Παραβιάζοντας απρόσεκτα sites χάρη στις μηχανές αναζήτησης
18/1/2002 (Κλειδώνω, αμπαρώνω και ο κλέφτης είναι μέσα, έλεγε η γιαγιά μου)
Γιώργος Επιτήδειος,
gepiti@gepiti.com
Μια συμβουλή για crackers-hackers
Συλλέγοντας passwords
Πριν από λίγο καιρό αποκαλύφθηκε ότι πολλοί crackers συνέλεγαν passwords, χάρη στα οποία αποκτούσαν πρόσβαση σε συστήματα ή δίκτυα, αξιοποιώντας τις δυνατότητες της δημοφιλούς μηχανής αναζήτησης Google (http://www.google.com), καθώς και άλλων παρόμοιων υπηρεσιών.
Όπως αποδείχθηκε, η τεχνική που ακολουθούσαν ήταν πολύ απλή και καθόλου τεχνολογική. Ενώ παλαιότερα οι μηχανές αναζήτησης συγκέντρωναν μόνο web σελίδες ή αρχεία κειμένου, σήμερα τα αυτόματα προγράμματα συλλογής δεδομένων (spiders ή crawlers) καταγράφουν τα περιεχόμενα όλων όσων αρχείων μπορούν να διαβάσουν. Για παράδειγμα, το Google παρέχει στους χρήστες του τη δυνατότητα να διαβάσουν το περιεχόμενο αρχείων pdf, doc (word for windows), xls και πολλά άλλα.
Οι προχωρημένοι spiders λοιπόν θα καταχωρήσουν στη βάση δεδομένων μιας μηχανής αναζήτησης σχεδόν οποιοδήποτε αρχείο συναντήσουν. Συχνά όμως, μέσα σε αυτά τα αρχεία περιλαμβάνονται και πολλά plaintext password files που αρκετοί απρόσεκτοι system administrators ή και απλοί χρήστες δεν κωδικοποιούν ή δεν προστατεύουν κατάλληλα. Έτσι, το μόνο που έχει να κάνει ο επίδοξος "εισβολέας" είναι να αναζητήσει αυτά τα αρχεία με τις κατάλληλες λέξεις κλειδιά και στη συνέχεια να αποκτήσει πρόσβαση στο σύστημα, χρησιμοποιώντας το username και το password ενός κανονικού χρήστη!
Δύο συμβουλές για τους απλούς χρήστες
Αν και η παραπάνω πληροφορία ενδιαφέρει κυρίως τους επίδοξους crackers-hackers, νομίζω ότι αρκετοί από σας θα χαρούν να διαβάσουν για κάποιες λιγότερο ηθικά επιλήψιμες και πολύ ενδιαφέρουσες πρακτικές που έχω ανακαλύψει χάρη στη μακρόχρονη ενασχόλησή μου με τις μηχανές αναζήτησης
Διαβάζοντας προστατευμένα αρχεία
Μια προσεκτική ματιά στα αποτελέσματα αναζήτησης του Google μας αποκαλύπτει την επιλογή "Αποθηκευμένη σελίδα" η οποία συνοδεύει κάθε URL που προτείνει το εργαλείο. Η υπηρεσία αυτή μας παρέχει τη δυνατότητα να διαβάσουμε ένα αντίγραφο της προτεινόμενης σελίδας, αν τύχει και το πρωτότυπο δεν είναι διαθέσιμο (π.χ. άλλαξε διεύθυνση, δεν λειτουργεί ο server κ.λπ.).
Κάποτε, στα αποτελέσματα μιας αναζήτησης ανακάλυψα ένα online βιβλίο κάθε κεφάλαιο του οποίου ήταν καταχωρημένο σε μια ξεχωριστή web σελίδα. Προσπάθησα να διαβάσω το κείμενο, ακολουθώντας το προτεινόμενο URL, αλλά δυστυχώς έλαβα ένα μήνυμα που έγραφε ότι η πρόσβαση σε αυτό το site είναι διαθέσιμη μόνο επί πληρωμή.
