Тема выпуска: Google — найдется все.
Простой запрос в Google может найти конфиденциальные PDF-документы, а также иные файлы и веб-страницы, не предназначенные для чужих глаз. В середине июля соответствующий поисковый запрос был выложен на Hacker News — и спровоцировал обсуждение того, что еще можно делать с помощью Google.
По иронии судьбы, почти ровно год назад российские пользователи активно искали с помощью «Яндекса» открытые для индексирования файлы сервисов Google Docs и Google Drive. Естественно, что это не первый и не единственный раз, когда злоумышленники могли воспользоваться тем, что поисковики индексируют все, до чего дотянутся.
База данных эксплойтов поисковой строки Google ведется с 2003 года и насчитывает почти 5000 записей, причем в некоторых из них сразу по несколько идей того, как найти то, что не предназначено для чужих глаз.
В целом все просто — чаще всего задействуется поиск по сайту (оператор site), в URL документа (inurl) и в заголовке (intitle). Возможности ограничены лишь фантазией и желаемым вектором атаки — ищут документы, конфигурационные файлы и открытые страницы админских интерфейсов.
Мы написали краткую инструкцию по защите от Google-хаков и простейшему аудиту своих практик по работе с облачными документами.
Вот пятерка рекомендаций:
- Следует быть готовым, что любой документ, выложенный по прямой ссылке, будет найден, скачан и перевыложен. Никогда не полагайтесь на безопасность через неясность.
- Не стоит работать над служебными документами в облаке, но если приходится это делать — проследите, чтобы документ можно было увидеть только определенным лицам. Отдельно проследите за тем, чтобы ни у кого, кроме руководителя проекта, не было прав на приглашение дополнительных авторов.
- Не храните служебные документы в публичных облаках. Например, утечки миллионов паролей были найдены именно сканированием файлохранилищ на предмет открытых баз данных.
- Генерируйте случайные пароли и включите двухфакторную аутентификацию. Это поможет защититься в случае, если хакер нашел страницу входа и пробует простые варианты.
- Пишите документы так, чтобы при выкладке не пострадала репутация компании.
Напоследок, конечно, стоит пожелать лишний раз пройти чек-лист по кибербезопасности.
Также в новостях
- Стартап Илона Маска Neuralink представил свои разработки. Он создал гибкие «нити» для считывания информации из мозга, устройство для их вживления и чип для считывания данных. Тесты уже прошли на обезьянах, людям нейронити вживят во втором квартале 2020 года. Здесь можно посмотреть трансляцию с мероприятия.
- Создатели фотоприложения Prisma Алексей Моисеенков и Арам Харди запустили социальную сеть Capture. Новое приложение использует камеру смартфона и искусственный интеллект для поиска тематических групповых чатов. Личных сообщений в Capture нет.
- Россия заняла первое место по пользованию даркнетом. 11 июля в Tor зашли 600 тысяч россиян, это вдвое больше, чем в средний январский день 2019 года.
+1 к продуктивности
Два инструмента — менеджер задач вроде Wunderlist и система отчетности вроде idonethis способны увеличить продуктивность более чем на 30%, пишет Клэр Хайдар, владелица компании Get Organised Ireland, специализирующейся на трансформации рабочих мест.
Для увеличения производительности труда Клэр использует систему мастер-списка — огромного основного списка дел, который включает в себя несколько других списков, которые можно делегировать, выделить для работы в определенный период или отложить. Здесь детально изложена схема ее работы.
Read later
В середине июля исполняется 50 лет с момента первой высадки человека на Луну. Одни из лучших фотографий в истории человечества — снимки с поверхности. The Guardian объясняет почему, отдельно останавливаясь на технических подробностях фотосъемки в космосе.