10 dolog, amiért utálhatjuk az internetet
Senki sincs biztonságban internetezés közben, létezhet biztonságos böngészés?
A tavalyi évben az internetezők 19%-a az Adobe Reader, 10%-a az Adobe Flash, míg 3%-a a Java plug-in frissítésének hiánya miatt vált célponttá.2 Az internetes támadások ellen történő védekezés hiánya gyakorta figyelmetlenségből vagy egyszerű feledékenységből ered. Számos esetben a túlterhelt munkarend és a sürgős feladatok hátráltatják a frissítéseket, ám az újféle támadásokra való felkészülés is okozhat problémákat.
A webes támadások egyik leghatékonyabb védekezési módjáról (Acunetix Web Application Security), a webes alkalmazások és a weboldalak sérülékenységeiről tart előadást április 25-én Gyebnár Gergő, a BlackCell IT szakértője, illetve Prém Dániel, az Óbudai Egyetem, Informatikai Rendszerek Intézet tanszéki mérnöke.
Alább felsorolásra kerül a 10 leggyakoribb internetes támadás, amelyek közül néhány már új, 2013-as mutált változata veszélyezteti a vállalatok rendszereit vagy a munkatársak személyes adatait:
- DDoS (Distributed Denial-of-Service) támadások során egy weboldalt próbálnak meg túlterheltséggel ellehetetleníteni, így a valódi felhasználók nem tudják megnyitni a lebénított internetes portált. Az IT biztonságtechnika fejlődésével a hackerek is kénytelenek fejlődni, jelenleg maximum 100 Gbps sávszélességig lehetséges adatcsomagokat küldeni, legutóbb muszlim hacktivisták támadták amerikai bankok weboldalait hasonló technikával, az adatcsomag-özönvíz folyamatosan 30 Gbps sávszélesség felett maradt a támadás során, ami néhány évvel ezelőtt kivitelezhetetlen volt. A DDoS támadások alkalmával a hackerek előszeretettel bénítják meg a DNS szervereket, amely miatt a látogatók nem tudják elérni a weboldalt, ugyanis ez a szolgáltatás fordítja le a keresett oldal domain nevét annak IP címére. A kiterjedt DDoS támadások gyakran a figyelem eltereléseképpen is szolgálnak a low-and-slow támadásról, amely folyamán speciális kérések érkeznek internetes alkalmazásokhoz, kiegészítőkhöz, ezért hamar kimerítik a folyamatoknak elkülönített kapacitást, illetve a memóriát is.
- Évente több millió dollárt tulajdonítanak el magánszemélyektől azok a rosszindulatú hackerek, akik az idejétmúlt internetes böngészők gyengeségeit, és egyre gyakrabban a böngészők kiegészítő alkalmazásainak (Java, Adobe Flash, Adobe Reader) nem frissített verzióinak gyengeségeit használják ki. A Sophos anti-malware felmérése alapján 16 ún. fekete lyukakat kihasználó támadási csomag (exploit kit) közül hét íródott a Java plug-in alkalmazásra, öt Adobe Readerre, kettő Adobe Flash-re, és a fennmaradt kettő keresi a böngészők által nyitva hagyott réseket.
- Számos esetben még a megbízható weboldalak is hordoznak káros tartalmakat, ám sokkal alattomosabb és kártékonyabb a „malvertising", amely esetében egy vagy több kéretlen reklámot helyeznek el egy reklámhálózatban. Ezek alkalmanként jelennek meg, különböző időpontokban és helyeken, ezért nehéz őket beazonosítani. Igen kártékony hatást fejt ki, hiszen a végfelhasználónak küldött kéretlen reklámok miatt a vállalat feketelistára kerülhet, ezáltal bevételei is csökkenhetnek.
- A BYOD (Bring Your Own Device) elterjedése is réseket nyit a vállalati hálózatokon, miközben a magánfelhasználók adatai sincsenek biztonságban. Ilyen esetekben a munkatársak saját mobilkészüléken csatlakoznak a vállalati hálózathoz, azonban a személyes használatra feltelepített alkalmazások közel 60%-a gyengén programozott,3 illetve egyedi hardware információt továbbítanak internetes felületen keresztül, gyakran a felhasználó tudta nélkül. A biztonságtechnikai szempontból hiányosan programozott alkalmazások ugyanúgy megtalálhatóak a Google és az Apple internetes áruházakban is.
