Tips & Tricks di sicurezza informatica
Google ha dato involontariamente ai cracker un nuovo strumento. Nome in codice "Google Code Search" : è il nuovo engine rilasciato come supporto per sviluppatori alla ricerca di "codice sorgente" su Internet.
di enore savoia
Google raccomanda agli sviluppatori di fare buon uso dei risultati ottenuti dalla ricerca effettuata, ed altrettanto che il codice sia implementato con "criterio" nei nuovi progetti che andranno a sviluppare [uso personale a titolo di studio].
Su questo principio anche noi di exploit siamo favorevoli, ma analiziamo la situazione da un punto di vista pratico : un esempio > inseriamo queste "semplicissime parole chiave" nella barra di ricerca del Motore "Code Search" lang:php file:wp-config user-sample
[fonte: Fabrizio Pivari - via Nicola D'Agostino del.icio.us]
Se provate la Query ... vi lascio dedurre i risultati su ricerche più approfondite che non stiamo qui ad elencare ... come si dovrebbero sentire gli utenti della famosa piattaforma WordPress?
Quindi :
Per un vero hacker e per sviluppatori risulta essere una risorsa importantissima, aiutando a trovare particolari "codici sorgente" studiarne le vulnerabilità ed eventualmente fixare le falle di sicurezza, ma per i ... cracker ? [che non sono una marca di biscotti]. Gli aggressori potrebbero cercare codice per vulnerabilità in meccanismi di password, o cercare frasi dentro il software come "contenuti archivio/proprietà" disseppellendo codice sorgente che non avrebbe MAI dovuto essere inviato su Internet. I pirati informatici esperti possono già essere in grado di fare questo tipo di ricerca con il motore di Google, ma "Google Code Search" è "un altro strumento che la rende ancora più facile".
Opinioni ?
Ricerca effettuata su riferimenti : "Hackers" find use for Google Code Search [fonte NetworkWorld]
Il file robots.txt è un file di direttiva per spider normali che lo "onorano" quindi NON è un metodo di sicurezza, visto che è possibile impostare unno spider che si presenta come uno spider "normale" ma che ignora bellamente le direttive di tale file.
Unica e sola soluzione è impedire l'accesso a dati sensibili dall'esterno non ponendo tali dati all'interno di cartelle accessibili al di fuori del server stesso.. qualsiasi altro metodo è un puro palliativo e induce solo cattive abitudini instillando un falso senso di sicurezza.
@Francesco grazie ... per quanto riguarda WP , saranno anche backup di utenti [forse ingenui] ma trattasi sempre di azione invasiva ... quindi discutibile ... cmq Steve ci ha rasserenato e la sicurezza della piattaforma non è compromessa ... ma un fatto è certo come da ricerche svolte nella nottata è consigliabile inserire file robots.text a prevenzione di cartelle contenenti eventuali backup/file personali e/o spazio Web - vedi post a seguire > Google Code Search UPDATE
edit: ti aggiungo solo che provando varie stringhe non so piu' cosa effettivamente si può trovare.
E pensare a nuove minacce adesso lo penso un po' anch'io.
ciao
Sempre bei post Enore.
Cmq tnx a steve e alle sue parole credo che sia vero che lo sbaglio sia di quei 50 utenti.
E poi i crackers se vogliono e trovano le falle si passano le info, i tools[ lo dico per esperienza] ect e fanno danni subito, se è possibile. :/
Ma di WP poco sicura non ho sentito nulla.
Ti seguirò se ce la fo
Ciao e buon lavoro
@Steve grazie per la tua informazione... ma se ci sono evoluzioni facci sapere o anche eventuali contromisure
Ovviamente l'argomento è stato oggetto di immediata discussione sulle Mailing List tecniche di WP, ma si tratta di un NON problema.
I file visualizzati NON sono i file config.php presenti nella installazione di WP, non è possibile leggere tale file a meno di una malconfigurazione del server o un suo hackeraggio globale. Ma sono delle copie contenute in file compressi, probabilmente dei backup posti in una directory accessibile dall'esterno e quindi anche dallo spider di google.
NON vi è quindi alcun problema di sicurezza di WordPress ed i suoi utenti a riguardo possono rimanere perfettamente tranquilli, si tratta solo di un "errore" da parte di alcuni utenti che hanno messo delle copie di backup o altro in directory accessibili, quindi l'errore è di questi utenti e nulla ha a che vedere WP.
Prova ne è anche il piccolo numero di file interessati (50) contro milioni di installazioni di WP
o un file robots.text direttamente nella cartella pubblica ... vediamo cosa diranno gli esperti !
@Maxime sono utente anche io di WordPress [blog personale] e mi stò informando a riguardo ... una buona soluzione cosi su due piedi [forse] potrebbe essere la classica stringa html no index/caschè da inserire nella header ... ma a discapito dei posizionamenti sui motori di ricerca ; appena sò qualcosa non mancherò di comunicarlo !
saluti
Blogosfere è il più grande network italiano di blog professionali d'informazione.
Qui puoi trovare le ultime news su cronaca, politica, economia, cultura, scienze, tecnologia, spettacoli, moda, sport, motori, viaggi e cucina prodotte in perfetto stile multimediale.
Blogosfere Srl socio unico
P. IVA 05221970964
Sede legale: Via Pordenone 8 20132 Milano
REA n. 1804860
Privacy
Condizioni di utilizzo
Copyright © 2005-2012 Blogosfere
Quest'opera è pubblicata
con licenza Creative Commons
Attribution - Non commercial - No derivates
Per informazioni pubblicitarie e progetti speciali su Blogosfere (media brand del gruppo Populis) contattare la concessionaria pubblicitaria del gruppo, Populis Engage
alle 12:17
Gianni Amato
Non scambiamo polpette per boffette!
Stiamo parlando dello spider di Google e NON di altri spider. Le informazioni visualizzate sono prelevate dal database di google e, guardacaso, sono visibili tutti i siti che non hanno escluso la visita del crawler su determinate informazioni.
Se ci si spaccia per uno spider diverso da googlebot (dipende quale fra tutti) le direttive imposte dal robots.txt possono non aver nessun senso.
1) La tecnica del robots.txt è bene che venga usata.
2) E' possibile utilizzare uno script php (in giro ne trovate a centinaia) che gestisca una safe list di user agent, nel caso in cui quest'ultimo non è presente nella lista viene restituito page blank.
ps. il consiglio di tenere i dati sensibili lontano dalle cartelle accessibili dall'esterno (o meglio ancora di non caricarle sul server) era scontato.