싼야민공- Phomthong's LiveTV 3G+ Online

phomthong on livestream.com. Broadcast Live Free

Virus Computer Killer Chat

Tuesday, 2 February 2010

Google Hacking Threat

ภัยจากการใช้ Google ในทางมิชอบ
(Google Hacking Threat)


หลายองค์กรในประเทศไทยทั้งภาครัฐและเอกชนได้ทำการอัพโหลดข้อมูลขององค์กรไว้ในเว็บไซด์ขององค์กร เพื่อสามารถเข้าถึงข้อมูลได้ผ่านทางระบบอินเทอร์เน็ต ข้อมูลบางอย่างเป็นข้อมูลลับที่ไม่เปิดเผยต่อสาธารณชน ก็มักจะนำระบบป้องกันการเข้าถึงข้อมูลโดยให้ใส่ ชื่อ และ รหัสผ่าน

ปัญหาใหญ่ก็คือ ระบบป้องกันการเข้าถึงข้อมูลลับเหล่านั้นมักจะมีช่องโหว่ที่แฮกเกอร์ หรือ Google search engine สามารถเจาะทะลุทะลวง เข้ามาดูข้อมูลได้โดยไม่ต้องใช้ชื่อผู้ใช้และ รหัสผ่านแต่อย่างใด สำหรับแฮกเกอร์นิยมใช้วิธีที่เรียกว่า "SQL injection" แต่สำหรับ Google ถือว่าเป็นความสามารถของ Google Search Engine ที่สามารถเจาะลึกลงไปใน ระดับ Directory หรือ File ต่าง ๆ ที่อยู่ใน Web Server ของเรา ซึ่งหลาย ๆ ไฟล์อยู่ในรูปแบบของ Microsoft Office format เช่น .DOC, .XLS, .PPT หรือ MDB เป็นต้น

การใช้ Google Hack ระบบเพื่อค้นหาไฟล์ดังกล่าวสามารถทำได้โดยง่ายโดยใช้ Advanced Google Operator คือ File type: และ Site: เช่น ถ้าต้องการหาข้อมูลไฟล์ EXCEL ของบริษัท ABC ที่จดทะเบียนในประเทศไทย ก็ให้พิมพ์ ว่า "Filetype:XLS Site:ABC.co.th" ทาง Google ก็จะแสดงไฟล์ EXCEL เท่าที่สามารถตรวจสอบให้เราเห็นและสามารถเข้าถึงได้ถ้าไฟล์ดังกล่าวไม่ได้มีระบบ "Access Control" ที่ดีพอ แฮกเกอร์สามารถใช้ Advanced Operator ของ Google ในการโจมตีระบบได้อีกหลายแบบซึ่งหนทางในการแก้ปัญหาก็คือ เราสามารถบอกให้ Google ช่วย "remove file" หรือ บอกให้ Google ข้ามไฟล์ที่เราไม่อยากให้ผู้อื่นเข้าถึง โดยใช้ไฟล์ "ROBOTS.TXT" ใน Web Server จากนั้นก็กำหนดนามสกุลของไฟล์ที่เราไม่ต้องการให้ Google นำไปเก็บไว้ใน Search Engine Database โดยทาง Google จะ SKIP หรือ ข้ามไฟล์เหล่านั้นไป และ Google ก็จะไม่จัดเก็บ LINK และชื่อไฟล์เหล่านั้นก็เป็นทางแก้ปัญหาอีกวิธีหนึ่ง แต่วิธีที่ดีที่สุด คือ การ Harden Web Server ของเราเองและไม่นำ "Sensitive Information" หรือ ไฟล์ข้อมูลที่มีความลับหรือมีความสำคัญมาก ๆ มาเก็บไว้ใน Web Server ควรเก็บไฟล์แยกจาก ระบบที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต น่าจะเป็นแนวคิดที่ดีกว่า

Refer to http://www.acisonline.net/article_prinya_eweek_010650.htm

No comments:

Post a Comment

Malware Fix New Update

Latest Virus Descriptions

Latest Virus News

BitDefender - Latest Threats

Sophos latest virus and spyware detection

ESET Threat Center

Trend Micro - Malware Top10

Avira - Latest Threats Descriptions

CA Security Advisor Virus Alerts

AVG | Virus Database Updates

AVG | Virus Database Updates

Free Download Antivirus & Safety Software

US-CERT Current Activity

Clam AntiVirus

NORMAN:Virus warnings

ข่าวไอทีและโปรแกรมสแกนไวรัส

Top Ten Security Privacy Reviews