NetLock: SSL tanúsítvány az adathalászat elleni küzdelem védőbástyája

forrás Prim Online, 2006. december 12. 11:05
A NetLock Kft. szerint a webhelyek és felhasználóik védelmének egyetlen módja az SSL (Secure Socket Layer) tanúsítványok alkalmazása, mivel ezek segítségével garantáltan megállapítható a weboldal valódisága.
Korunk egyik legveszélyesebb internetes bűnözési formája az adathalászat, más néven phishing, amely a hazai pénzintézeteket sem kíméli. Korábban az OTP, a Raiffeisen Bank, és a Szigetvári Takarékszövetkezet, az elmúlt héten pedig a Budapest Bank és az Erste Bank ügyfelei estek áldozatul a csalók támadásának, akik általában valós cégek nevében küldött e-mail segítségével hamis weboldalra irányítják a felhasználókat, hogy ott megszerezhessék az adott rendszer (internet bank, webáruház) használatához szükséges személyes adataikat. A NetLock Kft., Magyarország vezető hitelesítés-szolgáltató és PKI rendszerintegrátor vállalata szerint az adathalászok ellen egyetlen védekezés létezik, az SSL (Secure Socket Layer) tanúsítványok használata, mivel ezek segítségével garantáltan megállapítható a weboldal valódisága. Az SSL tanúsítvány a webes felületen működtetett elektronikus adattovábbítás biztonságossá tételére alkalmazott hitelességi bizonyítvány, amely megakadályozza, hogy pl. egy internetbankban, vagy akár egy internet áruházban tranzakciót végző ügyfél bármilyen adata illetéktelenül megszerezhető legyen. SSL-lel gyakorlatilag minden böngésző és webkiszolgáló együttműködik, jelenlétére az állapotsávon megjelenő zárt lakat ikonja, illetve az URL címben található http:// előtag helyett szereplő https:// előtag utal.

Az elmúlt években egyre többször előtérbe került adathalászat – más néven phishing – tehát már hazánkba is eljutott. A legújabb áldozatok a Raiffeisen Bank, Budapest Bank, a Szigetvári Takarékszövetkezet és az Erste Bank ügyfelei. A pénzintézetek honlapját szinte teljesen lemásolták a phisherek, majd az intézmények nevében küldtek e-mailt, amelyben a gyanútlan felhasználókat egy valósnak tűnő weboldalra irányították, ahol személyes adataik megadását kérték tőlük. A hamis weblap szinte ugyanúgy működik, mint a valódi, így a tapasztalatlanabb felhasználók könnyen csapdába eshetnek, és mire észbe kapnak már túl késő. A NetLock Kft. szerint azonban kellő körültekintéssel, és az SSL tanúsítványok vizsgálatával a hamis weboldalt könnyedén meg lehet különböztetni a valóditól.

„Tudjuk, milyen veszélyekkel jár az ügyfelek, partnerek számára, ha az elektronikus szolgáltatást nyújtó portált, weblapot működtető cég szervere nincs a megfelelő védelemmel felvértezve, hiszen a behatolók nemcsak az ügyfeleknek okoznak kárt adataik ellopásával, hanem az adott cég egzisztenciáját is rombolják, hiteltelenné teszik a felhasználók szemében. Éppen ezért nagyon fontosnak tartjuk az SSL tanúsítványok használatát, mivel ezek segítségével garantáltan megállapítható a weboldal valódisága, illetve egyértelműen biztonságossá, hitelessé tehető az ügyfél és a webszerver közötti kommunikáció, amely az elektronikus ügyintézés és internetes vásárlás elterjedésével egyre inkább elengedhetetlen” – mondta Rózsahegyi Zsolt, a NetLock Kft. ügyvezető igazgatója. „A csalók elleni küzdelem valódi alternatíváját természetesen az SSL technológia egy fejlettebb változata, a Magyarországon még kevésbé alkalmazott kliens autentikációs SSL jelentené, ugyanis e technológia használatával a felhasználók user név és password megadása nélkül, csupán tanúsítványukkal is bejelentkezhetnek a szolgáltatók oldalaira, így a csalók nem tudnak hozzáférni személyes adataikhoz” – tette hozzá Rózsahegyi.

Rózsahegyi Zsolt szerint, ha egy weboldalon bizalmas információkat, személyes adatokat kérnek tőlünk, legyünk körültekintőek. A weboldallal folytatott kommunikáció ugyanis akkor hiteles és biztonságos, ha az URL-címben https:// előtag áll a http:// helyett, és a böngészőnk figyelmeztető ablakok nélkül nyitja meg a webhelyet, illetve az állapotsoron látjuk a zárt lakatot formázó ikont. Azonban önmagában ez még nem elegendő, ugyanis idén februárban már olyan phisher oldalt is találtak, amely SSL-tanúsítvánnyal rendelkezett. A NetLock Kft. ügyvezetője szerint a lakat ikonra kattintva minden alkalommal meg kell győződnünk arról, hogy a webszerver számára kibocsátott tanúsítványt általunk ismert, valós hitelesítés szolgáltató adta-e ki, milyen célból bocsátották ki, és a tanúsítványba foglalt tulajdonos megegyezik-e az éppen látogatott webhely általunk várt üzemeltetőjével.

