Googles Code Search als Hackertool

Dieses Thema im Forum "Netzwelt" wurde erstellt von Melcos, 12. Oktober 2006 .

Schlagworte:
  1. 12. Oktober 2006
    Googles Code Search als Hackertool

    Googles Code Search zum Finden von Quelltext-Schnipseln findet nicht nur positive Resonanz. Sicherheitspezialisten weisen darauf hin, dass sich damit die Repositories von Open-Source-Projekten nach fehlerhafter Software durchsuchen ließen. Die neue Suchmaschine gebe Angreifern ein Werkzeug in die Hand, besser und schneller nach typischen Programmierfehlern suchen zu können, um die daraus resultierenden Sicherheitslücken für Einbrüche in Systeme auszunutzen. Damit seien zwar nicht unbedingt zielgerichtete Attacken möglich, aber nicht immer sei dies erforderlich.

    Erste Seiten im Internet zeigen bereits Beispiele für Suchanfragen, mit denen man über Google Sicherheitslücken findet. Dazu gehören Klassiker wie die C-Funktionen strcpy und gets, die bei falscher Verwendung zu einem Buffer Overflow führen können, über den sich oftmals Schadcode auf den Stack schreiben und starten lässt. Allerdings indiziert Code Search auch die veralteten Softwarestände mit, sodass die Lücke in der aktuellen Programmversion durchaus schon beseitigt sein kann. Aber nicht wenige Anwender setzen auch veraltete Versionen ein.

    Zum Befüllen der Code-Datenbank grast Google nach eigenen Angaben "so viele öffentlich zugängliche Codearchive wie möglich" ab, darunter .tar.gz- und .zip-Dateien, aber auch CVS- und Subversion-Repositories. Wie viele Codezeilen die Datenbank derzeit umfasst, verrät Google leider nicht. Bei der Suche sind sogar reguläre Ausdrücke erlaubt und die Beschränkung auf bestimmte Softwarelizenzen wie BSD, GPL und andere möglich.

    Immerhin bietet Code Search auch Software-Auditoren die Möglichkeit, Lücken zu finden und zu beseitigen. Hier sieht Google auch eines der Argumente für die Sicherheit von Open-Source bestätigt: Je mehr Augen auf den Code schauen, desto mehr Fehler werden gefunden – und beseitigt. Nach Meinung von Sicherheitsspezialisten könnte Code Search Programmierer künftig sogar motivieren, Richtlinien für sicheres Programmieren aufzustellen, zu befolgen und sich diesbezüglich fortzubilden. Entwickler sollten aber der Versuchung widerstehen, ihre Repositories vor Google zu verstecken.

    Google wird auch seit Längerem missbraucht, um Lücken auf Webservern und Datenbanken zu finden. Beim so genannten Google Hacking findet man mitunter Daten passwortgeschützter Seiten. Zuletzt hatte Google seiner Suchmaschine die Möglichkeit hinzugefügt, nach Signaturen von EXE-Dateien zu suchen, was etwa Websense zum Aufspüren von Viren und Würmern im Internet einsetzte.

    Siehe dazu auch:
    Google Source Code Bug Finder, Beispiele für Code Search

    Quelle: heise.de
     
    + Multi-Zitat Zitieren
  3. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten