Kam vargti laužiantis į svetimą svetainę, jei prisijungimo vardus ir slaptažodžius galima sužinoti pasinaudojus paprasčiausia interneto paieška? Pasirodo, “Google” noriai atskleis dar ir ne tokių paslapčių…
Pagarsėjęs 21 metų hakeris Adrianas Lamo, save vadinantis laisvai samdomu konsultantu kompiuterių saugumo klausimais, žurnalistams atskleidė netikėtą “Google” pritaikymo būdą. Šis “tinklų sanitaras” plačiai pagarsėjo savo pastangomis korporacijų vadybininkams ir privatiems vartotojams padėti suprasti interneto saugumo ribas. Per pastaruosius dvejus metus Adranas su savo “Toshiba” nešiojamuoju kompiuteriu prasiskverbė į “America Online”, “Yahoo!”, “WordCom”, “Excite@Home” bei kitų žinomų kompanijų vidinius tinklus ir archyvus, šitaip akivaizdžiai parodydamas, kad naudojamos apsaugos priemonės tebėra skylėtos.
“Wired News” rašo apie naują Adriano viešą perspėjimą, kuris susijęs su internetinėmis duomenų bazėmis. Pasak hakerio, įsilaužėliams labai padeda tai, kad tokių duomenų bazių valdymo įrankiai duomenims internete skelbti naudoja parengtus šablonus. Pasinaudojus didelę indeksuotų tinklapių bazę turinčiomis paieškos sistemomis ir nurodžius joms specifines frazes dažnu atveju galima patekti tiesiai į šablonų pagrindu parengtus duomenų bazių tinklapius. Adrianas Lamo siūlo “Google” paieškos laukelyje surinkti raktažodį “Select a database to view” (http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=%22Select+a+database+to+view%22) ir pasižiūrėti, kas iš to išeis. Ši frazė - įprastinis sakinys “FileMaker Pro” duomenų bazės sąsajoje. “Google” pateikia apie porą šimtų tokios paieškos rezultatų, kurie veda į internete prieinamus šios duomenų bazių programos sukurtus tinklapius.
Pasirodo, kai kuriais atvejais “Google” atvedė smalsuolius prie gana konfidencialios informacijos: viename tinklapyje buvo skelbiami kelių šimtų su “Apple Computer” bendradarbiaujančių mokytojų vartotojų vardai ir slaptažodžiai, el. pašto ir gyvenamosios vietos adresai. Visa ši informacija nebuvo apsaugota. Kitu atveju “Google” paieška atvedė į Drekselio universiteto medicinos koledžo (http://www.drexel.edu/med/default.asp) tinklapį, kuris buvo susietas su 5500 neurochirurgijos pacientų medicinos bylomis. Čia buvo galima susipažinti su pacientų adresais, telefonais, išsamiais ligų ir gydymo eigos išrašais - tereikėjo įvesti tokį pat vartotojo vardą, o vietoj slaptažodžio - duomenų bazės pavadinimą.
Abi minėtos interneto duomenų bazės buvo sukurtos naudojant “File Maker Pro” programos įrankį “Web Companion”, kuris skirtas pradedantiesiems vartotojams, norintiems paprastai paversti savo naudojamą duomenų bazę prieinamą kitiems. Teisėti vartotojai gali redaguoti, tvarkyti, trinti duomenų bazės įrašus naudodami įprastą interneto naršyklę.
“Google” atstovas spaudai, paprašytas pakomentuoti šią problemą, teigė, kad kompanija suteikė galimybę tinklapių administratoriams per 24 valandas pašalinti per neapsižiūrėjimą paskelbtą informaciją iš paieškos sistemos indeksuotų tinklapių bazės. Kuriami nauji įrankiai, kurie leistų nepageidaujamą informaciją pašalinti per dar trumpesnį laiką.
Tačiau, pasak Adriano, tada jau būna šaukštai po pietų. Jei hakeris patylomis susiranda tai, ko jam reikia, antrą kartą internete varstyti tų pačių durų jam nebereikia. “Wired” cituoja šio “tinklų sanitaro” žodžius: “Jeigu jūsų ligos istoriją indeksuoja “Google”, kažkas čia negerai”.
