यम से फ़िल्टर किया जाता है।

Google प्रॉक्सी के डोमेन के अंतर्गत सामग्री को अनुक्रमित करता है यदि यह अधिक प्रॉक्सी सर्वर के साथ पर्याप्त समय किया जाता है, तो Google लक्षित वेब पेज को डुप्लिकेट पर विचार करेगा और इसे अपने सूचकांक से ड्रॉप करेगा।

"यह काफी व्यावसायिक परेशानी है," शलमन ने कहा।

एक तरफ वेब साइट प्रशासक इस से बचाव कर सकते हैं, खोज इंजन के वैध आईपी पते के अलावा किसी अन्य वस्तु द्वारा अनुक्रमित होने से अपनी वेब साइट को छोड़कर, शलमन ने कहा।