В минувший четверг специалисты по компьютерной безопасности предупредили разработчиков, о том, что, благодаря появлению сервиса Google Code Search, архивы open-source проектов теперь могут позволить хакерам более успешно находить программы с потенциальными уязвимостями, так как новый сервис предоставляет возможность поиска исходных кодов, что облегчает злоумышленникам жизнь.
«Теперь можно с легкостью забраться туда, где исходные коды доступны для широкой публики, и найти там много интересного», заявил Крис Уисопал (Chris Wysopal), руководитель технологического отдела компании Veracode. «Это дает более простой и быстрый способ нахождения уязвимостей. Причем, не для какого-то данного единичного сайта, а сразу для всех сайтов, с подобной уязвимостью».
Специалисты по безопасности так же указывают на то, что легкая доступность хранилищ исходных кодов может привести к тому, что хакеры смогут иногда обгонять разработчиков в поиске уязвимостей программных продуктов. Однако, разработчики должны устоять перед соблазном скрыть свои хранилища от Google.
Вопрос безопасности, поднятый с появлением Googles Code Search, напоминает известную проблему с оригинальным поисковым движком Google. Существует даже особый термин «Google hacking», обозначающий использование поисковых запросов Google для нахождения уязвимостей сайтов.
Специалисты, занимающиеся компьютерной безопасностью, сообщают, что в принципе функциональности Google Code Search можно добиться и от обычного поисковика Google, но новый инструмент делает поиск кодов более эффективным.
Однако, Google заявляет, что Code Search предназначен для того, чтобы помочь программистам находить примеры кодов и разбираться с непонятными вопросами, а не для того, чтобы выискивать потенциальные уязвимости.
Кроме того, Code Search позволит программистам быстрее находить и предупреждать людей о возможных уязвимостях в приложениях. Главным аргументом в его защиту является то, что безопасность программы повышается с увеличением количества людей, изучивших доступный код.
Уисопал говорит: «Нам остается только надеяться, что этот инструмент будет использоваться для добрых дел».
«Любая новая технология придает новое направление деятельности хакеров», говорит Джонни Лонг (Johnny Long), всемирно известный специалист по вопросам компьютерной безопасности. «Главный вопрос в том, смогут ли хорошие парни обогнать плохих».
