據一位安全專家表示,善於見縫插針的黑客們有可能利用Google公司的搜索工具,數以TB計地挖掘包括知識產權以及密碼在內的諸多企業敏感數據。
Google時代 企業更該注重數據保護 總部設於美賓夕法尼亞州阿倫敦市的Security Constructs公司的執行總監湯姆.鮑爾斯(Tom Bowers)指出:IT專業人士必須對不法分子的這些技倆有個全面認識,這樣才能時刻留心自己公司的珍貴資料不會出現在Google上。 "用Google能搜索到的信息都將變為公開信息。"他在上周波士頓召開的SecureWorld會議上說道。"現在關注自家的知識產權是否出現在Google上並采取正確防御策略以防止這一情況發生也是企業的職責所在。" 鮑爾斯並不是第一個提出"Google有可能被用於挖掘企業機密"這一警告的安全專家。滲透測試專家約翰尼.朗(Johnny Long)就曾用很大篇幅來解釋將Google轉變為惡意工具的各種途徑,並且在他自己的網站johnny.ihackstuff.com上公布了一個Google黑客技巧數據庫(Google hacking database ,GHDB)。鮑爾斯表示,雖然如此,但仍有許多企業並未清醒認識到Google威脅的真正可怕。 Google上周宣布,將開始在從數百萬全球用戶那所收集到的海量信息的前面設置一個匿名盾牌,以使在線搜索信息的提供者更難以被追蹤到。不過到現在仍並沒有跡象表明,這一措施將會減少鮑爾斯所說的那些風險。當然,唯一原因就是黑客們已掌握了避開這類防御盾牌的決竊。 對此,鮑爾斯指出,許多Google黑客都是經驗豐富的間諜。而作為財富100強中一家制藥公司的前任信息安全操作經理,鮑爾斯特別指出,已有制藥公司雇傭情報收集人員用來了解他們的競爭對手。
黑客青睐Google專業搜索工具 Google黑客們能夠利用Google的精確搜索工具來瞄准目標並且尋找財務文檔以及安全分析報告,因為這些往往是潛在的信息寶庫。所以黑客們更加青睐專業的Google工具,包括Google 地球(Google Earth)、Google 專利搜索(Google Patent Search)以及Google 博客搜索(Google Blog Search)等。 鮑爾斯表示:Google地球服務可被間諜們用於獲取競爭對手工廠車間的衛星照片。而如果一家企業所擁有的其中一個專利包含的信息過多,那麼Google 專利搜索將會顯得特別有價值。"一旦你有一個專利想要公開,那麼你在提呈這個專利相關信息時就必須要再三斟酌,"他表示。"你所提呈的信息僅包括能說明其獨特性並足以取得專利的內容即可,若提呈太多信息則這些內容有可能會被你的競爭對手看到,那麼他們就能復制你的工藝流程。專利可是一個真正的信息聚寶盆啊。"此外,博客也算是信息的一個極好來源,足以讓一家企業用來對付另一家企業。在博客世界裡能共享許多觀點,有時甚至還能共享許多的知識產權。 不過鮑爾斯也表示,也許最好的情報工具要算是Google快訊(Google Alerts),它能基於用戶定制的規格為用戶提供其所要的內容。"你能借助這種搜索方式來實現數據挖掘、商業智能(BI)和計算機取證,"他表示。"我的Google快訊是設定為以每日電子郵件形式發送給我的,使用起來非常容易,而且你能用它來快速發現你公司的信息並展開相應調查。"當然,調查是關於這些資料信息是如何出現在Google上的。 此外,鮑爾斯發現Google還能用來挖掘那些企業認為已經銷毀的表單文件。這些表單文件中某些可能還包括用戶名及密碼等有價值的細節資料。比如:他就曾在一個案例中,通過運用Google發現了一個帶有賬戶名稱及密碼的電子數據表。
企業應盡快撤銷Google上的敏感數據
按照Google發言人的說法,他們所開發的桌面搜索工具目的是讓用戶更方便快捷地查找存在硬盤上的數據,因而不會對其可能引起的此類安全問題做特殊處理。除了Google之外,其他一些公司如Blinkx和Copernic也提供類似的搜索引擎,而象ISYS、X1、雅虎、微軟等公司據稱也正在開發此類產品。顯然,能夠讓企業洩密的搜索工具變得越來越多,,企業必須引起足夠的重視,以防數據洩漏。 對於那些在Google上查詢自已公司信息的IT專業人士,鮑爾斯建議先以一個問題起頭,然後再精確調整這個搜索,問更多問題並進行更精確的搜索。一旦發現公司信息,就執行一個源數據分析來確定文檔的生成日期並找到隱藏的超鏈接。而對於那些確實發現自家公司敏感數據在Google上散播的那些人來說,Google為他們提供一個在線表格,他們可在表格中填入要求Google撤下的內容。
