Saugumo specialistai įspėja: „Google Code Search“ – grėsmė saugumui. Nuo tada kai „Google“ atidarė savo įrankį (kodo paiešką) plačiai visuomenei, visi suinteresuoti internautai gali peržiūrėti įvairius kodo fragmentus bei visą kodą iš milžiniškos duomenų bazės. Taip pat jie gali ieškoti tam tikrų kodo vietų pagal reguliarias išraiškas (regular expressions). Pavyzdys – „lang:php (echo|print).*\$_(GET|POST|COOKIE|REQUEST)“.
„Google“ sakė, kad kodo paieška - tai pagalba programuotojams rasti norimus kodo pavyzdžius ir neaškias funkcijas, o ne saugumo skyles.
„Google rekomenduoja kūrėjams naudotis patirtimi - įskaitant kodo supratimą bei testavimo būtinybę.“ – teigiama „SecurityFocus“.
Taip, tiesa, kad programuotojai galės greitai išplėsti „įdomių kodo vietų“ paiešką. Paprasta „todo +security“ užklausa atskleidžia daugybę programų, kurios turi nepabaigtų vietų, kurios gali kelti grėsmę saugumui. Ieškant failų su „confidential +proprietary“ gali pateikti kodą, kuris buvo klaidingai pataisytas. Ieškant funkcijos „get‘s“ – galima surasti nesaugių kodo vietų, kurios gali būti atminties perpildimo priežastimi, teigė Veracode Wysopal.
„Tai lyg duotume kiekvienam teleskopą“ sakė jis. „Tai leidžia pamatyti daugiau. Tikėkimės, kad tai bus panaudota geriems tikslams“.
Gynyba prieš galimus kodo paieškos panaudojimus ieškant saugumo spragų nėra lengva, sakė Johnny Long.
Programuotojams reikia daugiau išprusti, kad jie žinotų kas yra pavojinga, o kas – ne. „Programuotojai nėra motyvuoti naudoti kodo bibliotekas, siekiant išvengti negerų funkcijų bei technikos, tai nėra paskatinimas rašyti saugų kodą“ – teigė Long.
Saugumo tyrinėtojai taip pat nerimauja, kad dėl lengvai ieškomo ir peržiūrimo kodo, gali ateiti laikas, kai tyrinėtojai galės vienu žingsniu pralenkti kūrėjus. Programuotojai laikinai turėtų tiesiog pabandyti paslėpti kodą nuo „Google“, pridūrė Long.
„Kiekviena nauja technologija leidžia atrasti naujus atakavimo būdus“, pasakojo Long. „Svarbesnis klausimas yra toks - ar geri vaikinai pirmi atras skyles?“
