div.main {margin-left: 20pt; margin-right: 20pt}
Поисковые машины – оружие хакеров
Курт Сабо
В последнее время получили довольно широкое
распространение простенькие утилиты, позволяющие преодолевать
защиту путем перебора паролей. Именно они и отвлекли
внимание не только начинающих, но и опытных хакеров
от такого мощного и общедоступного инструмента, каким
является обычная поисковая машина.
Проявив
небольшую изобретательность, любой пользователь Интернета
сумеет с помощью такой машины обойти базовую защиту, предусматривающую
использование пароля, и получить доступ к лакомым кусочкам
тех сайтов, администраторы которых оказались столь легкомысленными,
что допустили их размещение именно там. Если какая-либо имеющая
ценность информация находится на Web-странице, отыскать ее
сможет каждый. Некоторые хакеры находят данный способ исключительно
удобным. "Усложненный запрос на поисковой машине - делится
своим опытом один из них - дает Вам возможность указывать
в нем расширения файлов и осуществлять поиск сайтов и каталогов,
в названиях которых имеются такие слова, как index of, admin
или customer, и которые содержат, например, файлы с расширением
.dat".
Недавно на сервере одного довольно крупного
американского провайдера этим способом был обнаружен файл
data.txt, содержащий фамилии и имена, адреса, номера карточек
социального страхования и подробные записи счетов кредитных
карточек нескольких сотен человек, причем все это было написано
открытым текстом. Оказалось, что файл принадлежал коммерческому
сайту, размещенному на сервере ранее. При закрытии сайта его
владельцы из-за небрежности оставили после себя нестертыми
часть Web-страниц, некоторые из которых содержали в высшей
степени конфиденциальную информацию. Первоначально вся эта
информация была создана прикладной программой, предназначенной
для работы с пластиковыми карточками. Как только данный факт
получил огласку, информация, естественно, была немедленно
удалена.
Как
же этот способ поиска работает практически? В качестве примера
возьмем широко известную поисковую машину HotBot.
При нажатии кнопки "усложненный запрос" на главной странице
этой машины Вам будет предложен целый набор весьма занимательных
опций. Нет необходимости быть виртуозом по использованию булевых
операторов - перед Вами симпатичное меню общего шлюзового
интерфейса. Введите слова admin и user и наберите в поле "file
types" расширение .dat. Сработает превосходно. Причем все
это настолько просто, что под силу даже ребенку. Возможности
просто беспредельные. Единственным ограничением являются Ваши
способности к творчеству.
Интересно отметить, что компания Lycos
не намерена модифицировать поисковую машину HotBot
с тем, чтобы блокировались некоторые типы файлов. Хотя у компании
и вызывает озабоченность появление в Интернете по существу
незащищенной конфиденциальной информации, она считает, что
поиск по типу файла является полезной характеристикой машины.
Что же касается защиты данных, то это, по мнению Lycos,
целиком и полностью на совести операторов, которые не должны
помещать подобную информацию на общедоступных Web-сайтах.
Всем, кто стремится к максимальному использованию
возможностей поисковых машин Интернета, можно дать бесплатный
совет посетить частный Web-сайт fravia+,
на котором имеются прямо-таки россыпи относящейся к этому
виду занятий информации. Здесь же мы ограничимся буквально
несколькими цифрами, фактами и рекомендациями.
Объем информации, который доступен пользователю
в Интернете, имеет совершенно невообразимые размеры: в мае
2000 года там было уже около 1,7 млрд. Web-страниц. И этот
объем продолжает возрастать невероятными темпами, удваиваясь
чуть ли не за полгода. В настоящее время каждый день появляется
более 3 млн. новых страниц. Как же действовать пользователю,
чтобы наверняка найти то, что ему нужно? Первый и самый главный
вопрос - где искать? Оказывается, большую часть информации
сейчас уже нельзя найти, используя "классические" поисковые
машины. Самая мощная из них в мае 2000 года охватывала лишь
десятую часть всего объема Интернета. Более того, эти машины
не проводят индексацию очень многих интересных мест в Сети.
Как правило, они содержат ссылки преимущественно на коммерческие
сайты и столь любимые "чайниками" информационные серверы.
Все поисковые машины имеют свои достоинства
и недостатки. Поэтому бессмысленно использовать один и тот
же поисковый механизм (скажем, Altavista)
для нахождения разнородной информации. При этом нельзя не
учитывать, что по своей природе Интернет подобен зыбучим пескам:
Web-страницы постоянно изменяются, удаляются или перемещаются.
По некоторым оценкам, средняя продолжительность жизни страницы
в Интернете составляет чуть меньше полутора месяцев.
Даже самые мощные современные поисковые машины
не в состоянии объять все Web-пространство. К числу поисковых
систем, охватывающих наибольшее число страниц, относится Inktomi.
Она содержит ссылки на 0,5 млрд. Web-страниц, что составляет
менее трети полного объема Сети. Altavista
в настоящее время включает в себя 350 млн. ссылок. Некоторые
из наиболее популярных поисковых машин охватывают всего около
5% пространства Сети. Большая проблема для них - успеть за
стремительным ростом Интернета. К тому же переиндексация на
поисковых серверах проводится очень медленно, и часто они
содержат ссылки на отсутствующие страницы, что приводит к
постоянно появляющейся ошибке 404.
Главное, что хотелось бы пожелать любознательному
пользователю, работающему с поисковыми машинами Интернета,
- не утонуть в море информации. Возможно, Вам придется в интересах
успешного поиска научиться погружать себя в состояние "дзен".
Не исключено, что со временем Вы сумеете создавать свои собственные
поисковые программы-роботы. Да мало ли чем стоит овладеть,
чтобы находить в Сети то, что не в силах найти никто, кроме
Вас.
Для
тех же, кто не вполне представляет себе возможности поисковых
машин и не в состоянии решить, какие файлы и каталоги он хотел
бы найти, подскажем, что многие сайты Сети снабжены удобным
и полезным файлом, который наверняка пригодится начинающим
любителям. Имя этого файла - robots.txt. Искать его следует
в корневом каталоге намеченного сайта, указав адрес по следующему
образцу: http://www.site.com/robots.txt.
Файл robots.txt предназначен для того, чтобы сообщать поисковым
машинам, какие каталоги и файлы они не должны индексировать.
Ни одна из перечисленных в файле robots.txt
позиций не появится в окне используемой Вами поисковой машины
в ответ на Ваш запрос. Но когда Вы откроете этот файл и увидите
содержащиеся в нем имена каталогов и файлов, Вы сами сможете
набрать их непосредственно в адресной строке Вашего браузера.
В результате Вы получите доступ к различным подкаталогам и
страницам, которые администраторы сайта предпочли бы спрятать
от Вас. Это, конечно, как раз те самые подкаталоги и файлы,
которые почти наверняка представляют интерес для потенциального
взломщика.
А что же порекомендовать операторам Web-сайтов,
опасающихся стать жертвой "запросов через черный ход", о которых
рассказывается в статье? Единственно правильное решение для
таких случаев является самоочевидным и совсем несложным: нужно
просто прекратить помещать важную информацию в местах, доступ
к которым открыт для всех. Файлам, которые Вы не стали бы
распечатывать направо и налево и не поместили бы на доску
объявлений, просто нечего делать на Web-сайте.
|