NetLock: SSL tanúsítvány az adathalászat elleni küzdelem védőbástyája
Az elmúlt években egyre többször előtérbe került adathalászat – más néven phishing – tehát már hazánkba is eljutott. A legújabb áldozatok a Raiffeisen Bank, Budapest Bank, a Szigetvári Takarékszövetkezet és az Erste Bank ügyfelei. A pénzintézetek honlapját szinte teljesen lemásolták a phisherek, majd az intézmények nevében küldtek e-mailt, amelyben a gyanútlan felhasználókat egy valósnak tűnő weboldalra irányították, ahol személyes adataik megadását kérték tőlük. A hamis weblap szinte ugyanúgy működik, mint a valódi, így a tapasztalatlanabb felhasználók könnyen csapdába eshetnek, és mire észbe kapnak már túl késő. A NetLock Kft. szerint azonban kellő körültekintéssel, és az SSL tanúsítványok vizsgálatával a hamis weboldalt könnyedén meg lehet különböztetni a valóditól.
„Tudjuk, milyen veszélyekkel jár az ügyfelek, partnerek számára, ha az elektronikus szolgáltatást nyújtó portált, weblapot működtető cég szervere nincs a megfelelő védelemmel felvértezve, hiszen a behatolók nemcsak az ügyfeleknek okoznak kárt adataik ellopásával, hanem az adott cég egzisztenciáját is rombolják, hiteltelenné teszik a felhasználók szemében. Éppen ezért nagyon fontosnak tartjuk az SSL tanúsítványok használatát, mivel ezek segítségével garantáltan megállapítható a weboldal valódisága, illetve egyértelműen biztonságossá, hitelessé tehető az ügyfél és a webszerver közötti kommunikáció, amely az elektronikus ügyintézés és internetes vásárlás elterjedésével egyre inkább elengedhetetlen” – mondta Rózsahegyi Zsolt, a NetLock Kft. ügyvezető igazgatója. „A csalók elleni küzdelem valódi alternatíváját természetesen az SSL technológia egy fejlettebb változata, a Magyarországon még kevésbé alkalmazott kliens autentikációs SSL jelentené, ugyanis e technológia használatával a felhasználók user név és password megadása nélkül, csupán tanúsítványukkal is bejelentkezhetnek a szolgáltatók oldalaira, így a csalók nem tudnak hozzáférni személyes adataikhoz” – tette hozzá Rózsahegyi.
Rózsahegyi Zsolt szerint, ha egy weboldalon bizalmas információkat, személyes adatokat kérnek tőlünk, legyünk körültekintőek. A weboldallal folytatott kommunikáció ugyanis akkor hiteles és biztonságos, ha az URL-címben https:// előtag áll a http:// helyett, és a böngészőnk figyelmeztető ablakok nélkül nyitja meg a webhelyet, illetve az állapotsoron látjuk a zárt lakatot formázó ikont. Azonban önmagában ez még nem elegendő, ugyanis idén februárban már olyan phisher oldalt is találtak, amely SSL-tanúsítvánnyal rendelkezett. A NetLock Kft. ügyvezetője szerint a lakat ikonra kattintva minden alkalommal meg kell győződnünk arról, hogy a webszerver számára kibocsátott tanúsítványt általunk ismert, valós hitelesítés szolgáltató adta-e ki, milyen célból bocsátották ki, és a tanúsítványba foglalt tulajdonos megegyezik-e az éppen látogatott webhely általunk várt üzemeltetőjével.
A NetLock Kft. arra hívja fel a felhasználók figyelmét, hogy ne adjanak meg személyes adatokat, azonosítókat, jelszavakat olyan weboldalakon (legyen az bank, vagy webáruház), amely nem rendelkezik érvényes SSL tanúsítvánnyal! Ezeknek az oldalaknak a valódisága az alábbi pontokat betartva könnyedén ellenőrizhető:
Először vizsgáljuk meg, hogy az oldal, ahol azonosítókat, jelszavakat, kényes információkat kell megadnia, rendelkezik e SSL tanúsítvánnyal.
Ellenőrzés módja:
Minden weboldal címében alapértelmezetten http:// előtag szerepel. Az ilyen előtagú oldalak nem rendelkeznek SSL tanúsítvánnyal, így az azonosítók, jelszavak megadása kerülendő! A http:// előtagú weboldalak elsősorban információközlésre alkalmasak. Példa (Internet Explorer):
Amennyiben a weboldal rendelkezik SSL tanúsítvánnyal, a weboldal címében https:// jelenik meg. Az ilyen előtaggal rendelkező oldalakkal a kommunikáció titkosított, azonosítóit, jelszavait biztonságosan megadhatja! Példa (Internet Explorer):
A következő lépés az SSL tanúsítvány ellenőrzése. Ez azért rendkívül fontos, mert a csalók is elláthatják adathalász oldalukat SSL tanúsítvánnyal, amit saját maguk bocsátottak ki. Ellenőrizzük, hogy a tanúsítvány elismert, nyilvántartásba vett hitelesítés-szolgáltatótól származik e.
Ellenőrzés módja:
A https:// előtaggal rendelkező oldal megtekintésekor a böngésző program (Internet Explorer, Firefox, stb..) valamely részén, megjelenik egy kis lakat. Példa (Firefox):
Amennyiben a böngésző hibaüzenetet jelez, úgy az SSL tanúsítvánnyal valamilyen probléma van, lejárt, nem megbízható hitelesítés-szolgáltató bocsátotta ki, vagy nem ahhoz a weboldalhoz tartozik, amelyre be akar lépni.
