Na získanie dôverných vládnych informácií bolo kedysi nutné ovládať umenie špionáže alebo sa skutočne dobre vyznať v dobýjaní počítačových sietí. Dnes na to s trochou šťastia stačí vedieť správne používať Google.
Internetové vyhľadávače sa totiž za posledných pár rokov tak zlepšili, že objavili a zaradili do svojich katalógov aj tisícky dokumentov, ktoré pôvodne vôbec neboli určené verejnosti. Autori ich umiestnili na internet buď omylom, alebo do adresárov s utajenými názvami, ktoré nemali byť nikdy prezradené. Mnohí sa totiž mylne domnievajú, že ak na súbor nezverejnia priamy odkaz na svojej stránke, nikto sa o jeho existencii nemôže dozvedieť.
Na internete tak dnes možno nájsť napríklad kompletné zoznamy zákazníkov niektorých firiem vrátane bánk s číslami kreditných kariet, podrobné finančné výkazy veľkých spoločností v zabudnutých excelovských súboroch a najmä obrovské množstvo údajov o bezpečnosti systémov či heslá, ktoré možno použiť na ďalší prienik do počítačových sietí.
"Ide o desiatky tisícok stránok, ktoré sú takto dostupné," povedal denníku Washington Post "hackerský veterán" Johnny Long. Ďalší počítačový expert Chris O'Ferrell jeho redaktorom predviedol, ako rýchlo možno len vyťukaním pár slov do Google na internete nájsť napríklad súbory s podrobnou informáciou o umiestnení všetkých amerických vojnových lodí alebo tisícky zdravotných záznamov a ďalších osobných informácií štátnych zamestnancov. Na obrazovke sa objavil dokonca súbor jednej z amerických vládnych inštitúcií so zoznamom podozrivých, ktorí by mali mať prepojenie na al-Káidu, vrátane ich dátumov narodenia a čísel osobných dokladov.
Podľa O'Ferrella na tieto údaje nenarážajú len bezpečnostní experti, ale "existuje celá (hackerská) subkultúra, ktorá sa tým zaoberá". Na internete existuje niekoľko stránok, ktoré ponúkajú podrobné návody, ako použiť bežné vyhľadávače na objavenie utajených súborov, najznámejšou je johnny.ihackstuff.com.
Drobná chyba s obrovskými dôsledkami
Základnou pátracou technikou je vyhľadávanie súborov, ktoré nie sú priamo webovými stránkami, ale majú prípony bežne používaných dokumentov - napríklad .doc pre textové dokumenty či .xls pre dáta z Excelu. Tieto dokumenty niekedy ponúkajú webstránky na stiahnutie zámerne, inokedy si ich však len "zabudnú" na počítači pripojenom na internet.
Veľmi efektívne je spojiť túto metódu s pátraním po výpisoch obsahu adresárov. Pri surfovaní na webe často nezadávame presné adresy dokumentov, ale len cestu k adresáru, kde sa nachádzajú (napríklad www.sme.sk/pocitace/ ) - server nám potom automaticky ponúkne prednastavený úvodný dokument, ktorý sa väčšinou volá index.htm alebo default.htm. Ak takýto súbor neexistuje, mal by počítač zobraziť iba hlásenie o chybe. Mnohé internetové servery sú však nesprávne nastavené tak, že zobrazia kompletný výpis súborov v adresári - sprístupnené sú tak aj tie, na ktoré nikde na stránke nie je odkaz a mali zostať utajené. Pre ich vyhľadanie stačí do vyhľadávača jednoducho zadať spojenie "Index of".
Ďalšou metódou, ktorá sa s predchádzajúcimi zväčša kombinuje, je vyhľadávanie špecifických kľúčových slov. Napríklad prostredníctvom anglickej frázy "Vyberte si databázu, ktorú mám zobraziť" sa dá objaviť prístup do niekoľkých kompletných databáz vytvorených v programe FileMaker Pro určenom pre začiatočníkov, ktorí často svoju databázu zabudnú ochrániť heslom.
