Berta Sándor
Nagy biztonsági problémát jelentenek a böngészők
Az SSL protokoll feltalálója úgy véli, hogy a számítógépekre és más IT-eszközökre a böngészők és azok biztonsági hiányosságai jelentik az egyik legnagyobb fenyegetést. Ezeket a hibákat kihasználva ugyanis az egész rendszer támadhatóvá válik.
Taher Elgamalt az IT-világban a Secure Sockets Layer (SSL) protokoll feltalálójaként tartják számon. 1995 és 1998 között a Netscape vezető fejlesztőjeként dolgozott, eközben alkotta meg az SSL-t. Az egyiptomi születésű szakember számos cég mellett dolgozott tanácsadóként és jelenleg az Axway Business Interaction Networks Company biztonsági vezetője.
"Nemcsak az elmúlt hónapokban, hanem már 15 évvel ezelőtt is voltak támadások az SSL ellen, de még mindig nyugodtan tudok aludni. Persze az SSL amúgy is a biztonsági rendszer csupán egy kis részét jelenti. Amennyiben tehetném, inkább a böngészőket változtatnám meg és nem a biztonsági infrastruktúrát, mivel a böngészők jelentik az igazi problémát. Amennyiben szétnézünk a mobiltelefonok világában, azt látjuk, hogy ma már szinte csak alkalmazásokat használunk, a böngésző a legtöbb helyen hiányzik. Tehát a mobilokon senki sem végez banki tevékenységet böngészőn keresztül. Természetesen az online banki alkalmazásoknál is vannak biztonsági problémák, ez így lesz mindennél, amit kifejlesztünk. De egy böngészőben lévő biztonsági rés megnyitja az utat az egész rendszer megtámadása felé, míg egy mobil program hibája miatt csak az adott alkalmazás válik sebezhetővé" - jelentette ki Taher Elgamal.
A neves szakember leginkább a tűzfalak és a kártevők felismerésére létrehozott rendszerek állapotát tartja aggasztónak, mivel a támadások egyre gyorsabban történnek. Már látható, hogy a hagyományos szabályokkal ezeket az akciókat nem lehet kivédeni. A legnagyobb gond az, hogy az emberek mindig az infrastruktúránál kezdik a problémák megoldását. Amennyiben valaki elmegy egy céghez és megkérdezi, hogy mi a biztonsági stratégiájuk, akkor a tűzfalat említik meg először, holott minden a használt alkalmazásoknál kezdődik, hiszen azok dolgoznak az adatokkal. A piacnak foglalkoznia kell azzal a kérdéssel, hogy a különböző programokat is ugyanolyan biztonsági szinten védjék, mint az infrastruktúrákat és a hálózat egészét.
"Fontos lenne, hogy mielőtt egy böngésző megbízik az adott tartalmakban, vizsgálatokat végezzen velük kapcsolatban. S ha kiderül, hogy az adott tanúsítószolgáltató egy rossz tanúsítványt adott ki, akkor a szoftvernek meg kellene akadályoznia a felhasználót az oldal elérésében. Ugyanakkor nem hiszem, hogy lehetőség van a megfelelő számú tesztek elvégzésére az összes böngésző esetében. Ehelyett arra lenne szükség, hogy a böngészőfejlesztők felépítsenek egy internetes megbízhatósági rendszert. Ennek kellene összegyűjtenie az összes tanúsítószervezet adatait és így lehetne kiépíteni egy megfelelő adatbázist. Ezáltal létrehozható lenne egy új bizalmi szint."
"Függetlenül attól, hogy milyen oldalról nézzük ezt a dolgot, tisztában kell lennünk azzal, hogy soha nem lesz egyetlen olyan technológia, ami képes lesz egy ilyen rendszer felépítésére. A bizalom egy összetett dolog; minél több szintet teszünk hozzá, annál jobb lesz a rendszer. De tudomásul kell vennünk, hogy nem létezik teljes, abszolút biztonság. Az internetes tranzakciókat körülbelül annyira biztonságossá kell tenni, mint a valódi világban alkalmazott tranzakciókat. Ugyanakkor mindig lesz kockázat és bűnözők is mindig lesznek" - szögezte le végül az SSL feltalálója.
