NetLock: SSL tanúsítvány az adathalászat elleni küzdelem védőbástyája

forrás Prim Online, 2006. december 12. 11:05
A NetLock Kft. szerint a webhelyek és felhasználóik védelmének egyetlen módja az SSL (Secure Socket Layer) tanúsítványok alkalmazása, mivel ezek segítségével garantáltan megállapítható a weboldal valódisága.
Korunk egyik legveszélyesebb internetes bűnözési formája az adathalászat, más néven phishing, amely a hazai pénzintézeteket sem kíméli. Korábban az OTP, a Raiffeisen Bank, és a Szigetvári Takarékszövetkezet, az elmúlt héten pedig a Budapest Bank és az Erste Bank ügyfelei estek áldozatul a csalók támadásának, akik általában valós cégek nevében küldött e-mail segítségével hamis weboldalra irányítják a felhasználókat, hogy ott megszerezhessék az adott rendszer (internet bank, webáruház) használatához szükséges személyes adataikat. A NetLock Kft., Magyarország vezető hitelesítés-szolgáltató és PKI rendszerintegrátor vállalata szerint az adathalászok ellen egyetlen védekezés létezik, az SSL (Secure Socket Layer) tanúsítványok használata, mivel ezek segítségével garantáltan megállapítható a weboldal valódisága. Az SSL tanúsítvány a webes felületen működtetett elektronikus adattovábbítás biztonságossá tételére alkalmazott hitelességi bizonyítvány, amely megakadályozza, hogy pl. egy internetbankban, vagy akár egy internet áruházban tranzakciót végző ügyfél bármilyen adata illetéktelenül megszerezhető legyen. SSL-lel gyakorlatilag minden böngésző és webkiszolgáló együttműködik, jelenlétére az állapotsávon megjelenő zárt lakat ikonja, illetve az URL címben található http:// előtag helyett szereplő https:// előtag utal.

Az elmúlt években egyre többször előtérbe került adathalászat – más néven phishing – tehát már hazánkba is eljutott. A legújabb áldozatok a Raiffeisen Bank, Budapest Bank, a Szigetvári Takarékszövetkezet és az Erste Bank ügyfelei. A pénzintézetek honlapját szinte teljesen lemásolták a phisherek, majd az intézmények nevében küldtek e-mailt, amelyben a gyanútlan felhasználókat egy valósnak tűnő weboldalra irányították, ahol személyes adataik megadását kérték tőlük. A hamis weblap szinte ugyanúgy működik, mint a valódi, így a tapasztalatlanabb felhasználók könnyen csapdába eshetnek, és mire észbe kapnak már túl késő. A NetLock Kft. szerint azonban kellő körültekintéssel, és az SSL tanúsítványok vizsgálatával a hamis weboldalt könnyedén meg lehet különböztetni a valóditól.

„Tudjuk, milyen veszélyekkel jár az ügyfelek, partnerek számára, ha az elektronikus szolgáltatást nyújtó portált, weblapot működtető cég szervere nincs a megfelelő védelemmel felvértezve, hiszen a behatolók nemcsak az ügyfeleknek okoznak kárt adataik ellopásával, hanem az adott cég egzisztenciáját is rombolják, hiteltelenné teszik a felhasználók szemében. Éppen ezért nagyon fontosnak tartjuk az SSL tanúsítványok használatát, mivel ezek segítségével garantáltan megállapítható a weboldal valódisága, illetve egyértelműen biztonságossá, hitelessé tehető az ügyfél és a webszerver közötti kommunikáció, amely az elektronikus ügyintézés és internetes vásárlás elterjedésével egyre inkább elengedhetetlen” – mondta Rózsahegyi Zsolt, a NetLock Kft. ügyvezető igazgatója. „A csalók elleni küzdelem valódi alternatíváját természetesen az SSL technológia egy fejlettebb változata, a Magyarországon még kevésbé alkalmazott kliens autentikációs SSL jelentené, ugyanis e technológia használatával a felhasználók user név és password megadása nélkül, csupán tanúsítványukkal is bejelentkezhetnek a szolgáltatók oldalaira, így a csalók nem tudnak hozzáférni személyes adataikhoz” – tette hozzá Rózsahegyi.

