據一位安全專家稱,知道看什麼地方的數字犯罪分子可能使用 Google的搜索工具挖掘大量的包括知識產權和口令在內的敏感的企業數據。Security Constructs公司總經理Tom Bowers原來曾是財富100強醫藥公司的信息安全業務經理。他說,IT專業人員必須學習這些壞蛋的技術以便關注Google,確保公司的機密不出現在 公共領域。
Bowers上個星期在波士頓舉行的SecureWorld會議上說,如果有什麼東西出現在Google搜索引擎中,它就成了公開信息。你的工作就是看你們的知識產權是否出現在Google搜索引擎中並且採取正確的防禦措施防止這種事情的發生。
Bowers並不是第一個對於Google搜索引擎可能用來挖掘企業的機密發出警告的安全專家。滲透測試專家Johnny Long曾介紹如何把Google變成惡意的工具。他的網站johnny.ihackstuff.com就包含一個「Google黑客數據庫」。但是, Bowers說,許多企業仍不知道Google的真正威脅是怎樣的。
Google上個星期宣佈,它將在它從數百萬全球用戶那裡收集到的大量的信息前面加上一個匿名盾牌,使人們很難從在線搜索的查詢的請求跟蹤到提 出這些搜索請求的人。但是,沒有任何跡象表明這會減少Bowers介紹的那種風險。一個理由是黑客已經顯示了繞過這種防禦盾牌的訣竅。
Bowers指出,許多Google黑客都曾經是為共產黨政權工作過的經驗豐富的間諜。當柏林牆倒塌的時候,這些間諜失業了並且轉變為經濟間諜。他還指出,醫藥公司曾僱用情報收集者以便更多地瞭解它們的競爭對手。
Google黑客能夠使用Google精細搜索工具接近其攻擊目標並且尋找可能成為信息金礦的財務文件和安全分析報告。更多的專業Google工具黑客發現了Google地球服務、Google專利搜索和Google博客搜索等工具。
Bowers說,Google地球服務能夠向間諜提供競爭對手的工廠的衛星照片。如果一個公司在它的一項專利中包含太多的信息,那麼,Google專利搜索工具就特別有價值。
Bowers說,一旦你有一項專利成功公開的信息,你就必須要小心你在專利中介紹的內容。你在專利中僅輸入足夠使其與眾不同和足以取得專利的內容即可,不要寫入太多的內容,因為你的競爭對手能夠看到它並且複製你的工藝。專利是信息的真正寶庫。
博客也是一家公司對付另一家公司的極好的信息來源。許多想法在博客領域都是共享的。有時候,許多知識產權也是共享的。
但是,Bowers說,最好的情報工具是Google快訊。這項服務能夠根據用戶自定義的標準向用戶提供內容。他說,你可以蒐集這種搜索詞彙作 為數據挖掘、商業情報和計算機證據。我的Google快訊每一天都用電子郵件發到我的郵箱裡。這種方法很容易使用,你可以快速使用這種方法找到你的公司的 信息並且開始調查這個信息是如何出現在Google搜索引擎中的。
Bowers還發現,Google還能夠用來挖掘企業認為已經銷毀了的表單文件。有些表單文件可能包含用戶名和口令等有價值的細節。例如,他就曾發現一個包含賬戶名和口令的表單文件。
對於那些要在Google搜索引擎上查詢自己公司的數據的IT專業人員來說,Bower的建議是開始提出一個問題,然後精細調整這個搜索,問更多的問題並且進行更多的精細搜索。一旦發現這個信息,就可以進行大量的數據分析以便確定文件的創建日期和找到隱藏的超鏈接。
Bower說。對於確實發現自己公司的敏感數據出現在Google搜索引擎上的那些人來說,他們可以填寫Google網站上的一個在線表格,讓Google刪除那部分信息。
留言列表