- A hibás beérkező adatok ellenőrzését gyakran hanyagolják olyan dinamikus weboldalak esetében, amelyek keresési feltételeket vagy a felhasználóktól származó adatokat továbbítanak adatbázisszerverekhez (SQL befecskendezés). Az SQL adatforgalom ellenőrzése és javaítása során számos vállalat egyszerűen nem fordít figyelmet a távkapcsolatokon az internetes oldalhoz kapcsolódó más oldalakra vagy szerződött partnerek oldalaira. A támadók a kapcsolódó weboldalakon keresztül megfertőzik az alkalmazottak eszközeit, majd rajtuk keresztül jutnak be a vállalat rendszerébe oly módon, hogy az eredeti internetes oldal biztonsági politikájával nem ütköznek.
- A hiteles aláírások hamisítása is elterjedt a visszaélések között. Ebben az esetben kártékony internetes oldalakhoz is hiteles aláírások készülnek, továbbá ellopott hiteles tanúsítványok módosításával is kártékony kódokat továbbíthatnak a visszaélők. Az aláírások hitelességéről a böngészők fejlesztői döntenek, ám a vállalatoknak lehetőségük adódik ellenőrzés alatt tartani az internetes forgalmat saját kódkulcsokkal és hiteles aláírásokkal. Becslések szerint a következő két évben a középvállalatok 35 millió dollárt veszítenek majd a hiteles aláírásokkal elkövetett visszaélések által.4
- A cross-site scripting engedélyezi scriptek futtatását, amennyiben a rosszindulatú hacker egy megbízható weboldalról érkezik, ám ezt elsősorban nem a weboldalak támadására használják, hanem az adott internetes oldalra látogatókat célozza meg. A bűnözők később ellátogatnak a sebezhető cross-site scriptinggel rendelkező bankok weboldalaira, és könnyedén belépnek a látogató internetbankjába.
- Routerek, nyomtatók, videokonferencia rendszerek, hálózatról távkapcsolható zárak (ajtó, ablak, stb.) és egyéb készülékek internetes protokollokon keresztül irányíthatóak, és gyakran beágyazott webszervereket is tartalmaznak. A legtöbb esetben az üzemeltetésre alkalmas szoftverek idejétmúlt nyitott kóddal rendelkeznek, amelyeket nagyon nehéz vagy lehetetlen frissíteni. A legtöbb vállalat nem fordít kellő figyelmet az interneten elérhető nyomtatók vagy a videókonferencia rendszerek megfelelő védelmére, ezért ezeken a csatlakozási pontokon könnyedén lehetőség nyílik bejutni a cégek rendszereibe.
- Nem minden támadás hivatott behatolni vagy áttörni a biztonsági rendszereken. Automatizált web botok információt gyűjtenek össze weboldalakról annak érdekében, hogy a versenytársaknak részletes adatokat szolgáltassanak. Az online áruházakhoz érkező adatkérések több mint 30%-a ilyen és hasonló információ kérések során következik be,5 amelyek közvetlenül nem veszélyeztetik a vállalkozást, ám előnyt biztosítanak a versenytársak számára.
- Az új fejlesztések is veszélyt jelentenek az internetezők számára, hiszen a HTML5 önállóan képes teljes képernyőre váltani, amely során egy linkre kattintással például egy bank bejelentkezési felületének másolata látható a képernyőn, ahol a gyanútlan felhasználó megadja belépési azonosítóját és jelszavát, ám éppen egy hamis oldalon adja ki adatait. Egy link fölé helyezve az egér mutatóját az internetes böngészők jelzik hová mutat adott link, azonban a tapasztaltabb támadók ezt is képesek megváltoztatni, ezért nem célszerű linkeken keresztül látogatni olyan oldalakat, ahol várhatóan személyes adatokat szükséges megadni.
Április 25-én, az Óbudai Egyetemen megrendezésre kerülő előadáson részletes és értékes információt kaphatnak a résztvevők a felsorolt támadásokról, illetve a további veszélyekről, gyakran elkövetett hibákról, valamint a figyelmetlenségből nyitva hagyott biztonsági résekről – mindezt az Acunetix websérülékenységi szkenner alkalmazásával bemutatva. Az eseményen való részvétel ingyenes. Főként szolgáltatók és vállalatok IT szakembereit szólítják meg az előadók, ám a szakma iránt érdeklődő magánszemélyeket is szeretettel várják.
Részvételi szándékát a következő linkre kattintva jelezheti: https://www.eventbrite.com/event/5992217885/es2005/?rank=7