Una funzionalità poco conosciuta del famoso motore di ricerca Google ha aiutato l'azienda di sicurezza Websense a scoprire migliaia di siti web maliziosi, e numerosi altri siti legittimi presi di mira dai cybercriminali, lo ha segnalato Websense stessa qualche giorno fa.

Sfruttando le capacità di binary search di Google, Websense ha creato nuovi strumenti software in grado di scovare i codici malware tramite il motore di ricerca. I ricercatori di Websense hanno "googlato" le stringhe di testo incluse ed utilizzate in codici nocivi conosciuti, come i worm Bagel e Mytob, e hanno scoperto, solo durante il mese scorso, circa 2.000 siti web nocivi, lo ha rivelato Dan Hubbard, senior director of security and research presso Websense.

Sebbene Google sia largamente utilizzato per effettuare ricerca internet di pagine web e documenti office, il potente motore della società di Mountain View è anche capace di "sbirciare" le informazioni binarie, normalmente illeggibili, incluse nei file eseguibili che vengono eseguiti dai computer Windows-based. "Praticamente [il motore di Google] guarda all'interno di un eseguibile e ne indicizza le informazioni", commenta Hubbard

Hubbard e il suo team prevedono di condividere il loro codice di ricerca malware Google-based con un gruppo selezionato di ricercatori di sicurezza, ma non renderanno questo software pubblico, in modo da non rischiare che il tool possa essere usato in maniera impropria dai "bad guys" (i cybercriminali). Gli autori di virus, per esempio, potrebbe usare il software messo a punto da Websense per cercare comodamente worm e virus da usare nei loro attacchi. Hubbard spiega: "invece di acquistarli (i codici d'attacco) sul mercato nero, (un attacker) potrebbe cercarli e scaricarli autonomamente".

Alcuni blogger avevano già precedentemente evidenziato che i cybercriminali avrebbero potuto manipolare la funzionalità di binary search per ingannare gli utenti di Google inducendoli a scaricare software nocivo. I malintenzionati potrebbero infatti aggiungere termini comuni di ricerca nei loro codici nocivi in modo che questi ultimi siano inclusi nel risultati del motore di ricerca, e per esempio, siano mostrati accanto a siti legittimi.

Secondo un portavoce di Google, l'azienda ha già rilevato questo tipo di tecnica, anche se solo "sporadicamente", e comunque sta lavorando costantemente per proteggere gli utenti da questo tipo di software nocivo. Questo tipo di attacco non può essere condotto con successo senza interazione da parte dell'utente, che deve cliccare sulla classica finestra di richiesta Windows per confermare l'esecuzione di codice sul proprio sistema. Questo, secondo Johnny Long, un ricercatore di scurezza di Computer Sciences, è qualcosa che gli utenti sono in grado di evitare. "Ritengo che l'inganno di 'indurre il browser a lanciare un file eseguibile' è troppo vecchio", afferma Long, che tra l'altro è l'autore di un libro intitolato "Google Hacking for Penetration Testers". "Ci sono attacchi ben più sofisticati di cui preoccuparsi".

Secondo Long l'aspetto più interessante della capacità di binary search di Google non è comunque rappresentato dalle implicazioni sulla sicurezza. Questa funzione mostra che Google potrebbe star pianificando un servizio di file searching. "C'è questo bendiddio di file in giro che Google non sta sfruttando … Questo indica che il colosso si sta espandendo su più strade e che probabilmente eseguirà il crawling di più contenuti rispetto a quelli che vediamo ora".