Taher Elgamalt az IT-világban a Secure Sockets Layer (SSL) protokoll feltalálójaként tartják számon. 1995 és 1998 között a Netscape vezető fejlesztőjeként dolgozott, eközben alkotta meg az SSL-t. Az egyiptomi születésű szakember számos cég mellett dolgozott tanácsadóként és jelenleg az Axway Business Interaction Networks Company biztonsági vezetője.
"Nemcsak az elmúlt hónapokban, hanem már 15 évvel ezelőtt is voltak támadások az SSL ellen, de még mindig nyugodtan tudok aludni. Persze az SSL amúgy is a biztonsági rendszer csupán egy kis részét jelenti. Amennyiben tehetném, inkább a böngészőket változtatnám meg és nem a biztonsági infrastruktúrát, mivel a böngészők jelentik az igazi problémát. Amennyiben szétnézünk a mobiltelefonok világában, azt látjuk, hogy ma már szinte csak alkalmazásokat használunk, a böngésző a legtöbb helyen hiányzik. Tehát a mobilokon senki sem végez banki tevékenységet böngészőn keresztül. Természetesen az online banki alkalmazásoknál is vannak biztonsági problémák, ez így lesz mindennél, amit kifejlesztünk. De egy böngészőben lévő biztonsági rés megnyitja az utat az egész rendszer megtámadása felé, míg egy mobil program hibája miatt csak az adott alkalmazás válik sebezhetővé" - jelentette ki Taher Elgamal.
A neves szakember leginkább a tűzfalak és a kártevők felismerésére létrehozott rendszerek állapotát tartja aggasztónak, mivel a támadások egyre gyorsabban történnek. Már látható, hogy a hagyományos szabályokkal ezeket az akciókat nem lehet kivédeni. A legnagyobb gond az, hogy az emberek mindig az infrastruktúránál kezdik a problémák megoldását. Amennyiben valaki elmegy egy céghez és megkérdezi, hogy mi a biztonsági stratégiájuk, akkor a tűzfalat említik meg először, holott minden a használt alkalmazásoknál kezdődik, hiszen azok dolgoznak az adatokkal. A piacnak foglalkoznia kell azzal a kérdéssel, hogy a különböző programokat is ugyanolyan biztonsági szinten védjék, mint az infrastruktúrákat és a hálózat egészét.
"Fontos lenne, hogy mielőtt egy böngésző megbízik az adott tartalmakban, vizsgálatokat végezzen velük kapcsolatban. S ha kiderül, hogy az adott tanúsítószolgáltató egy rossz tanúsítványt adott ki, akkor a szoftvernek meg kellene akadályoznia a felhasználót az oldal elérésében. Ugyanakkor nem hiszem, hogy lehetőség van a megfelelő számú tesztek elvégzésére az összes böngésző esetében. Ehelyett arra lenne szükség, hogy a böngészőfejlesztők felépítsenek egy internetes megbízhatósági rendszert. Ennek kellene összegyűjtenie az összes tanúsítószervezet adatait és így lehetne kiépíteni egy megfelelő adatbázist. Ezáltal létrehozható lenne egy új bizalmi szint."
"Függetlenül attól, hogy milyen oldalról nézzük ezt a dolgot, tisztában kell lennünk azzal, hogy soha nem lesz egyetlen olyan technológia, ami képes lesz egy ilyen rendszer felépítésére. A bizalom egy összetett dolog; minél több szintet teszünk hozzá, annál jobb lesz a rendszer. De tudomásul kell vennünk, hogy nem létezik teljes, abszolút biztonság. Az internetes tranzakciókat körülbelül annyira biztonságossá kell tenni, mint a valódi világban alkalmazott tranzakciókat. Ugyanakkor mindig lesz kockázat és bűnözők is mindig lesznek" - szögezte le végül az SSL feltalálója.