O Google ofereceu aos hackers, inadvertidamente, uma nova ferramenta para seus ataques. O novo mecanismo de busca de códigos da companhia, lançado na quinta-feira (05/10) como uma ferramenta para simplificar a vida dos desenvolvedores, também se provou uma arma útil para procurar falhas em softwares, informações de senhas e até código proprietário, que não deveria sequer estar postado na internet, disseram especialistas em segurança na sexta-feira.

Ao contrário do buscador principal do Google, o Google Code Search pesquisa nas próprias linhas de código ao encontrar arquivos que contenham código fonte na web. Isto pode ajudar os desenvolvedores a encontrarem códigos diretamente e localizar programas de código aberto que sequer sabiam existir, mas também um lado negativo.

“O problema é que você pode usar esse tipo de busca para procurar pontos vulneráveis e depois imaginar quem usou aquele código e atacar”, disse Mike Armistead, vice-presidente de produtos da analista de código fonte Fortify Software.

Os criminosos também podem procurar por brechas nos sistemas de senha e encontrar softwares proprietários, que nem deveriam estar postados na internet. Os especialistas em segurança afirmam que tais implicações do Google Code Search são dignas de menção, pra não dizer alarmantes.

“Hackers habilidosos podem já estar fazendo esse tipo de busca no site tradicional do Google, mas o Code Search é “mais uma ferramenta que facilita a vida do criminosos”, disse Johnny Long, pesquisador de segurança da Computer Sciences, em uma entrevista por e-mail.

Por sua parte, o Google não tem muito a dizer sobre o mau uso da ferramenta. “O Google recomenda que os desenvolvedores utilizem as práticas comumente aceitas dos códigos, incluindo o entendimento do código que aplicam e testes apropriados”, disse a empresa, em um comunicado.

O Google nunca revelou quais são as medidas tomadas para coibir este tipo de mau uso da sua tecnologia, embora de tempos em tempos este tipo de questão venha à tona. Em julho, a Websense usou uma pouco conhecida capacidade de busca binária do Google para procurar por códigos maliciosos na web.

Embora provavelmente não tenha um grande impacto nos projetos de código aberto, que já são amplamente monitorados, a nova ferramenta do Google pode ajudar a localizar falhas em pedaços menos conhecidos de software, segundo Lev Toger, desenvolvedor de software da Beyond Security.

O diretor de novos negócios da Batori Software & Security, Denny Roger, aponta que uma simples busca por palavras-chave, como "Request.QueryString" ou "password", pode listar resultados que dão conhecimento para que crackers programem ferramentas que quebrem senhas de acesso ou baixem o conteúdo inteiro de um site.

Segundo Roger, o ataque pode ser classificado como assustador por dar acesso a usuários ordinários para bancos de dados com informações sigilosas das empresas com uma simples busca, mesmo que as informações estejam protegidas por ferramentas de segurança, por meio de uma ação conhecida como "bugle".

Por meio de sistemas comuns de procura, crackers podem combinar termos de busca até que a lista de resultado traga informações sobre potenciais falhas de segurança. A introdução do Code Search facilita os ataques por "bugle", segundo Roger, já que é voltado especificamente para achar códigos online.