MTI

Magyarországon ezres nagyságrendű weboldalt érint a feltárt biztonsági rés

Magyarországon ezres nagyságrendű honlap - köztük webáruházak, közösségi oldalak, banki és levelező rendszerek -, de több androidos alkalmazás is azzal az OpenSSL szoftverrel működik, amelynél a közelmúltban egy veszélyes biztonsági résre hívta fel a figyelmet az amerikai kormány - mondta a Nemzeti Biztonsági Felügyelet (NBF) elnöke.

Zala Mihály kifejtette, az NBF a magánoldalakat nem vizsgálhatja, de az állami, önkormányzati és minősített beszállítói körök által használt weboldalakat felmérve, Magyarországon ezres nagyságrendű oldal lehet érintett. Ez több százezer, de akár 2 millió embert is érinthet. Kifejtette: az OpenSSL egy nyílt forráskódú titkosító szoftver, amelyet az internet oldalaknál a https cím jelez. Általában ez szerepel minden olyan oldalon, ahol be kell regisztrálni, felhasználónevet, jelszót kell megadni. Ugyanakkor felhívta a figyelmet, hogy az ilyen nyílt forráskodú rendszerek problémája, hogy azokat senki sem javítja. Az SSL sebezhetősége már két éve megvan - tette hozzá.

Zala Mihály elmondta, hogy az SSL alkalmazás tanúsítványát a szerver üzemeltetőinek - vagyis a bankoknak, szolgáltatóknak - kell frissíteniük. A felhasználóknak pedig azt javasolják, hogy változtassanak felhasználónevet és jelszót. Az NBF elnöke nagy problémának tartja, hogy az emberek többsége ugyanazt a jelszót használja mindenhol, levelezésnél, bankjánál is. Az SSL sebezhetősége révén akár az internetbankba is be tudnak lépni a támadók. Ezzel kapcsolatban Zala Mihály felhívta a figyelmet, hogy a bankszámláknál általában nem nagy összeget szoktak leemelni, mert az túl feltűnő és lekövethető lenne. Ehelyett kisebb - mondjuk pár száz forintos - összegeket vesznek el, de sok embertől.

Zala Mihály ugyanakkor megjegyezte, hogy a bankok, egyes közösségi oldalak, levelezési rendszerek rögzítik a bejelentkezési helyet, s az eltérő naplófájlról értesítést küldenek fiók tulajdonosának. A széles körben elterjedt programhibára egy hete derült fény. Az amerikai kormány múlt pénteken figyelmeztetett, hogy hackerek a Heartbleed nevű biztonsági rés segítségével megpróbálhatják célzott támadásokkal felmérni a számítógépes hálózatok sebezhetőségét. Larry Zelvin, a minisztériumhoz tartozó Nemzeti Kibernetikai Biztonsági és Kommunikáció-integrálási Központ igazgatója szerint eddig nem történt támadás, de a kibertér rosszindulatú szereplői kihasználhatják a nem frissített rendszereket.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • mx5 kevin #3
    Alapból ezek a „https” oldalak rengeteg mindent kiszivárogtatnak.Tele van ez az egész résekkel nagyon sok minden kiolvasható „https” mellett is.Én ezt magam láttam sniffelés közben.Nem egyenlő azzal mintha egy erős titkosított csatorna lenne két gép között amit nem lehet olvasni.Eu kissé olyan mint a Mártyás király meséjében az egyszeri lány Hoztam is meg nem is.Én pl a Felhasználóneveket röhögve kiolvastam Https melett is amikor az illető bejelentkezett.Ugyan így lehetett látni ki kinek küld és fogad E-maileket.Amúgy nem tudom konkrétan miről beszél de ezen fellül még van egy sütis trükk.A lényege hogy a felhasználó sütieit felhasználva betudunk lépni a facebookjára E-ail fiókjába jelszó felhasználónév nélkül https-mellett.Erről van több oktató videó is részletes kivitelezéssel,lépésről lépésre.
  • lammaer #2
    Ja váltsak jelszót... és honnan tudjam hogy az adott oldalon mostmár a fixált SSL van?
  • drsx #1
    "Ugyanakkor felhívta a figyelmet, hogy az ilyen nyílt forráskodú rendszerek problémája, hogy azokat senki sem javítja."
    Ekkora ökörséget is régen olvastam...