Ищите свои секретные документы в Google - Hitecher
Ищите свои секретные документы в Google

Ищите свои секретные документы в Google

написал Evan Mcbride

Как спрятать важную информацию от всевидящих поисковиков

Как спрятать важную информацию от всевидящих поисковиков

Сегодня практически любой серьезный бизнес немыслим без компьютерных технологий. Компании хранят онлайн документацию, корпоративные документы, информацию о клиентах.

Важно понимать, что если такие файлы не защищены паролем, то есть серьезная вероятность, что поисковые системы проиндексируют их, и данные можно будет найти, скажем, в Google.

К сожалению, важность соблюдения мер безопасности очень часто недооценивают. Об этом можно судить по постоянным утечкам пользовательских данных, взломам счетов и так далее. Между прочим, количество киберпреступлений рекордно высоко в области финтех и банковской сфере. Хотя, казалось бы, на защиту финансов всегда бросают лучшие силы.

В подобных утечках важнее не гениальность хакеров, а неосмотрительность компаний и цифровая безграмотность пользователей. Часто важные данные достаются злоумышленникам практически даром. Нужно только знать, где посмотреть.

Давайте обсудим ключевые моменты защиты файлов от посторонних глаз.

Безопасность через неясность — плохая защита

В современном цифровом пространстве нельзя полагаться на удачу. Конечно, вероятность того, что какой-то хакер заинтересуется конкретным пользователем или даже конкретной компанией, довольно мала. Но дело в том, что потенциальные жертвы часто ищутся не вручную, а автоматизированно, с помощью специального вредоносного софта, а порой на руку злоумышленникам могут сыграть и сервисы, разработанные в помощь рядовым пользователям. Современные поисковики как раз из числа таких сервисов.

Нередко поисковики сканируют облачные хранилища и индексируют те файлы, которые выложены с доступом по ссылке. Так что, если вы делитесь с коллегами прямой ссылкой на документ, поисковики могут этот документ обнаружить, а значит, его содержимое окажется в общем доступе.

Может показаться, что сгенерированный уникальный адрес файла — достаточно надежная защита, ведь такую последовательность символов подобрать непросто. Однако не стоит полагаться на то, что посторонние не знают, где именно лежат ваши данные. Такой принцип называется «безопасность через неясность», и применять его не рекомендуется. Если вы оставляете техническую возможность найти ваши документы, то будьте готовы к утечке. Это как если бы вы прятали ключ от квартиры под ковриком. Вы ведь так не делаете, правда?

Как работают запросы в Google

Большинство поисковых систем имеют встроенный язык запросов, который позволяет обрабатывать не только простые строковые запросы, но и запросы со специальными операторами (site:, inurl:, intext: и т.д.).

Например, если вы наберете в поисковой строке «site:hitecher.com утечка данных», то найдете все статьи на нашем сайте, которые связаны с утечками данных. Это довольно удобный инструмент, который позволяет сделать поиск более точным. Однако иногда подобные запросы позволяют найти информацию, которая не предназначена для всеобщего обозрения.

Запросы, которые позволяют получить доступ к случайно проиндексированным закрытым страницам, называют Google-хаками. С помощью таких Google-хаков можно найти абсолютно любую информацию, которую владельцы сайтов по неосторожности забыли закрыть для индексирования. Под угрозой могут оказаться списки паролей, аналитические данные, служебные страницы, настройки серверов и многое другое.

Портал exploit-db.com с 2003 года ведет учет таких уязвимостей в отдельной базе. На сегодняшний день на сайте собрано 4827 Google-хаков.

Со временем некоторые записи в базе теряют актуальность, так как нерадивые владельцы сайтов исправляют настройки серверов и обновляют скомпрометированные данные.

Как защитить документы?

Причина подобных утечек — в беспечности пользователей и владельцев сайтов. По умолчанию любой поисковик проиндексирует все, что только найдет. Пользователи должны сами заботиться о том, чтобы закрыть свои данные для индексации.

Для того чтобы защитить файлы от индексации, нужно либо не хранить их по прямой ссылке, либо требовать авторизации для доступа к данным.

Еще один, менее надежный способ заключается в настройке файла robots.txt, в котором прописаны правила индексирования для конкретного сайта. Вы можете прописать запрет на индексирование файлов и каталогов. Проблема в том, что придется положиться на честность поискового робота, а между тем некоторые алгоритмы игнорируют предписания из файла robots.txt.

Четвертый способ — надеяться, что поисковик не проиндексирует вашу ссылку на файл, как мы уже сказали, не работает.

Главный совет для тех, кто хочет защитить свои файлы: прежде чем открыть доступ по ссылке, всегда проверяйте, нет ли в файле чувствительных данных, не предназначенных для посторонних глаз.

Пометки вроде «для служебного пользования» или «секретно» — отличное подспорье хакерам для поиска действительно важной информации среди проиндексированных документов. Для большей безопасности стоит избегать подобных пометок или, например, использовать свою нестандартную систему обозначений.

Если вы работаете над каким-то документом в облаке, то лучше приглашать коллег для совместного редактирования через email, а не по прямой ссылке. Кроме того, стоит ограничить список сотрудников, которые могут приглашать к редактированию других людей.

Облачные системы очень удобны для совместной работы, но надо помнить, что именно на подобные сервисы и направлено особенное внимание хакеров. Для действительно важных корпоративных данных может быть оправдана дорогостоящая, но надежная внутренняя система работы с документами.

Не стоит забывать и о надежных паролях, ведь многие до сих пор используют в качестве пароля дни рождения и имена своих близких, что не сильно лучше пароля «12345». Для дополнительной защиты можно настроить двухфакторную аутентификацию.

И еще один хороший совет: составляйте документы так, чтобы они не нанесли урон репутации компании, даже если попадут в открытый доступ.

Проверить, насколько хорошо вы защитили свои данные, можно с помощью специального чек-листа.

Поделитесь этим с друзьями!

Evan Mcbride

Evan Mcbride

Штатный журналист HiTecher и фанат всего, что связано с высокими технологиями и наукой. Среди его материалов: новости из мира гаджетов, статьи о важных фундаментальных открытиях, а также разборы проблем современного бизнеса. На HiTecher у Эвана есть авторская колонка.

Все посты Evan Mcbride

Будьте первым, кто оставит комментарий