A NetLock Kft. arra hívja fel a felhasználók figyelmét, hogy ne adjanak meg személyes adatokat, azonosítókat, jelszavakat olyan weboldalakon (legyen az bank, vagy webáruház), amely nem rendelkezik érvényes SSL tanúsítvánnyal! Ezeknek az oldalaknak a valódisága az alábbi pontokat betartva könnyedén ellenőrizhető:
Először vizsgáljuk meg, hogy az oldal, ahol azonosítókat, jelszavakat, kényes információkat kell megadnia, rendelkezik e SSL tanúsítvánnyal.

Ellenőrzés módja:

Minden weboldal címében alapértelmezetten http:// előtag szerepel. Az ilyen előtagú oldalak nem rendelkeznek SSL tanúsítvánnyal, így az azonosítók, jelszavak megadása kerülendő! A http:// előtagú weboldalak elsősorban információközlésre alkalmasak. Példa (Internet Explorer):




Amennyiben a weboldal rendelkezik SSL tanúsítvánnyal, a weboldal címében https:// jelenik meg. Az ilyen előtaggal rendelkező oldalakkal a kommunikáció titkosított, azonosítóit, jelszavait biztonságosan megadhatja! Példa (Internet Explorer):



A következő lépés az SSL tanúsítvány ellenőrzése. Ez azért rendkívül fontos, mert a csalók is elláthatják adathalász oldalukat SSL tanúsítvánnyal, amit saját maguk bocsátottak ki. Ellenőrizzük, hogy a tanúsítvány elismert, nyilvántartásba vett hitelesítés-szolgáltatótól származik e.

Ellenőrzés módja:

A https:// előtaggal rendelkező oldal megtekintésekor a böngésző program (Internet Explorer, Firefox, stb..) valamely részén, megjelenik egy kis lakat. Példa (Firefox):



Amennyiben a böngésző hibaüzenetet jelez, úgy az SSL tanúsítvánnyal valamilyen probléma van, lejárt, nem megbízható hitelesítés-szolgáltató bocsátotta ki, vagy nem ahhoz a weboldalhoz tartozik, amelyre be akar lépni.

A tanúsítvány ellenőrzéséhez kattintsunk kétszer a kis lakatra. Ellenőrizzük a tulajdonos adatait (a weboldal címét és a szervezetet), a kibocsátó adatait (megbízható hitelesítés-szolgáltatónak kell lennie), és a tanúsítvány érvényességi idejét. A tanúsítványok így néznek ki (Internet Explorer, Firefox):






Ha mindent rendben találunk, nyugodtan adjuk meg a kért adatokat.
Amennyiben azonban az általunk látogatott oldalon érvénytelen SSL tanúsítvány van, vagy egyáltalán nincs, úgy ne adjuk meg kritikus adatainkat, mert ahhoz illetéktelenek is hozzáférhetnek. Alábbiakban a nem megbízható tanúsítványokra láthatunk két példát (Internet Explorer, Firefox):





Az SSL technológia lényege, hogy a webszerver a számára hitelesítés-szolgáltató által kiadott speciális tanúsítvány (elektronikus igazolás) segítségével kialakít egy biztonságos adatátviteli csatornát a felhasználó böngészője és a webszerver között. Így a szerverrel folytatott kommunikáció – információ letöltés, kérdőívek kitöltése, elküldése stb. – ezen a titkosított csatornán keresztül, csak a két kommunikáló fél számára értelmezhető módon fog lebonyolódni. A tanúsítvány ára nem túl magas, kb. 40.000 forint évente és a hazai hitelesítés-szolgáltatók többségétől könnyedén beszerezhető.

A NetLock Kft. 2003. májusban széles körű felmérést készített mintegy 70 ezer magyar weboldalról, felmérve azok biztonságát (SSL-tanúsítvány meglétét). A felmérés szerint a 70 ezer hazai honlapból csupán 1.500 rendelkezett tanúsítvánnyal. A helyzet – bár javult – ma sem sokkal megnyugtatóbb és az aggasztó eredmény pontosan mutatja, hogy a magyarországi site-ok többsége jelenleg egyáltalán nem biztonságos.

A Magyarországon internetes banki szolgáltatást nyújtó pénzintézetek esetében szerencsére kedvezőbb a helyzet, ugyanis nagy részük gondoskodik az ügyfelek adatainak védelméről SSL tanúsítvánnyal. E bankok többsége a vezető PKI rendszerintegrátor, a NetLock Kft. által kibocsátott SSL tanúsítványt használja. Az internetes bankok között található a szintén NetLock tanúsítványt alkalmazó CIB Bank is, amely több évben is elnyerte az Év Internetes Bankja címet.