最近,Google 成了网络界的热门话题。从四月一日愚人节公告推出 1GB 大小的免费电子邮件信箱,迫使其它厂商跟进之外,随后也提出 IPO 的计划。顺利的话,也许七月就可正式在 NASDAQ 展开交易。Google 号称可搜寻网络上高达 4.3 亿个网页,现也将事业版图拓展至搜寻技术以外的领域,如在线购物,新闻内容,数字搜寻,甚至是图案搜寻。因为眼光向来又快又准,Google很快就摇身变成网络使用者的最爱。
在 Al-Qaeda 的训练手册中,有这么一段话:「使用合法手段获得的公开信息可能涵盖了解敌人所需信息的百分之八十」。举个例子来说,当美国国防部面临重大决策之前,周遭的外卖店通常生意会比平常好很多,因为加班而必须在办公室用餐的人数增多,有心人士即可以此推断出明天可能有重大事件发生。
信息安全范畴亦是,不少恶意人士可利用Google上的公开信息,收集有利破坏的武器,而企业内部机密数据不小心外泄也是经常发生的安全危机之一。CNET近期推出的专题报导已有相当程度关于企业机密外泄的介绍。本文要谈论的则是经由网络上公开的搜寻引擎所造成的信息外泄问题。
搜寻引擎另类利用法
诸如 Google 之类的搜寻引擎本是为了提供使用者在网海中,更快速且有效率的寻找所需的数据。在Google这类搜寻业者所有的数据库中,已储存的数据并不是天上掉下来的礼物,而是使用所谓的搜寻机器人 (search robot) 按照特定顺序或方式,爬遍网络上所有可能出现的网页地址,同时依照每个网页里面所包含的其它超级链接(hyper links),再一步步延伸扩张搜寻版图。
之后,机器人所抓取的数据会再存入数据库公开提供给予一般使用者进行搜寻。之所以以 Google说明搜寻引擎可能的秘密危机,乃是Google的搜寻服务完整,除了网页搜寻以外,还有许多更为开放的搜寻语法。在此情况下,对一般企业而言,什么样的数据可能在机器人抓数据的过程中遭到泄漏或曝光呢?以下简单归类几个常见可能:
个人识别资料
不要怀疑!笔者就曾经利用 Google 搜寻引擎,找到一个gov.tw 网站的个别网页,其中包含数百人的姓名、生日、身分证字号、地址以与联络电话,这种不小心泄漏信息的政府网站还不只一个。虽然跟日前爆发的]一千五百万笔个人资料外泄案相比,还算是是小巫见大巫,但是不得不令人正视,经由搜寻引擎可能导致的数据外泄的可能性。除个人识别数据之外,还可能会有个人的金融账号密码,或是较为敏感的机密数据遭到曝光。
机密文件
这里所指的「机密文件」泛指原是要给公司内部员工所使用或观看的文件,因为设计不当,而被搜寻引擎抓到,继而成为网络上「公开的」信息。这些信息有可能是内部备忘录、尚未发行的新闻稿、设计文件,或是其它可被企业认定为应保护数字资产的文件。这些文件可能因为有人贪图一时便利而放置网站上供其它同事存取,但忽略可能被 Google 找到而曝光的可能性。
软件漏洞
另外,一般软件的安全瑕疵也可经由 Google 搜寻而露馅。例如,潜在的 SQL Injection 可以利用搜寻错误讯息而被找到,另如 Outlook Web Access,由于可容许使用者未经认证浏览其中的档案夹,也容易造成安全漏洞。
应用程序
利用 Google,使用者还是可以找到一些本来并未打算开放给予外界使用者的程序或是使用者接口。有时候可能是因为测试用,有时候可能是设定不良。例如,有些 Terminal Server Web Client 就经常毫不设防得暴露于网络之上,透过搜寻引擎就可以轻松取得。此外,一些客制化的管理接口与应用程序也可能一时不察就让外人一览无遗。
还有一些其数据可透过 Google 找到,但对企业的伤害能力可能较低。究竟造成这类安全事件发生的原因是什么?我想,这类事件发生的原因大多集中在人为疏失,而非软、硬件产品本身的弱点。以下是几个常见的问题点:
设定错误
不论是有意无意,某些 Web 服务器管理者对于设定工具就是缺乏警觉心,他们可能以为网站若有使用 SSL 加密,就大方开放容许外人浏览网站目录结构的选项,或者是本来应该只限于内部网站使用的功能,未经设定与检查就意外接受外部使用者的存取,当然,管理员也一样没有意识到如何防止搜寻引擎进入未经许可的地方搜罗数据。
流程疏失
还有一种情况可能是网页管理员因为某些需求,而将那些必须被保护的数据放在公开网站上,以便于暂时性的数据交换或是完成其它目的,但是最后工作结束,却忘记将数据给删除干净。通常此种情况显示企业内部对于网页更新流程并未严加控管,已导致此种情事发生,这也是企业机密资料意外曝光的常见原因。
从上述几种可能情况判断,企业内部若要预防数据外泄到网络搜寻引擎中,可有以下几种作法:
内部训练与控管
首先,企业必须建立所有员工的正确知识,使其了解搜寻引擎的利与弊,同时加强稽核企业内容管理流程,让员工了解信息传递的正确方式。此外,也应对网站管理者施以相关的教育训练,让他们知道正确的防卫方式。其实,各一个搜寻引擎业者都有对外介绍如何限制搜寻引擎的可行行动。
外部稽核与检讨
教育与流程管理之外,企业还可利用一些自动化的工具,例如Gooscan、SiteDigger或是 Athena 等,定时定期替企业数据的流失状况进行稽核,信息安全领域惯常使用的弱点管理、扫描等工具或服务,也有助于找出网站设定疏失,或是Web化应用程序的潜在弱点等已知问题。
网络搜寻引擎除帮助使用者快速方便的取得所需信息外,也逐渐成了数据外泄的另一个可能管道,要防止自己的数据外流,唯有依靠内外兼具的安全策略才可能阻止资安事件的发生。一定要审慎考虑,那你今天 Google 了没?
