你今天 Google 了沒？

最近，Google 成了網路界的熱門話題。從四月一日愚人節公告推出 1GB 大小的免費電子郵件信箱，迫使其他廠商跟進之外，隨後也提出 IPO 的計畫。順利的話，也許七月就可正式在 NASDAQ 展開交易。Google 號稱可搜尋網路上高達 4.3 億個網頁，現也將事業版圖拓展至搜尋技術以外的領域，如線上購物，新聞內容，數字搜尋，甚至是圖案搜尋。因為眼光向來又快又準，Google很快就搖身變成網路使用者的最愛。
在 Al-Qaeda 的訓練手冊中，有這麼一段話：「使用合法手段獲得的公開資訊可能涵蓋了解敵人所需資訊的百分之八十」。舉個例子來說，當美國國防部面臨重大決策之前，週遭的外賣店通常生意會比平常好很多，因為加班而必須在辦公室用餐的人數增多，有心人士即可以此推斷出明天可能有重大事件發生。
資訊安全範疇亦是，不少惡意人士可利用Google上的公開資訊，收集有利破壞的武器，而企業內部機密資料不小心外洩也是經常發生的安全危機之一。CNET近期推出的專題報導已有相當程度關於企業機密外洩的介紹。本文要談論的則是經由網路上公開的搜尋引擎所造成的資訊外洩問題。
搜尋引擎另類利用法
諸如 Google 之類的搜尋引擎本是為了提供使用者在網海中，更快速且有效率的尋找所需的資料。在Google這類搜尋業者所有的資料庫中，已儲存的資料並不是天上掉下來的禮物，而是使用所謂的搜尋機器人 (search robot) 按照特定順序或方式，爬遍網路上所有可能出現的網頁位址，同時依照每個網頁裡面所包含的其他 超連結（hyper links），再一步步延伸擴張搜尋版圖。
之後，機器人所抓取的資料會再存入資料庫公開提供給予一般使用者進行搜尋。之所以以 Google說明搜尋引擎可能的秘密危機， 乃是Google的搜尋服務完整，除了網頁搜尋以外，還有許多更為開放的搜尋語法。在此情況下，對一般企業而言，什麼樣的資料可能在機器人抓資料的過程中遭到洩漏或曝光呢？以下簡單歸類幾個常見可能：

• 個人識別資料
  不要懷疑！筆者就曾經利用 Google 搜尋引擎，找到一個gov.tw 網站的個別網頁，其中包含數百人的姓名、生日、身分證字號、地址以與聯絡電話，這種不小心洩漏資訊的政府網站還不只一個。雖然跟日前爆發的]一千五百萬筆個人資料外洩案相比，還算是是小巫見大巫，但是不得不令人正視，經由搜尋引擎可能導致的資料外洩的可能性。除個人識別資料之外，還可能會有個人的金融帳號密碼，或是較為敏感的機密資料遭到曝光。
  


• 機密文件
  這裡所指的「機密文件」泛指原是要給公司內部員工所使用或觀看的文件，因為設計不當，而被搜尋引擎抓到，繼而成為網路上「公開的」資訊。這些資訊有可能是內部備忘錄、尚未發行的新聞稿、設計文件，或是其他可被企業認定為應保護數位資產的文件。這些文件可能因為有人貪圖一時便利而放置網站上供其他同事存取，但忽略可能被 Google 找到而曝光的可能性。
  


• 軟體漏洞
  另外，一般軟體的安全瑕疵也可經由 Google 搜尋而露餡。例如，潛在的 SQL Injection 可以利用搜尋錯誤訊息而被找到，另如 Outlook Web Access，由於可容許使用者未經認證瀏覽其中的檔案夾，也容易造成安全漏洞。
  


• 應用程式
  利用 Google，使用者還是可以找到一些本來並未打算開放給予外界使用者的程式或是使用者介面。有時候可能是因為測試用，有時候可能是設定不良。例如，有些 Terminal Server Web Client 就經常毫不設防得暴露於 網路之上，透過搜尋引擎就可以輕鬆取得。此外，一些客製化的管理介面與應用程式也可能一時不察就讓外人一覽無遺。
  還有一些其資料可透過 Google 找到，但對企業的傷害能力可能較低。究竟造成這類安全事件發生的原因是什麼？我想，這類事件發生的原因大多集中在人為疏失，而非軟、硬體產品本身的弱點。以下是幾個常見的問題點：
  


• 設定錯誤
  不論是有意無意，某些 Web 伺服器管理者對於設定工具就是缺乏警覺心，他們可能以為網站若有使用 SSL 加密，就大方開放容許外人瀏覽網站目錄結構的選項，或者是本來應該只限於內部網站使用的功能，未經設定與檢查就意外接受外部使用者的存取，當然，管理員也一樣沒有意識到如何防止搜尋引擎進入未經許可的地方搜羅資料。
  


• 流程疏失
  還有一種情況可能是網頁管理員因為某些需求，而將那些必須被保護的資料放在公開網站上，以便於暫時性的資料交換或是完成其他目的，但是最後工作結束，卻忘記將資料給刪除乾淨。通常此種情況顯示企業內部對於網頁更新流程並未嚴加控管，已導致此種情事發生，這也是企業機密資料意外曝光的常見原因。
  

從上述幾種可能情況判斷，企業內部若要預防資料外洩到網路搜尋引擎中，可有以下幾種作法：

內部訓練與控管
首先，企業必須建立所有員工的正確知識，使其了解搜尋引擎的利與弊，同時加強稽核企業內容管理流程，讓員工了解資訊傳遞的正確方式。此外，也應對網站管理者施以相關的教育訓練，讓他們知道正確的防衛方式。其實，各一個搜尋引擎業者都有對外介紹如何限制搜尋引擎的可行行動。

外部稽核與檢討
教育與流程管理之外，企業還可利用一些自動化的工具，例如 Gooscan、 SiteDigger 或是 Athena 等，定時定期替企業資料的流失狀況進行稽核，資訊安全領域慣常使用的弱點管理、掃描等工具或服務，也有助於找出網站設定疏失，或是Web化應用程式的潛在弱點等已知問題。
網路搜尋引擎除幫助使用者快速方便的取得所需資訊外，也逐漸成了資料外洩的另一個可能管道，要防止自己的資料外流，唯有依靠內外兼具的安全策略才可能阻止資安事件的發生。一定要審慎考量，那你今天 Google 了沒？