Rózsahegyi Zsolt szerint, ha egy weboldalon bizalmas információkat, személyes adatokat kérnek tőlünk, legyünk körültekintőek. A weboldallal folytatott kommunikáció ugyanis akkor hiteles és biztonságos, ha az URL-címben https:// előtag áll a http:// helyett, és a böngészőnk figyelmeztető ablakok nélkül nyitja meg a webhelyet, illetve az állapotsoron látjuk a zárt lakatot formázó ikont. Azonban önmagában ez még nem elegendő, ugyanis idén februárban már olyan phisher oldalt is találtak, amely SSL-tanúsítvánnyal rendelkezett. A NetLock Kft. ügyvezetője szerint a lakat ikonra kattintva minden alkalommal meg kell győződnünk arról, hogy a webszerver számára kibocsátott tanúsítványt általunk ismert, valós hitelesítés szolgáltató adta-e ki, milyen célból bocsátották ki, és a tanúsítványba foglalt tulajdonos megegyezik-e az éppen látogatott webhely általunk várt üzemeltetőjével.

A NetLock Kft. arra hívja fel a felhasználók figyelmét, hogy ne adjanak meg személyes adatokat, azonosítókat, jelszavakat olyan weboldalakon (legyen az bank, vagy webáruház), amely nem rendelkezik érvényes SSL tanúsítvánnyal! Ezeknek az oldalaknak a valódisága az alábbi pontokat betartva könnyedén ellenőrizhető:
Először vizsgáljuk meg, hogy az oldal, ahol azonosítókat, jelszavakat, kényes információkat kell megadnia, rendelkezik e SSL tanúsítvánnyal.

Ellenőrzés módja:

Minden weboldal címében alapértelmezetten http:// előtag szerepel. Az ilyen előtagú oldalak nem rendelkeznek SSL tanúsítvánnyal, így az azonosítók, jelszavak megadása kerülendő! A http:// előtagú weboldalak elsősorban információközlésre alkalmasak. Példa (Internet Explorer):




Amennyiben a weboldal rendelkezik SSL tanúsítvánnyal, a weboldal címében https:// jelenik meg. Az ilyen előtaggal rendelkező oldalakkal a kommunikáció titkosított, azonosítóit, jelszavait biztonságosan megadhatja! Példa (Internet Explorer):



A következő lépés az SSL tanúsítvány ellenőrzése. Ez azért rendkívül fontos, mert a csalók is elláthatják adathalász oldalukat SSL tanúsítvánnyal, amit saját maguk bocsátottak ki. Ellenőrizzük, hogy a tanúsítvány elismert, nyilvántartásba vett hitelesítés-szolgáltatótól származik e.

Ellenőrzés módja:

A https:// előtaggal rendelkező oldal megtekintésekor a böngésző program (Internet Explorer, Firefox, stb..) valamely részén, megjelenik egy kis lakat. Példa (Firefox):



Amennyiben a böngésző hibaüzenetet jelez, úgy az SSL tanúsítvánnyal valamilyen probléma van, lejárt, nem megbízható hitelesítés-szolgáltató bocsátotta ki, vagy nem ahhoz a weboldalhoz tartozik, amelyre be akar lépni.

A tanúsítvány ellenőrzéséhez kattintsunk kétszer a kis lakatra. Ellenőrizzük a tulajdonos adatait (a weboldal címét és a szervezetet), a kibocsátó adatait (megbízható hitelesítés-szolgáltatónak kell lennie), és a tanúsítvány érvényességi idejét. A tanúsítványok így néznek ki (Internet Explorer, Firefox):






Ha mindent rendben találunk, nyugodtan adjuk meg a kért adatokat.
Amennyiben azonban az általunk látogatott oldalon érvénytelen SSL tanúsítvány van, vagy egyáltalán nincs, úgy ne adjuk meg kritikus adatainkat, mert ahhoz illetéktelenek is hozzáférhetnek. Alábbiakban a nem megbízható tanúsítványokra láthatunk két példát (Internet Explorer, Firefox):





Az SSL technológia lényege, hogy a webszerver a számára hitelesítés-szolgáltató által kiadott speciális tanúsítvány (elektronikus igazolás) segítségével kialakít egy biztonságos adatátviteli csatornát a felhasználó böngészője és a webszerver között. Így a szerverrel folytatott kommunikáció – információ letöltés, kérdőívek kitöltése, elküldése stb. – ezen a titkosított csatornán keresztül, csak a két kommunikáló fél számára értelmezhető módon fog lebonyolódni. A tanúsítvány ára nem túl magas, kb. 40.000 forint évente és a hazai hitelesítés-szolgáltatók többségétől könnyedén beszerezhető.

