Anne Milgram: Why smart statistics are the key to fighting crime
Les moteurs de recherche tels que Google sont de plus en plus utilisés par les pirates informatiques contre les applications Web contenant des données sensibles, selon un expert en sécurité.
Même avec une prise de conscience croissante de la sécurité des données Des sites Web utilisant des termes de recherche ciblés, a déclaré Amichai Shulman, fondateur et directeur de la technologie de la base de données et de la sécurité des applications Imperva.
Le fait que les numéros de sécurité sociale soient sur le Web est une erreur humaine; l'information ne devrait jamais être publiée en premier lieu. Mais les pirates utilisent Google de manière plus sophistiquée pour automatiser les attaques contre les sites Web, a déclaré Shulman.
Dans une attaque par injection SQL, une instruction malveillante est entrée sur un formulaire Web et répondue par une application Web. Il peut souvent fournir des informations sensibles à partir d'une base de données principale ou être utilisé pour planter du code malveillant sur la page Web.
Shulman a refusé de donner des détails sur le fonctionnement de l'attaque lors de sa présentation à la conférence RSA lundi. système de publicité.
Manipuler Google est particulièrement utile car il offre l'anonymat pour un pirate informatique plus un moteur d'attaque automatisé, a déclaré Shulman.
Des outils tels que Goolag et Gooscan peuvent effectuer des recherches larges sur le Web pour des besoins spécifiques. vulnérabilités et les listes de retour des sites Web qui ont ces problèmes.
"Ce n'est plus un jeu de script kiddy - c'est une entreprise", a déclaré Shulman. "C'est une capacité de piratage très puissante."
Une autre méthode d'attaque est ce qu'on appelle les vers Google, qui utilisent le moteur de recherche pour trouver des vulnérabilités spécifiques. Avec l'ajout de code supplémentaire, la vulnérabilité peut être exploitée, a déclaré Shulman.
"En 2004, c'était de la science-fiction", a déclaré Shulman. "En 2008, c'est une réalité douloureuse."
Google et d'autres moteurs de recherche prennent des mesures pour arrêter l'abus. Par exemple, Google a arrêté certains types de recherches qui pourraient donner lieu à une multitude de numéros de sécurité sociale en un seul coup. Il limite également le nombre de requêtes de recherche envoyées par minute, ce qui peut ralentir les recherches de masse pour les sites Web vulnérables.
En réalité, cela oblige simplement les pirates à être un peu plus patients. Shulman a dit qu'il a vu un autre type d'attaque appelée "masquage de site", ce qui provoque un site Web légitime à tout simplement faire de la recherche. disparaissent des résultats de recherche.
Le moteur de recherche de Google pénalise les sites dont le contenu est en double et en supprimera un de son index. Les pirates peuvent tirer parti de cela en créant un site Web qui a un lien vers la page Web d'un concurrent, mais qui est filtré via un serveur proxy.
Google indexe le contenu sous le domaine du proxy. Si cela est fait suffisamment de fois avec plus de serveurs proxy, Google considérera la page Web ciblée comme un doublon et la supprimera de son index.
"Ce n'est pas une mince affaire," dit Shulman.
Administrateurs de sites Web à sens unique peut défendre contre cela empêche leur site Web d'être indexé par autre chose que l'adresse IP légitime d'un moteur de recherche, a déclaré Shulman.
Gartner met en garde contre un "ralentissement généralisé" des dépenses électroniques Les analystes de Gartner ont averti lundi que les économies mondiales ralentiraient les dépenses des produits électroniques,
"Dans les prochains mois, nous prévoyons des signes de ralentissement généralisé dans le secteur de l'électronique, qui affecteront directement les ventes de semi-conducteurs" a déclaré Richard Gordon, analyste chez Gartner, dans le rapport semestriel du DQ sur les semi-conducteurs.
Un juge a rejeté une affaire d'atteinte à la vie privée contre un couple de Pennsylvanie déposée contre Google pour ses photos cartographiques Street View. Un juge a rejeté une plainte déposée par une famille de Pennsylvanie contre Google après que la société ait pris et affiché des images de l'extérieur de leur maison dans son service de cartes.
Le procès, déposé en avril 2008, a attiré l'attention Le mardi, le juge Amy Reynolds Hay de la Cour de district des États-Unis pour le district ouest de la Pennsylvanie, a accordé la demande de Google pour rejeter le procès parce que "les demandeurs ont échoué
"Si vous comprenez la sécurité de l'iPhone fonctionne, je ne pense pas que ce soit une surprise ", a déclaré Charlie Miller, analyste chez Independent Security Evaluators qui a démontré en juillet une vulnérabilité SMS qui pourrait permettre aux pirates de prendre le contrôle du téléphone.
Nicholas Seriot, développeur suisse décrit une application de preuve de concept (PDF) appelée SpyPhone, capable de déterrer et de modifier les contacts, de trouver des recherches Web passées, de stocker des emplacements GPS et Wi-Fi et de copier tout ce que vous avez tapé sur le téléphone sauf les mots de passe. (Non, vous ne pouvez pas le télécharger depuis l'App Store.)