16 574
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 574
https://lh6.googleusercontent.com/-HclOpPKl5J4/UWKvzCW891I/AAAAAAAAEiM/O9k6Yd1tolw/s800/Internet_hacker_ddos_anomymous.jpg

Senki sincs biztonságban internetezés közben

Makay József2013.04.08. 14.07
https://lh6.googleusercontent.com/-HclOpPKl5J4/UWKvzCW891I/AAAAAAAAEiM/O9k6Yd1tolw/s800/Internet_hacker_ddos_anomymous.jpgAz internetes veszélyforrások tekintetében a plug-in alkalmazások frissítéseinek mellőzése okozza a legnagyobb sebezhetőséget a számítógépes hálózatok esetében. Az SQL befecskendezéses támadások 2012 év végére 26%-ra nőttek az előző évi 6.9%-hoz képest.

A tavalyi évben az internetezők 19%-a az Adobe Reader, 10%-a az Adobe Flash, míg 3%-a a Java plug-in frissítésének hiánya miatt vált célponttá. Az internetes támadások ellen történő védekezés hiánya gyakorta figyelmetlenségből vagy egyszerű feledékenységből ered. Számos esetben a túlterhelt munkarend és a sürgős feladatok hátráltatják a frissítéseket, ám az újféle támadásokra való felkészülés is okozhat problémákat.

A webes támadások egyik leghatékonyabb védekezési módjáról (Acunetix Web Application Security), a webes alkalmazások és a weboldalak sérülékenységeiről tart előadást április 25-én Gyebnár Gergő, a BlackCell IT szakértője, illetve Prém Dániel, az Óbudai Egyetem, Informatikai Rendszerek Intézet tanszéki mérnöke.

Alább felsorolásra kerül a 10 leggyakoribb internetes támadás, amelyek közül néhány már új, 2013-as mutált változata veszélyezteti a vállalatok rendszereit vagy a munkatársak személyes adatait:

1. DDoS (Distributed Denial-of-Service) támadások során egy weboldalt próbálnak meg túlterheltséggel ellehetetleníteni, így a valódi felhasználók nem tudják megnyitni a lebénított internetes portált. Az IT biztonságtechnika fejlődésével a hackerek is kénytelenek fejlődni, jelenleg maximum 100 Gbps sávszélességig lehetséges adatcsomagokat küldeni, legutóbb muszlim hacktivisták támadták amerikai bankok weboldalait hasonló technikával, az adatcsomag-özönvíz folyamatosan 30 Gbps sávszélesség felett maradt a támadás során, ami néhány évvel ezelőtt kivitelezhetetlen volt. A DDoS támadások alkalmával a hackerek előszeretettel bénítják meg a DNS szervereket, amely miatt a látogatók nem tudják elérni a weboldalt, ugyanis ez a szolgáltatás fordítja le a keresett oldal domain nevét annak IP címére. A kiterjedt DDoS támadások gyakran a figyelem eltereléseképpen is szolgálnak a low-and-slow támadásról, amely folyamán speciális kérések érkeznek internetes alkalmazásokhoz, kiegészítőkhöz, ezért hamar kimerítik a folyamatoknak elkülönített kapacitást, illetve a memóriát is.

2. Évente több millió dollárt tulajdonítanak el magánszemélyektől azok a rosszindulatú hackerek, akik az idejétmúlt internetes böngészők gyengeségeit, és egyre gyakrabban a böngészők kiegészítő alkalmazásainak (Java, Adobe Flash, Adobe Reader) nem frissített verzióinak gyengeségeit használják ki. A Sophos anti-malware felmérése alapján 16 úgynevezett fekete lyukakat kihasználó támadási csomag (exploit kit) közül hét íródott a Java plug-in alkalmazásra, öt Adobe Readerre, kettő Adobe Flash-re, és a fennmaradt kettő keresi a böngészők által nyitva hagyott réseket.

3. Számos esetben még a megbízható weboldalak is hordoznak káros tartalmakat, ám sokkal alattomosabb és kártékonyabb a „malvertising”, amely esetében egy vagy több kéretlen reklámot helyeznek el egy reklámhálózatban. Ezek alkalmanként jelennek meg, különböző időpontokban és helyeken, ezért nehéz őket beazonosítani. Igen kártékony hatást fejt ki, hiszen a végfelhasználónak küldött kéretlen reklámok miatt a vállalat feketelistára kerülhet, ezáltal bevételei is csökkenhetnek.

4. A BYOD (Bring Your Own Device) elterjedése is réseket nyit a vállalati hálózatokon, miközben a magánfelhasználók adatai sincsenek biztonságban. Ilyen esetekben a munkatársak saját mobilkészüléken csatlakoznak a vállalati hálózathoz, azonban a személyes használatra feltelepített alkalmazások közel 60%-a gyengén programozott, illetve egyedi hardware információt továbbítanak internetes felületen keresztül, gyakran a felhasználó tudta nélkül. A biztonságtechnikai szempontból hiányosan programozott alkalmazások ugyanúgy megtalálhatóak a Google és az Apple internetes áruházakban is.


