Феномен «Google-доркинга»: как иранец взломал плотину в Нью-Йорке при помощи поисковика Статьи редакции

В четверг 24 марта жителя Ирана Хамида Фирузи (Hamid Firoozi) обвинили во взломе компьютерных систем плотины в 30 километрах от Нью-Йорка. По данным газеты The Wall Street Journal, иранец использовал метод «Google-доркинга» для поиска уязвимостей, поэтому ряд СМИ посчитал Google частично виновным во взломе из-за предоставления такого сервиса. На самом же деле «Google-доркинг» — это всего лишь метод использования Google, доступный каждому, но им действительно часто пользуются хакеры.

Вместе с Хамидом Фирузи Минюст США вынес обвинения ещё шестерым хакерами. Об этом власти объявили на специальной пресс-конференции, представив дело как показательное.

В Минюсте заявили, что злоумышленники работали в некоторых иранских компьютерных компаниях, имевших отношение к правительству Ирана. В основном хакеров обвинили во взломе банковских систем и отключении сайтов банков: их жертвами стали 46 человек, а общие потери с 2001 по 2013 год составили десятки миллионов долларов.

Никто из хакеров не находился на территории США, и экстрадиции из Ирана в Штаты не существует, поэтому привлечь злоумышленников к ответственности американцы не могут. Однако чиновники утверждают, что цель такого дела — намекнуть хакерами, что за ними следят, даже несмотря на то что они находятся на другом конце земного шара, и что их могут арестовать, если они покинут страну.

Атаки на финансовый сектор не являются чем-то новым, а вот то, чем занимался Хамид Фирузи, привлекло особое внимание СМИ. Ему удалось получить контроль над компьютером, с которого отдавались команды плотине, работающей под управлением электронной системы.

Плотина под названием Bowman Avenue Dam находится в 10-тысячном городке Рай Брук в штате Нью-Йорк. Сама плотина крохотная: её створ имеет ширину небольшой комнаты, а перепад высот — всего шесть метров.

Как отмечает New York Times, в основном плотина используется для того, чтобы предотвращать затопление находящихся вниз по склону зданий ручьём Blind Brook в период разлива. Сам мэр Рай Брука Пол Розенберг (Paul Rosenberg) заявил, что выбор хакерами именно этой плотины для взлома странен: в ней нет никакого критического значения для инфраструктуры.

По словам Розенберга, хакеры действительно могли спутать Bowman Avenue Dam в Рай Бруке с плотиной в Орегоне, названной в честь Артура Боумана (Arthur R. Bowman). Она имеет существенно более значительные размеры (244 метра в ширину и 75 метров в высоту) и используется для ирригации местных ферм.

Проникновение Фирузи не принесло никаких плодов: взлом произошёл ещё в 2013 году во время ремонта плотины, когда оборудование было отключено от интернета. Тем не менее Розенберг отметил, что власти должны быть более внимательными при обслуживании объектов инфраструктуры, имеющих доступ к сети.

По словам источника The Wall Street Journal, знакомого с ходом расследования взлома, Фирузи использовал для изучения уязвимостей системы управления плотиной в Рай Бруке так называемый метод «Google-доркинга». Ряд российских изданий спозиционировал этот метод как «доступный инструмент поиска Google», да и сама WSJ обратилась за комментарием к Google так, как будто компания могла иметь мнение о том, как её поиск используется для обнаружения уязвимостей.

По данным WSJ, Фирузи просто искал при помощи Google незащищённые системы — например, находящиеся под управлением CMS с известными уязвимостями, или такие, для авторизации в которых достаточно стандартной пары логина и пароля. Так он и наткнулся на сервер, с которого мог получить управление плотиной.

Суть «Google-доркинга», то есть нестандартного использования Google, в том, чтобы обнаруживать содержимое страниц в интернете, которое нельзя увидеть, просто ходя по ссылкам на сайтах. Google известен своим глубоким индексированием страниц, в том числе тех, которые администраторы забыли скрыть от обнаружения поисковиками — или не озаботились такой мерой безопасности из-за непрофессионализма.

Такие скрытые данные можно получать при помощи запросов к Google, составленных определённым образом. Например, [site:tjournal.ru] вернёт только страницы с определённого домена, при помощи оператора [filetype:] можно искать файлы определённых расширений — например, .doc или .pdf с технической документацией, которые загрузили на сервер, но не собирались делать их публичными. Комбинация [filetype:xls intext:username] может раскрыть содержимое Excel-таблиц с логинами и паролями.

Судя по обстоятельствам дела о взломе плотины, Фирузи сумел найти в описании страниц целевого сервера информацию об использовании определённой системы управления контентом, способ взлома которой был ему известен.

В июле 2014 года ФБР совместно с Министерством внутренней безопасности США выпустило памятку для компаний о том, как следует бороться с феноменом «Google-доркинга». Там отметили, что существуют бесплатные инструменты, которые автоматизируют сканирование сетей при помощи «Google-доркинга», и поэтому представители компаний должны сами тестировать свои системы на предмет проникновения — например, при помощи специалистов из компаний, занимающихся кибербезопасностью.