Μη θέλοντας να πληρώσω έκανα back (στη σελίδα των αποτελεσμάτων του Google) και από εκεί είχα την έμπνευση να δοκιμάσω την επιλογή "Αποθηκευμένη σελίδα". Τότε, προς μεγάλη μου έκπληξη εμφανίστηκε μπροστά μου ένα πλήρες αντίγραφο ολόκληρης της σελίδας (χωρίς όμως τις φωτογραφίες). Χάρη λοιπόν στα αρχεία της βάσης δεδομένων του Google διάβασα τα πάντα χωρίς να πληρώσω τίποτε. (Ευτυχώς οι καταχωρήσεις αυτού του εργαλείου είναι τόσο εκτενείς ώστε υπάρχουν sites που έχασαν όλα τους τα δεδομένα σε κάποια καταστροφή και "σώθηκαν" χάρη στα αντίγραφα που πήραν από το Google.)
Η εξήγηση αυτού του φαινομένου βρίσκεται στον spider του εργαλείου ο οποίος δεν λειτουργεί ακριβώς με τον ίδιο τρόπο όπως ένας Web Browser. Έτσι, ένα site μπορεί να απαγορεύει την "είσοδο" σε όποιον χρησιμοποιεί Internet Explorer ή Netscape Navigator, αλλά (από άγνοια ή τεμπελιά του administrator) αφήνει τον spider να καταγράψει τα πάντα, επιτρέποντας σε όλους να τα διαβάσουν από την "πίσω πόρτα", αξιοποιώντας τις εκπληκτικά λεπτομερείς υπηρεσίες αρχειοθέτησης του Google.
Ανακαλύπτοντας εναλλακτικές πηγές πληροφόρησης
Τα εργαλεία αναζήτησης όμως μπορούν να χρησιμοποιηθούν και για την εύρεση εναλλακτικών πηγών του ίδιου περιεχομένου. Πρόσφατα, ενδιαφερόμουν για ένα τεχνικό άρθρο που ανακάλυψα στη βάση δεδομένων κάποιου επιστημονικού περιοδικού. Δυστυχώς, η ανάγνωσή του θα μου κόστιζε 20 δολάρια ΗΠΑ και γι' αυτό αποφάσισα να χρησιμοποιήσω την τεχνική που αναφέρθηκε παραπάνω, ελπίζοντας να παρακάμψω τη χρέωση.
Ευτυχώς όμως δεν χρειάστηκε. Όταν έδωσα τον τίτλο του άρθρου στο Google, με παρέπεμψε στην προσωπική σελίδα του συγγραφέα όπου εκείνος είχε δημοσιεύσει ένα αντίγραφο! Και πάλι λοιπόν η εξαιρετική βάση δεδομένων του εργαλείου με βοήθησε να κερδίσω (ή τουλάχιστον να μην πληρώσω) τα χρήματα που μου ζητούσαν, αφού αυτό που ο Α προσέφερε επί πληρωμή ο Β το παρείχε δωρεάν.
Παρατηρήσεις
Αν και η παράκαμψη των μηχανισμών προστασίας περιεχομένου με την πρακτική της αποθηκευμένης σελίδας είναι ηθικά επιλήψιμη, νομίζω ότι το θέμα αυτό πρέπει να απασχολήσει τους ίδιους τους ιδιοκτήτες subscription sites και όχι τον απλό χρήστη. Καλώς ή κακώς, οι περισσότεροι άνθρωποι δεν θεωρούν την αντιγραφή αρχείων ως κλοπή, αφού δεν αφαιρούν τα πρωτότυπα από τον κάτοχό τους. Έτσι, αν μπορέσουν να βρουν περιεχόμενο δωρεάν από κάποια πηγή, τότε θα την αξιοποιήσουν χωρίς τύψεις.
Καλές σας αναζητήσεις λοιπόν.
Γιώργος Επιτήδειος
Επιστροφή στο Αρχείο ’ρθρων Παλαιών Τευχών Επιστροφή στις Επιχειρηματικές Σελίδες © 2005 Γιώργος Επιτήδειος Υποδείξεις, Ερωτήσεις, Σχόλια στην διεύθυνση gepiti@gepiti.com |