5. A hibás beérkező adatok ellenőrzését gyakran hanyagolják olyan dinamikus weboldalak esetében, amelyek keresési feltételeket vagy a felhasználóktól származó adatokat továbbítanak adatbázisszerverekhez (SQL befecskendezés). Az SQL adatforgalom ellenőrzése és javítása során számos vállalat egyszerűen nem fordít figyelmet a távkapcsolatokon az internetes oldalhoz kapcsolódó más oldalakra vagy szerződött partnerek oldalaira. A támadók a kapcsolódó weboldalakon keresztül megfertőzik az alkalmazottak eszközeit, majd rajtuk keresztül jutnak be a vállalat rendszerébe oly módon, hogy az eredeti internetes oldal biztonsági politikájával nem ütköznek.

6. A hiteles aláírások hamisítása is elterjedt a visszaélések között. Ebben az esetben kártékony internetes oldalakhoz is hiteles aláírások készülnek, továbbá ellopott hiteles tanúsítványok módosításával is kártékony kódokat továbbíthatnak a visszaélők. Az aláírások hitelességéről a böngészők fejlesztői döntenek, ám a vállalatoknak lehetőségük adódik ellenőrzés alatt tartani az internetes forgalmat saját kódkulcsokkal és hiteles aláírásokkal. Becslések szerint a következő két évben a középvállalatok 35 millió dollárt veszítenek majd a hiteles aláírásokkal elkövetett visszaélések által.

7. A cross-site scripting engedélyezi scriptek futtatását, amennyiben a rosszindulatú hacker egy megbízható weboldalról érkezik, ám ezt elsősorban nem a weboldalak támadására használják, hanem az adott internetes oldalra látogatókat célozza meg. A bűnözők később ellátogatnak a sebezhető cross-site scriptinggel rendelkező bankok weboldalaira, és könnyedén belépnek a látogató internetbankjába.

8. Routerek, nyomtatók, videokonferencia rendszerek, hálózatról távkapcsolható zárak (ajtó, ablak, stb.) és egyéb készülékek internetes protokollokon keresztül irányíthatóak, és gyakran beágyazott webszervereket is tartalmaznak. A legtöbb esetben az üzemeltetésre alkalmas szoftverek idejétmúlt nyitott kóddal rendelkeznek, amelyeket nagyon nehéz vagy lehetetlen frissíteni. A legtöbb vállalat nem fordít kellő figyelmet az interneten elérhető nyomtatók vagy a videokonferencia rendszerek megfelelő védelmére, ezért ezeken a csatlakozási pontokon könnyedén lehetőség nyílik bejutni a cégek rendszereibe.

9. Nem minden támadás hivatott behatolni vagy áttörni a biztonsági rendszereken. Automatizált web botok információt gyűjtenek össze weboldalakról annak érdekében, hogy a versenytársaknak részletes adatokat szolgáltassanak. Az online áruházakhoz érkező adatkérések több mint 30%-a ilyen és hasonló információ kérések során következik be, amelyek közvetlenül nem veszélyeztetik a vállalkozást, ám előnyt biztosítanak a versenytársak számára.

10. Az új fejlesztések is veszélyt jelentenek az internetezők számára, hiszen a HTML5 önállóan képes teljes képernyőre váltani, amely során egy linkre kattintással például egy bank bejelentkezési felületének másolata látható a képernyőn, ahol a gyanútlan felhasználó megadja belépési azonosítóját és jelszavát, ám éppen egy hamis oldalon adja ki adatait. Egy link fölé helyezve az egér mutatóját az internetes böngészők jelzik hová mutat adott link, azonban a tapasztaltabb támadók ezt is képesek megváltoztatni, ezért nem célszerű linkeken keresztül látogatni olyan oldalakat, ahol várhatóan személyes adatokat szükséges megadni.

2013. Április 25-én, az Óbudai Egyetemen megrendezésre kerülő előadáson részletes és értékes információt kaphatnak a résztvevők a felsorolt támadásokról, illetve a további veszélyekről, gyakran elkövetett hibákról, valamint a figyelmetlenségből nyitva hagyott biztonsági résekről – mindezt az Acunetix websérülékenységi szkenner alkalmazásával bemutatva. Az eseményen való részvétel ingyenes. Főként szolgáltatók és vállalatok IT szakembereit szólítják meg az előadók, ám a szakma iránt érdeklődő magánszemélyeket is szeretettel várják.

Részvételi szándékát a következő linkre kattintva jelezheti:
https://www.eventbrite.com/event/5992217885/es2005/?rank=7


A cikket a BlackCell Kft. bocsátotta rendelkezésünkre.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
A Chrome 55 már alig ad esélyt az Adobe Flash‑nek
A nem eredeti Apple‑töltők 99 százaléka veszélyes
Ezek a Huawei‑készülékek kapják meg az Android 7.0 Nougat frissítést
A következő Apple Watch okosóra már kör alakú lehet
A Nokia nagy visszatérése
Ilyen lehetne a Google Pixel 2
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Ezek a jelenleg kapható legerősebb okostelefonok
Microsoft Surface Phone - Számítógép és okostelefon egy készülékben
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Egy alkalmazás bitcoin-terminált csinál a telefonunkból
Keret nélküli kijelzővel érkezik a szétcsúsztatható ZTE Nubia
Állásajánlatok
Functional Specialist, Business Process Automation
Tesztelő gyakornok
Szoftvertesztelő Budapest
C++ Qt Developer
C/C++ fejlesztő mérnök
UI Developer
Junior Frontend Java Developer