379Как спрятать важную информацию от всевидящих поисковиков
Сегодня практически любой серьезный бизнес немыслим без компьютерных технологий. Компании хранят онлайн документацию, корпоративные документы, информацию о клиентах.
Важно понимать, что если такие файлы не защищены паролем, то есть серьезная вероятность, что поисковые системы проиндексируют их, и данные можно будет найти, скажем, в Google.
К сожалению, важность соблюдения мер безопасности очень часто недооценивают. Об этом можно судить по постоянным утечкам пользовательских данных, взломам счетов и так далее. Между прочим, количество киберпреступлений рекордно высоко в области финтех и банковской сфере. Хотя, казалось бы, на защиту финансов всегда бросают лучшие силы.
В подобных утечках важнее не гениальность хакеров, а неосмотрительность компаний и цифровая безграмотность пользователей. Часто важные данные достаются злоумышленникам практически даром. Нужно только знать, где посмотреть.
Давайте обсудим ключевые моменты защиты файлов от посторонних глаз.
Безопасность через неясность — плохая защита
В современном цифровом пространстве нельзя полагаться на удачу. Конечно, вероятность того, что какой-то хакер заинтересуется конкретным пользователем или даже конкретной компанией, довольно мала. Но дело в том, что потенциальные жертвы часто ищутся не вручную, а автоматизированно, с помощью специального вредоносного софта, а порой на руку злоумышленникам могут сыграть и сервисы, разработанные в помощь рядовым пользователям. Современные поисковики как раз из числа таких сервисов.
Нередко поисковики сканируют облачные хранилища и индексируют те файлы, которые выложены с доступом по ссылке. Так что, если вы делитесь с коллегами прямой ссылкой на документ, поисковики могут этот документ обнаружить, а значит, его содержимое окажется в общем доступе.
Может показаться, что сгенерированный уникальный адрес файла — достаточно надежная защита, ведь такую последовательность символов подобрать непросто. Однако не стоит полагаться на то, что посторонние не знают, где именно лежат ваши данные. Такой принцип называется «безопасность через неясность», и применять его не рекомендуется. Если вы оставляете техническую возможность найти ваши документы, то будьте готовы к утечке. Это как если бы вы прятали ключ от квартиры под ковриком. Вы ведь так не делаете, правда?
Как работают запросы в Google
Большинство поисковых систем имеют встроенный язык запросов, который позволяет обрабатывать не только простые строковые запросы, но и запросы со специальными операторами (site:, inurl:, intext: и т.д.).
Например, если вы наберете в поисковой строке «site:hitecher.com утечка данных», то найдете все статьи на нашем сайте, которые связаны с утечками данных. Это довольно удобный инструмент, который позволяет сделать поиск более точным. Однако иногда подобные запросы позволяют найти информацию, которая не предназначена для всеобщего обозрения.
Запросы, которые позволяют получить доступ к случайно проиндексированным закрытым страницам, называют Google-хаками. С помощью таких Google-хаков можно найти абсолютно любую информацию, которую владельцы сайтов по неосторожности забыли закрыть для индексирования. Под угрозой могут оказаться списки паролей, аналитические данные, служебные страницы, настройки серверов и многое другое.
Портал exploit-db.com с 2003 года ведет учет таких уязвимостей в отдельной базе. На сегодняшний день на сайте собрано 4827 Google-хаков.
Со временем некоторые записи в базе теряют актуальность, так как нерадивые владельцы сайтов исправляют настройки серверов и обновляют скомпрометированные данные.
Как защитить документы?
Причина подобных утечек — в беспечности пользователей и владельцев сайтов. По умолчанию любой поисковик проиндексирует все, что только найдет. Пользователи должны сами заботиться о том, чтобы закрыть свои данные для индексации.
Для того чтобы защитить файлы от индексации, нужно либо не хранить их по прямой ссылке, либо требовать авторизации для доступа к данным.
Еще один, менее надежный способ заключается в настройке файла robots.txt, в котором прописаны правила индексирования для конкретного сайта. Вы можете прописать запрет на индексирование файлов и каталогов. Проблема в том, что придется положиться на честность поискового робота, а между тем некоторые алгоритмы игнорируют предписания из файла robots.txt.
Четвертый способ — надеяться, что поисковик не проиндексирует вашу ссылку на файл, как мы уже сказали, не работает.
Главный совет для тех, кто хочет защитить свои файлы: прежде чем открыть доступ по ссылке, всегда проверяйте, нет ли в файле чувствительных данных, не предназначенных для посторонних глаз.
Пометки вроде «для служебного пользования» или «секретно» — отличное подспорье хакерам для поиска действительно важной информации среди проиндексированных документов. Для большей безопасности стоит избегать подобных пометок или, например, использовать свою нестандартную систему обозначений.
Если вы работаете над каким-то документом в облаке, то лучше приглашать коллег для совместного редактирования через email, а не по прямой ссылке. Кроме того, стоит ограничить список сотрудников, которые могут приглашать к редактированию других людей.
Облачные системы очень удобны для совместной работы, но надо помнить, что именно на подобные сервисы и направлено особенное внимание хакеров. Для действительно важных корпоративных данных может быть оправдана дорогостоящая, но надежная внутренняя система работы с документами.
Не стоит забывать и о надежных паролях, ведь многие до сих пор используют в качестве пароля дни рождения и имена своих близких, что не сильно лучше пароля «12345». Для дополнительной защиты можно настроить двухфакторную аутентификацию.
И еще один хороший совет: составляйте документы так, чтобы они не нанесли урон репутации компании, даже если попадут в открытый доступ.
Проверить, насколько хорошо вы защитили свои данные, можно с помощью специального чек-листа.
Поделитесь этим с друзьями!
Будьте первым, кто оставит комментарий
Пожалуйста, авторизируйтесь для возможности комментировать