Podobným spôsobom môžu hackeri dokonca priamo získať aj presný návod, kde má ten-ktorý systém slabiny - programy na kontrolu bezpečnosti serverov totiž správy o odhalených chybách často uložia práve do špeciálneho adresára na kontrolovaný server.
Zaujímavé výsledky sa dajú dosiahnuť aj jednoduchým vyhľadávaním fráz ako "Nie je určené na zverejnenie", "Celková suma" (signalizuje účtovné výkazy) či skratiek ako "cc" (kreditné karty) v kombinácii s predchádzajúcimi metódami, najmä s vyhľadávaním dokumentov v Exceli.
Hádaj, ako myslím
Najjednoduchšou metódou objavovania neverejných dokumentov je jednoducho ich adresu uhádnuť. Mnohé firmy totiž dokumenty iba číslujú (napríklad aj webová stránka SME), alebo im dávajú názvy na základe aktuálneho dátumu. Pridaním pár číslic k poslednému verejnému odkazu tak možno s trochou šťastia naraziť na údaje, ktoré sú na stránke ešte len pripravené na zverejnenie. Túto metódu s obľubou využívajú napríklad novinári - koncom roku 2002 redaktor Reuters takto objavil na webovej stránke švédskej firmy Intentia jej štvrťročné hospodárske výsledky a agentúra ich zverejnila hodinu predtým, ako to plánovala urobiť sama firma. Tá sa jej odvďačila trestným oznámením s obvinením, že redaktori prenikli do jej vnútorného počítačového systému. Reuters sa však ubránil tvrdením, že dokumenty boli verejne prístupné cez internet bez nutnosti zadať akékoľvek heslo, či sa na stránku zámerne dobýjať.
Práve skutočnosť, že "hackovanie cez Google" by pravdepodobne nemalo byť nelegálne, spôsobuje jeho mimoriadnu obľubu medzi ľuďmi s nadbytkom zvedavosti a voľného času.
Prevencia pred ich zvedavosťou je pritom jednoduchá - každý majiteľ webovej stránky môže sliedeniu ľahko zabrániť, ak strávi pár minút správnym nastavovaním svojho servera. Ak sa totiž už jeho dokumenty raz dostanú do vyhľadávačov, dostať ich odtiaľ preč je takmer nadľudská úloha. Viaceré služby, Google či Archive.org, totiž uchovávajú kópie všetkých nájdených dokumentov, a tak nepomôže ani ak citlivé údaje hneď zmažete. Nezostáva nič iné, ako začať vypisovať do jednotlivých vyhľadávačov listy a presvedčiť ich, aby vaše stránky zo svojej databázy odstránili.
Ako sa brániť
* Neukladajte na počítač (server), kde máte internetové stránky, žiadne dôverné dokumenty - v žiadnom prípade sa nespoliehajte na to, že sa ich adresu nikto nedozvie.
* Vaša webová stránka by už od jej vzniku mala obsahovať súbor robots.txt, ktorý vyhľadávače informuje, ktoré časti stránky môžu a ktoré nesmú prezerať. Rady, čo by mal súbor obsahovať, nájdete na www.robotstxt.org .
* Overte si, aké dokumenty z vašej stránky sa nachádzajú v najznámejších vyhľadávačoch. V Google stačí zadať príkaz "site" s názvom svojej stránky (napríklad "site:sme.sk" zobrazí všetky indexované dokumenty zo stránky sme.sk).
* Ak máte premyslený systém na pomenovávanie nových súborov, myslite na to, že niekoho určite napadne "pohrať" sa s adresami a bude sa snažiť uhádnuť napríklad adresy testovacích verzií stránky alebo najnovších dokumentov. Opäť platí, že utajenie adresy nikdy nesmie byť jediným spôsobom ochrany dokumentu.
* Ak sa vo vyhľadávači predsa objavil váš dokument, ktorý ste nechceli sprístupniť, postupujte podľa návodu na www.google.com/webmasters/3.html#removed a www.google.com/remove.html , stránky budú zmazané pri najbližšej návšteve vášho servera vyhľadávačom. Ak ide o skutočne citlivé dokumenty, môžete požiadať o zmazanie aj okamžite.
