Atacantes encuentran uso para Google Code Searchhttp://www.vsantivirus.com/ws-16-10-06.htmPor Wilson Salazarhttp://code.google.com/) examina líneas de código cada vez que encuentra archivos con código fuente en Internet. Esto puede hacer que los desarrolladores busquen directamente código fuente y desentierren herramientas de código abierto sobre las cuales no tenían conocimiento."La desventaja es que usted podría utilizar también esa clase de búsqueda para encontrar las cosas que son vulnerables y entonces conjeturar quién pudo haber utilizado ese fragmento de código y dirigir un ataque directo a él," dijo Mike Armistead, vicepresidente de productos de Fortify Software.Los atacantes podrían también buscar código con vulnerabilidades en los mecanismos de contraseñas, o frases dentro del software tal como "este archivo contiene propietario", desenterrando posiblemente el código fuente que nunca debió haber sido anunciado en Internet. Expertos en seguridad dicen que las implicancias de seguridad de Google Code Search, son por lo menos dignas de mención, si no trascendentales.Si bien es cierto que hackers experimentados ya pueden hacer este tipo de búsquedas con el motor Web de Google, Code Search es "otra herramienta que hace esto un tanto más fácil para el atacante," dijo Johnny Long, un investigador de seguridad.Por su parte, Google no tiene mucho que decir acerca del posible mal empleo de su nuevo producto. "Google recomienda que los desarrolladores utilicen buenas prácticas de codificación, que son generalmente aceptadas, incluyendo entender las implicaciones del código que ponen en ejecución y probándolo apropiadamente," dice la compañía.Google nunca ha dicho mucho sobre los pasos que toma para reducir esta clase de uso erróneo de su motor de búsqueda, aunque el asunto surge de vez en cuando. En julio, Websense utilizó una capacidad poco conocida de la búsqueda binaria dentro del motor de búsqueda de Google para localizar un malware en Internet.Mientras Google Code Search puede que probablemente no tenga mucho efecto sobre proyectos populares de código abierto, que ya son exhaustivamente escudriñados, podría ayudar a evidenciar las vulnerabilidades en porciones menos conocidas de código, según Lev Toger, un desarrollador de software de Beyond Security."Utilizando la búsqueda de código de Google, es mucho más fácil encontrar las porciones interesantes de código," dice él. "Si su tarea es encontrar vulnerabilidad en algún código aleatorio, este filtro puede ahorrarle mucho tiempo"Relacionados:Google Code Searchhttp://code.google.com/Fuente:Hackers find use for Google Code Searchhttp://www.ictworld.co.za/EditorialEdit.as...itorialID=27308
Autor
Tema: Google Code Search (Leído 1273 veces)
