- Két hét alatt csaknem hétszáz új álláshirdetést adott fel a Belügyminisztérium, óriási a tanárhiány
- Jön még pénz Brüsszelből? Megszólalt a miniszter
- Gyárfás Tamás ismét a bíróság előtt: kulcsfontosságú hangfelvételek kerültek terítékre
- Mi történt? Lezuhant egy helikopter a Mount Everest közelében - Senki nem élte túl
- Mutatjuk, melyek lesznek a legfontosabb témák a vilniusi NATO-csúcson
Otthonok biztonsági kameráinak felügyeletét átvevő hackerek, banki vagy éppen Facebook-profil-azonosítókat ellopó számítógépes bűnözök „munkáját” nehezítheti meg egy új, külföldön már bizonyított fejlesztési módszertan.
Mark Zuckerberg Facebook-profiljának feltörése, egy biztonságikamera-gyártó megoldásának megkerülése, melynek köszönhetően több száz lakásról került ki élő videofolyam az internetre - friss példaként szolgálnak arra, hogy a programozók által elkövetett hibák milyen károkat tudnak okozni.
A vállalatok ezzel tisztában vannak, ezért egyre komolyabb erőforrásokat szánnak meglévő rendszereik biztonsági tesztelésére. Az EC-Council etikushacker-tanfolyamát képviselő NetAcademia Oktatóközpont adatai szerint például Magyarországon már közel ezren szerezték meg a Certified Ethical Hacking minősítést, melynek segítségével a már kész alkalmazásokban tárhatók fel a kritikus biztonsági rések. A tudatos megelőzés, a biztonsági rések kizárása a fejlesztési fázisban viszont egyelőre, úgy tűnik, nincs fókuszban.
Holott egy szoftver biztonsági réseinek utólagos betömése ráadásul rendkívül költséges. Ha egy kész, piacon lévő alkalmazásban kell a hibákat javítani, az az iparági tapasztalatok alapján 60-szor annyiba kerül, mintha már a tervezés fázisában befoltoznák a kritikus lyukakat - s akkor még nem esett szó az okozott erkölcsi és anyagi károkról.
Így az etikushacker-tanfolyamokat is jegyző EC-Council adatai sem meglepőek, miszerint a kritikus biztonsági hibák 34 százalékát egyszerűen nem javítják ki.
A központ adatai alapján a leginkább nagyvállalatok által használt .NET környezetben az alábbi támadástípusok a legelterjedtebbek. Ezek pedig egytől egyig kivédhetők a biztonságos programozási ismeretek birtokában.
Cross-Site Scripting (XSS): A leggyakoribb olyan hiba, ami akár úgynevezett „deface”-eléshez, vagyis a weboldal lecseréléséhez is vezethet. Ha látványos hackelést látunk, XSS-sérülékenység lehet a háttérben.
Information leakage: Mások számára hozzáférhetetlen adatok elérhetősége illetéktelenek számára, trükkös adatlekérésekkel.
Content spoofing: A támadó módosítja, meghamisítja a böngésző által megjelenített tartalmat, ezáltal például elhitetve a felhasználóval, hogy van még pénze a bankszámláján – miközben már rég leemelték a rendelkezésre álló összeget.
Insufficient authorization: A fejlesztő rosszul valósította meg a jogosultságellenőrzést, így a támadó olyan helyekre is bejut, ahol nem lenne semmi keresnivalója. Jó példa erre egy ismert nemzetközi botrány, amikor egy földhivatali adatbázisba bárki vihetett fel új régiót a neten keresztül, ha tudta a megfelelő URL-t.
SQL injection: A támadó egy adatbeviteli mezőbe úgynevezett SQL-kódot ír be, ami a szerveroldalon lefutva halálos sebet is ejthet az alkalmazáson.
Predictable resource location: Megjósolható, hogy a (web)szerveren hol találhatóak a támadó számára értékes információk. Tipikus példa erre a Citibank weboldalának 2011-es feltörése, amikor egy URL-azonosító átírásával a felhasználók egymás bankszámlájában gyönyörködhettek.
Session fixation: A támadó előre meghatározza az áldozat munkamenet-azonosítóját, így később könnyen el tudja téríteni a munkamenetet, meg tudja személyesíteni a felhasználót, eljárhat a nevében.
Cross-site request forgery: A támadónak sikerül elérnie, hogy a felhasználó böngészője a felhasználó nevében, az ő jogosultságaival, de tudta nélkül kommunikáljon egy webszerverrel.
Insufficient authentication: A rosszul megvalósított bejelentkezés kijátszható, így a hacker esetleg valós bejelentkezés nélkül is hozzáfér a rendszer fizetős szolgáltatásaihoz.
HTTP response splitting: A támadó megszakítja a webszervertől érkező HTTP választ, több részre bontja, amit azután a webböngésző hibásan dolgoz fel.
hirado
Feltöltve: 2013.09.27.
Megnézve: 2405
További hírek
- Ezeken a magyar településeken már készülhetnek az ivóvízhiányra
- Fokozódik a konfliktus: tűzharc tört ki a Wagner-csoport és az orosz légierő között, már három helikoptert lelőttek
- Putyin beszédet intézett népéhez a a Wagner-csoport lázadása után: „Az ilyen fenyegetésre keményen fogunk reagálni”
- Lázadás tört ki Oroszországban: a Wagner zsoldoscsoport elfoglalt egy orosz várost, Putyin hamarosan beszédet mond
- Olyan vihar jöhet, ami ellen az esernyő nem elég
- Ők öten vesztek hullámsírba a Titan fedélzetén
- Ezeken a magyar településeken már készülhetnek az ivóvízhiányra
- Fokozódik a konfliktus: tűzharc tört ki a Wagner-csoport és az orosz légierő között, már három helikoptert lelőttek
- Putyin beszédet intézett népéhez a a Wagner-csoport lázadása után: „Az ilyen fenyegetésre keményen fogunk reagálni”
- Lázadás tört ki Oroszországban: a Wagner zsoldoscsoport elfoglalt egy orosz várost, Putyin hamarosan beszédet mond
- Olyan vihar jöhet, ami ellen az esernyő nem elég
- Ők öten vesztek hullámsírba a Titan fedélzetén
- Az Európai Parlament megszavazta: Magyarország alkalmatlan az uniós elnökségre
- Aligha most robban föl a Balkán puskaporos hordója
- Putyin arra játszik, hogy legyen ürügye az első nukleáris csapásra
- Novák Katalin a kórházban indította a reggelt
