В ходе недавнего исследования я обнаружил в индексе Google тревожно большое число ВМ и архивных копий, принадлежащих компаниям, университетам и домашним пользователям. Обеспечьте защиту ваших каталогов!
Храните ли вы какие-нибудь виртуальные машины (ВМ), либо архивные копии жестких или SSD-дисков на системах, подключенных к Интернету? Если так, вам бы стоило найти время (конечно, после прочтения этой статьи) и дважды проверить, что места вашего хранения недоступны для поисковых роботов и URL-обхода (модификации URL в попытках попасть в различные каталоги).
Недавно я затеял инсталляцию OS X в ВМ. После многих проб и ошибок искомый результат был достигнут... но дальше меня стало пробирать любопытство, и я заинтересовался, можно ли отыскать через Google какие-нибудь открытые каталоги с ВМ OS X, созданными другими людьми. Обнаружив несколько таких мест, я решил выяснить, насколько просторна эта кроличья нора, и стал искать ВМ не только с OS X, но и с Windows и Linux. Результаты оказались, по меньшей мере, весьма тревожными.
На иллюстрации показан довольно мягкий пример ущерба, который можно понести, если кто-то завладеет, допустим, вашей инсталляцией ВМ с Windows 7:
Извиняюсь за невысокое разрешение картинки, но из нее видно, что я извлек ключи Windows 7 Enterprise и Office 2010 Professional Plus, а также характеристики VPN. В ВМ имелись и другие внутренние инструменты, но они меня не интересовали. Однако, отмечу, оказалось совсем несложно находить образы установочных носителей Windows 7 Enterprise и Office Professional Plus 2010. Естественно, я удалил свою ВМ и все, что с ней было связано, за исключением вышеприведенного снимка экрана. У меня нет нечестных намерений, но, понятно, найдется немало людей, у которых таковые имеются.
Дальше я собирался поговорить о некоторых конкретных поисковых запросах, показывающих, насколько легко можно добыть все нужные данные об этих ВМ, но решил поменять свой план. Взамен предлагаю вашему вниманию один нехитрый пример:
intitle:index.of Linux.vmdk
Это до смешного элементарный вариант поиска, но он позволяет уловить идею. Имеются тонны уникальных терминов и фраз, которые можно использовать в усложненных поисковых операторах для выуживания информации из серьезных ВМ, но это можно делать не только с одним Google. Существует и много специализированных поисковых систем, умеющих индексировать еще больше подобного материала.
Ну, а как насчет резервных копий? Если вам не по душе искать в Google виртуальные машины, то независимо от конкретного решения для резервного копирования (Norton, Acronis и т. п.), вы сможете найти в Интернете бесчисленное множество архивных образов — сотни и тысячи гигабайт, словно ждущих, чтобы их перекачали, а затем досконально обследовали. В отличие от предыдущего случая я не стану приводить пример соответствующего запроса. Но признаюсь, меня просто поразило количество разделяемых ресурсов NAS-устройств и открытых каталогов, предоставляющих доступ к архивным копиям (во множестве случаев незашифрованным), принадлежащим частным лицам, компаниям и учебным заведениям.
В заключение: в реальности я сомневаюсь, что многие читатели сумеют обнаружить, что их разделяемые ВМ и архивные копии проиндексированы в Google. Однако острота ситуации должна вас побудить в первую очередь от этого застраховаться — поручив этот вопрос ИТ-группе или самостоятельно проверив права доступа к контенту сайта.
Также попробуйте задать Google запросы из слова “site:” с вашим доменным именем (например, site:yoursitehere.com), и посмотреть, что из этого можно выудить. Если нужно, для большей конкретности добавьте подходящие ключевые слова (например, site:yoursitehere.com vmdk) или просто исключите из поиска ненужные страницы, добавив со знаком минус часто на них встречающиеся термины (например, site:yoursitehere.com -keyword1 -keyword2). Наконец, важные результаты может дать и поиск открытых каталогов вашего сайта (например, site:yoursitehere.com intitle:index.of).
Занимаясь аудитом в качестве консультанта, я выявил порядочное число сайтов, которые, оказалось, содержали секретную информацию в публично доступных каталогах (как из Интернета, так и через интрасети). Раз так, до таких каталогов всегда может добраться робот поисковой машины, который затем их проиндексирует на потенциальное обозрение всего мира.
Четко знайте, где проживают ваши данные и как к ним можно получить доступ! И помните, поиск обладает невероятными возможностями, даже если вы не совсем понимаете, как он работает.