Facilita Google el trabajo a hackers
El nuevo motor de búsqueda de código fuente de la compañía, dirigido inicialmente a facilitar la vida de los desarrolladores, también puede utilizarse con otros propósitos menos bondadosos, como por ejemplo la existencia de bugs en el software, información sobre contraseñas e incluso código propietario que no debería haberse publicado en primer lugar, según comentan los expertos de seguridad.
A diferencia del motor de búsqueda web principal de Google, Google Code Search se centra en las líneas de código que pueda encontrar en los archivos de código fuente que existan en Internet. Esto facilitará la búsqueda de código fuente a los desarrolladores de modo que puedan bucear directamente por herramientas open source, algo que de otro modo no hubiese sido posible. Pero esto tiene un aspecto negativo.
Según Mike Armistead, vice presidente de productos para el análisis de código fuente Fortify Software, “La contrapartida es que también puedes utilizar este tipo de búsqueda para encontrar aspectos vulnerables e imaginar cómo puedes utilizar un trozo de código para atacarlo”
Los atacantes también podrían buscar vulnerabilidades del código en el mecanismo de las contraseñas, o buscar frases dentro del software como por ejemplo “Este archivo es propiedad” posiblemenete relacionado con código fuente que no debería haberse publicado nunca en Internet.
Los expertos sobre seguridad indican que las implicaciones de seguridad de Google Code Search son significativas si no alarmantes.
Los hacker más avispados ya podían realizar este tipo de búsqueda utilizando el motor de búsquedas general de Google, pero el nuevo Code Search “supone otra herramienta que facilita aún más la labor del atacante”, según ha declarado en una entrevista por correo electrónico Johnny Long, investigador de seguridad en Computer Sciences Corp.
Por su parte, Google no tiene mucho que decir sobre los posibles usos no legítimos de su nuevo producto. Según ha publicado la empresa, “Google recomienda a los desarrolladores que utilicen las buenas prácticas de código generalmente aceptadas, incluyendo la aceptación de las implicaciones del código que implementan y su adecuada revisión”.
Mientras que Google Code Search probablemente no tenga un efecto excesivo sobre los proyectos open source más populares, que de hecho ya han sido examinados en detalle, puede suponer una fuente de vulnerabilidades para las porciones de código menos conocidas, tal y como indica Lev Toger, desarrollador de software de Beyond Security.
“Mediante el uso de Google Code Search resulta mucho más sencillo encontrar piezas de código interesantes; si tu tarea consiste en encontrar vulnerabilidades en algún código aleatorio, este tipo de filtrado te puede ahorrar mucho tiempo”.
Suscribirse a:
Comentarios de la entrada (Atom)
0 comments