A tanúsítvány ellenőrzéséhez kattintsunk kétszer a kis lakatra. Ellenőrizzük a tulajdonos adatait (a weboldal címét és a szervezetet), a kibocsátó adatait (megbízható hitelesítés-szolgáltatónak kell lennie), és a tanúsítvány érvényességi idejét. A tanúsítványok így néznek ki (Internet Explorer, Firefox):
Ha mindent rendben találunk, nyugodtan adjuk meg a kért adatokat.
Amennyiben azonban az általunk látogatott oldalon érvénytelen SSL tanúsítvány van, vagy egyáltalán nincs, úgy ne adjuk meg kritikus adatainkat, mert ahhoz illetéktelenek is hozzáférhetnek. Alábbiakban a nem megbízható tanúsítványokra láthatunk két példát (Internet Explorer, Firefox):
Az SSL technológia lényege, hogy a webszerver a számára hitelesítés-szolgáltató által kiadott speciális tanúsítvány (elektronikus igazolás) segítségével kialakít egy biztonságos adatátviteli csatornát a felhasználó böngészője és a webszerver között. Így a szerverrel folytatott kommunikáció – információ letöltés, kérdőívek kitöltése, elküldése stb. – ezen a titkosított csatornán keresztül, csak a két kommunikáló fél számára értelmezhető módon fog lebonyolódni. A tanúsítvány ára nem túl magas, kb. 40.000 forint évente és a hazai hitelesítés-szolgáltatók többségétől könnyedén beszerezhető.
A NetLock Kft. 2003. májusban széles körű felmérést készített mintegy 70 ezer magyar weboldalról, felmérve azok biztonságát (SSL-tanúsítvány meglétét). A felmérés szerint a 70 ezer hazai honlapból csupán 1.500 rendelkezett tanúsítvánnyal. A helyzet – bár javult – ma sem sokkal megnyugtatóbb és az aggasztó eredmény pontosan mutatja, hogy a magyarországi site-ok többsége jelenleg egyáltalán nem biztonságos.
A Magyarországon internetes banki szolgáltatást nyújtó pénzintézetek esetében szerencsére kedvezőbb a helyzet, ugyanis nagy részük gondoskodik az ügyfelek adatainak védelméről SSL tanúsítvánnyal. E bankok többsége a vezető PKI rendszerintegrátor, a NetLock Kft. által kibocsátott SSL tanúsítványt használja. Az internetes bankok között található a szintén NetLock tanúsítványt alkalmazó CIB Bank is, amely több évben is elnyerte az Év Internetes Bankja címet.
Kapcsolódó cikkek
- "Rendkívül kritikus" hiba a Yahoo IM szolgáltatásában
- Négy kritikus javítás kiadására készül a Microsoft
- Az IT kiadások mind nagyobb részét költjük energiára és hűtésre
- Sophos biztonsági megoldás a General Electric 350.000 gépén
- Piacvezető itthon a NOD32
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional
- IT hálózatok teljesítmény-optimalizálása az Atigristől
- Naponta közel tízezer újabb víruskóddal fertőzött oldalt talál a Sophos
- Az EU hadat üzen a kiberbűnözésnek
- ActiveX-hiba az Office 2000-ben
IT ROVAT TOVÁBBI HÍREI
Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra
Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.
A Samsung új szintre emeli okostévéinek biztonságát
A Samsung saját fejlesztésű kriptográfiai modulja, a Samsung CryptoCore* megszerezte a Nemzeti Szabványügyi és Technológiai Intézet (NIST) rangos FIPS 140-3 tanúsítványát**. A titkosítási minősítés a vállalat azon elhivatottságát támasztja alá, hogy okostelevízióin is kiemelkedő biztonsági és adatvédelmi megoldásokat nyújtson a felhasználóknak.
Az otthoni rehabilitációt segíti a Széchenyi-egyetem mesterséges intelligenciával működő fejlesztése
A győri Széchenyi István Egyetemen jelenleg is több egészségtechnológiai fejlesztés zajlik. Az egyik közülük lehetővé teszi, hogy a betegek a saját otthonukban végezhessék el a rehabilitációjukhoz szükséges fizikai gyakorlatokat. A mesterséges intelligencián alapuló szoftver nemcsak kiértékeli a mozgássor pontosságát, de képes arra is, hogy a kezelőorvosnak erről teljes körű jelentést küldjön.
Kiemelkedő kiberbiztonsági minősítést kapott a Schneider Electric megoldása
A világ első adatközponti infrastruktúra menedzsment (DCIM) hálózati kártyája lett a Schneider Electric EcoStruxure IT Network Management Card 3 megoldása, amely megkapta a Nemzetközi Elektrotechnikai Bizottság (IEC) IEC 62443-4-2 Security Level 2 (SL2) minősítését. Az új minősítés szigorúbb követelményeket takar és kiberbiztonsági szempontból nagyobb ellenállóképességet jelent, mint a tavaly elnyert SL1.
Szélesebb, merészebb, gazdagabb az új AGON PRO gaming monitor
Az AGON by AOC – a világ egyik vezető gaming monitor* és IT-kiegészítő márkája – büszkén jelenti be az AGON PRO AG346UCD, egy élvonalbeli 34 hüvelykes (86,4 cm) ívelt gaming monitor bevezetését. A gaming rajongóknak szánt AGON PRO felső kategóriás termékcsaládjának W-OLED és QD-OLED sorozatát ez az új modell QD-OLED panellel, 175 Hz képfrissítési sebességgel és UWQHD (3440x1440) felbontással egészíti ki. Az AG346UCD új mércét állít fel a magával ragadó játékélmény terén, különösen a széles, kiterjedt RPG vagy a történet-vezérelt játékok, valamint a szimulátoros autóversenyek, repülésszimulátorok és akciódús műfajok esetében.