Berta Sándor
Nem sokat érnek az online biztonsági minősítések
A DeepSec nemzetközi biztonsági konferencián immár harmadik alkalommal találkoznak a világ elitjébe tartozó hálózatbiztonsági szakemberek. Az idei fő téma a kémkedés és ellene való védelem.
A konferencia szervezője úgy vélte, hogy a biztonsági szabványoknál kicsit több kell a hatékony online védelemhez. "A biztonságos online vásárlásokhoz egy egyszer megkapott biztonsági minősítésnél többre van szükség. A bolt üzemeltetőjének és a minősítőnek folyamatosan ellenőriznie kell a rendszert" - jelentette ki René Pfeiffer, a Bécsben november 17 és 20. között rendezendő DeepSec szervezője.
A biztonságra egyre nagyobb szükség van, hiszen folyamatosan nő az online megrendelt termékek száma. Az Európában működő csomagküldő szolgálatok évente több tizmilliárd eurós forgalmat bonyolítanak, és ennek az összegnek többsége internetes megrendelésekből fog származni. Minél népszerűbbek a különböző virtuális boltok, annál gyakrabban kell számítaniuk online támadásokra. "Az aktuális esetek is azt mutatják, hogy önmagukban a biztonsági minősítések gyakran nem jelentenek valódi hatékony védelmet" - közölte Pfeiffer.
Sok biztonsági hiba akkor keletkezik, hogy ha a sikeres minősítés után az üzemeltető változtat a rendszerén. Számos cég éppen ennek köszönhetően válik újra támadhatóvá és ideális célponttá. A másik fő ok, hogy sok esetben a minősítők nem vizsgálják, hogy az adott webshoprendszer tartalmaz-e úgynevezett Cross Site Scripting (XSS) hibákat. "A fogyasztók védelme egyben a bolt védelme is. Sajnos a legtöbb biztonsági minősítés nem egyéb egy szoftverek által végzett biztonsági ellenőrzésnél, ami után a vállalatokban - tévesen - az az érzés alakul ki, hogy biztonságban vannak" - hangsúlyozta Saumil Shah, a Net-Square vezérigazgatója, a DeepSec egyik előadója.
Az automatikus szkennelés ugyanakkor csak egy alapvető védelmet jelent és semmiképpen sem helyettesítheti a manuális vizsgálatokat. Shah szerint a fő problémát a következők jelentik: Unsanitized Input, SQL Injection, Cross Site Scripting, Cross Site Request Forgery és Unhandled Exceptions. "Az egész helyzet olyan, mintha valaki a TÜV-minősítést úgy kapná meg, hogy beküld egy fotót az autójáról. Ráadásul bármikor odaadnák neki, amikor kéri" - mondta Pfeiffer.
A The Exploit Laboratory nevű kétnapos tanácskozást támogatja többek között a Microsoft Security Team, a Sourcefire.com, a British Bookshop, a Global Knowledge, a CERT.at és az Osztrák Gazdasági Kamara. A témák között szerepelnek a DoS-támadások végrehajtása GSM-hálózatok ellen, a social engineering, a twitteres adatlopások, az elektronikus szavazások, a cloud computing, a különböző adatbázisok elleni támadások, a Smart Cardok kijátszása, a veszélyessé váló USB-meghajtók, a manipulált nyomtatófirmwareek és a szoftverfejlesztések biztonsági vonatkozásai.
A DeepSec célja a vélemény- és a tapasztalatcsere az állami hivatalok, intézmények, kutatók, számítástechnikai szakemberek, hackerek, IT-biztonsági cégek között. Emellett a szervezők le akarnak számolni azzal a téves nézettel, hogy a hackereket automatikusan rossz fiúknak tekinti a társadalom. Az igazság ehelyett az, hogy sokuk biztonsági hibákra vadászik és azt szeretné elérni, hogy ezeket mielőbb megszüntessék.
A konferencia szervezője úgy vélte, hogy a biztonsági szabványoknál kicsit több kell a hatékony online védelemhez. "A biztonságos online vásárlásokhoz egy egyszer megkapott biztonsági minősítésnél többre van szükség. A bolt üzemeltetőjének és a minősítőnek folyamatosan ellenőriznie kell a rendszert" - jelentette ki René Pfeiffer, a Bécsben november 17 és 20. között rendezendő DeepSec szervezője.
A biztonságra egyre nagyobb szükség van, hiszen folyamatosan nő az online megrendelt termékek száma. Az Európában működő csomagküldő szolgálatok évente több tizmilliárd eurós forgalmat bonyolítanak, és ennek az összegnek többsége internetes megrendelésekből fog származni. Minél népszerűbbek a különböző virtuális boltok, annál gyakrabban kell számítaniuk online támadásokra. "Az aktuális esetek is azt mutatják, hogy önmagukban a biztonsági minősítések gyakran nem jelentenek valódi hatékony védelmet" - közölte Pfeiffer.
Sok biztonsági hiba akkor keletkezik, hogy ha a sikeres minősítés után az üzemeltető változtat a rendszerén. Számos cég éppen ennek köszönhetően válik újra támadhatóvá és ideális célponttá. A másik fő ok, hogy sok esetben a minősítők nem vizsgálják, hogy az adott webshoprendszer tartalmaz-e úgynevezett Cross Site Scripting (XSS) hibákat. "A fogyasztók védelme egyben a bolt védelme is. Sajnos a legtöbb biztonsági minősítés nem egyéb egy szoftverek által végzett biztonsági ellenőrzésnél, ami után a vállalatokban - tévesen - az az érzés alakul ki, hogy biztonságban vannak" - hangsúlyozta Saumil Shah, a Net-Square vezérigazgatója, a DeepSec egyik előadója.
Az automatikus szkennelés ugyanakkor csak egy alapvető védelmet jelent és semmiképpen sem helyettesítheti a manuális vizsgálatokat. Shah szerint a fő problémát a következők jelentik: Unsanitized Input, SQL Injection, Cross Site Scripting, Cross Site Request Forgery és Unhandled Exceptions. "Az egész helyzet olyan, mintha valaki a TÜV-minősítést úgy kapná meg, hogy beküld egy fotót az autójáról. Ráadásul bármikor odaadnák neki, amikor kéri" - mondta Pfeiffer.
A The Exploit Laboratory nevű kétnapos tanácskozást támogatja többek között a Microsoft Security Team, a Sourcefire.com, a British Bookshop, a Global Knowledge, a CERT.at és az Osztrák Gazdasági Kamara. A témák között szerepelnek a DoS-támadások végrehajtása GSM-hálózatok ellen, a social engineering, a twitteres adatlopások, az elektronikus szavazások, a cloud computing, a különböző adatbázisok elleni támadások, a Smart Cardok kijátszása, a veszélyessé váló USB-meghajtók, a manipulált nyomtatófirmwareek és a szoftverfejlesztések biztonsági vonatkozásai.
A DeepSec célja a vélemény- és a tapasztalatcsere az állami hivatalok, intézmények, kutatók, számítástechnikai szakemberek, hackerek, IT-biztonsági cégek között. Emellett a szervezők le akarnak számolni azzal a téves nézettel, hogy a hackereket automatikusan rossz fiúknak tekinti a társadalom. Az igazság ehelyett az, hogy sokuk biztonsági hibákra vadászik és azt szeretné elérni, hogy ezeket mielőbb megszüntessék.