A NetLock Kft. 2003. májusban széles körű felmérést készített mintegy 70 ezer magyar weboldalról, felmérve azok biztonságát (SSL-tanúsítvány meglétét). A felmérés szerint a 70 ezer hazai honlapból csupán 1.500 rendelkezett tanúsítvánnyal. A helyzet – bár javult – ma sem sokkal megnyugtatóbb és az aggasztó eredmény pontosan mutatja, hogy a magyarországi site-ok többsége jelenleg egyáltalán nem biztonságos.

A Magyarországon internetes banki szolgáltatást nyújtó pénzintézetek esetében szerencsére kedvezőbb a helyzet, ugyanis nagy részük gondoskodik az ügyfelek adatainak védelméről SSL tanúsítvánnyal. E bankok többsége a vezető PKI rendszerintegrátor, a NetLock Kft. által kibocsátott SSL tanúsítványt használja. Az internetes bankok között található a szintén NetLock tanúsítványt alkalmazó CIB Bank is, amely több évben is elnyerte az Év Internetes Bankja címet.
Kulcsszavak: NetLock security

IT ROVAT TOVÁBBI HÍREI

Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra

Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.

2024. november 4. 13:17

A Samsung új szintre emeli okostévéinek biztonságát

A Samsung saját fejlesztésű kriptográfiai modulja, a Samsung CryptoCore* megszerezte a Nemzeti Szabványügyi és Technológiai Intézet (NIST) rangos FIPS 140-3 tanúsítványát**. A titkosítási minősítés a vállalat azon elhivatottságát támasztja alá, hogy okostelevízióin is kiemelkedő biztonsági és adatvédelmi megoldásokat nyújtson a felhasználóknak.

2024. október 31. 20:11

Az otthoni rehabilitációt segíti a Széchenyi-egyetem mesterséges intelligenciával működő fejlesztése

A győri Széchenyi István Egyetemen jelenleg is több egészségtechnológiai fejlesztés zajlik. Az egyik közülük lehetővé teszi, hogy a betegek a saját otthonukban végezhessék el a rehabilitációjukhoz szükséges fizikai gyakorlatokat. A mesterséges intelligencián alapuló szoftver nemcsak kiértékeli a mozgássor pontosságát, de képes arra is, hogy a kezelőorvosnak erről teljes körű jelentést küldjön.

2024. október 30. 11:48

Kiemelkedő kiberbiztonsági minősítést kapott a Schneider Electric megoldása

A világ első adatközponti infrastruktúra menedzsment (DCIM) hálózati kártyája lett a Schneider Electric EcoStruxure IT Network Management Card 3 megoldása, amely megkapta a Nemzetközi Elektrotechnikai Bizottság (IEC) IEC 62443-4-2 Security Level 2 (SL2) minősítését. Az új minősítés szigorúbb követelményeket takar és kiberbiztonsági szempontból nagyobb ellenállóképességet jelent, mint a tavaly elnyert SL1. 

2024. október 27. 12:03

Szélesebb, merészebb, gazdagabb az új AGON PRO gaming monitor

Az AGON by AOC – a világ egyik vezető gaming monitor* és IT-kiegészítő márkája – büszkén jelenti be az AGON PRO AG346UCD, egy élvonalbeli 34 hüvelykes (86,4 cm) ívelt gaming monitor bevezetését. A gaming rajongóknak szánt AGON PRO felső kategóriás termékcsaládjának W-OLED és QD-OLED sorozatát ez az új modell QD-OLED panellel, 175 Hz képfrissítési sebességgel és UWQHD (3440x1440) felbontással egészíti ki. Az AG346UCD új mércét állít fel a magával ragadó játékélmény terén, különösen a széles, kiterjedt RPG vagy a történet-vezérelt játékok, valamint a szimulátoros autóversenyek, repülésszimulátorok és akciódús műfajok esetében.

2024. október 25. 16:05

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59