Google Hacking Threat

ภัยจากการใช้ Google ในทางมิชอบ
(Google Hacking Threat)


หลายองค์กรในประเทศไทยทั้งภาครัฐและเอกชนได้ทำการอัพโหลดข้อมูลขององค์กรไว้ในเว็บไซด์ขององค์กร เพื่อสามารถเข้าถึงข้อมูลได้ผ่านทางระบบอินเทอร์เน็ต ข้อมูลบางอย่างเป็นข้อมูลลับที่ไม่เปิดเผยต่อสาธารณชน ก็มักจะนำระบบป้องกันการเข้าถึงข้อมูลโดยให้ใส่ ชื่อ และ รหัสผ่าน

ปัญหาใหญ่ก็คือ ระบบป้องกันการเข้าถึงข้อมูลลับเหล่านั้นมักจะมีช่องโหว่ที่แฮกเกอร์ หรือ Google search engine สามารถเจาะทะลุทะลวง เข้ามาดูข้อมูลได้โดยไม่ต้องใช้ชื่อผู้ใช้และ รหัสผ่านแต่อย่างใด สำหรับแฮกเกอร์นิยมใช้วิธีที่เรียกว่า "SQL injection" แต่สำหรับ Google ถือว่าเป็นความสามารถของ Google Search Engine ที่สามารถเจาะลึกลงไปใน ระดับ Directory หรือ File ต่าง ๆ ที่อยู่ใน Web Server ของเรา ซึ่งหลาย ๆ ไฟล์อยู่ในรูปแบบของ Microsoft Office format เช่น .DOC, .XLS, .PPT หรือ MDB เป็นต้น

การใช้ Google Hack ระบบเพื่อค้นหาไฟล์ดังกล่าวสามารถทำได้โดยง่ายโดยใช้ Advanced Google Operator คือ File type: และ Site: เช่น ถ้าต้องการหาข้อมูลไฟล์ EXCEL ของบริษัท ABC ที่จดทะเบียนในประเทศไทย ก็ให้พิมพ์ ว่า "Filetype:XLS Site:ABC.co.th" ทาง Google ก็จะแสดงไฟล์ EXCEL เท่าที่สามารถตรวจสอบให้เราเห็นและสามารถเข้าถึงได้ถ้าไฟล์ดังกล่าวไม่ได้มีระบบ "Access Control" ที่ดีพอ แฮกเกอร์สามารถใช้ Advanced Operator ของ Google ในการโจมตีระบบได้อีกหลายแบบซึ่งหนทางในการแก้ปัญหาก็คือ เราสามารถบอกให้ Google ช่วย "remove file" หรือ บอกให้ Google ข้ามไฟล์ที่เราไม่อยากให้ผู้อื่นเข้าถึง โดยใช้ไฟล์ "ROBOTS.TXT" ใน Web Server จากนั้นก็กำหนดนามสกุลของไฟล์ที่เราไม่ต้องการให้ Google นำไปเก็บไว้ใน Search Engine Database โดยทาง Google จะ SKIP หรือ ข้ามไฟล์เหล่านั้นไป และ Google ก็จะไม่จัดเก็บ LINK และชื่อไฟล์เหล่านั้นก็เป็นทางแก้ปัญหาอีกวิธีหนึ่ง แต่วิธีที่ดีที่สุด คือ การ Harden Web Server ของเราเองและไม่นำ "Sensitive Information" หรือ ไฟล์ข้อมูลที่มีความลับหรือมีความสำคัญมาก ๆ มาเก็บไว้ใน Web Server ควรเก็บไฟล์แยกจาก ระบบที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต น่าจะเป็นแนวคิดที่ดีกว่า

Refer to http://www.acisonline.net/article_prinya_eweek_010650.htm