23:48
5/10/2012

Z tzw. odznaczeń “100% bezpieczna, totalnie niehackowalna strona/sklep” żartowaliśmy już nie raz. Okazuje się, że jest kolejny powód, aby pożartować z ich podejścia do bezpieczeństwa…

Gdy odznaka “strona jest bezpieczna” znika…

Jak informuje Shane MacDougall, bardzo łatwo można poznać kiedy strona korzystająca np. z usługi “secure trust mark” od McAfee jest podatna na atak. Wystarczy monitorować, czy odznaczenie zostało danej stronie cofnięte.

Jeśli tak, to oznacza to, że strona nie opłaciła abonamentu albo występuje na niej jakaś podatność na atak. W ramach swojego wykładu na konferencji Derbycon, MacDougall zaprezentował narzędzie Oizys, automatycznie wyszukujące strony, którym cofnięto “certyfikacje”.

derbycon

Wykład MacDougalla na Derbycon

No cóż, metoda MacDougalla nie jest zbyt odkrywcza, a dodatkowo jego narzędzie nie wskazuje podatności, przez którą odznaka została cofnięta (trzeba ją znaleźć samemu). Warto jednak wspomnieć o tym “odkryciu” w kontekście ślepej wiary niektórych, że zapłata za tego typu odznaki jest wystarczająca, aby zapewnić bezpieczeństwo swojemu serwisowi internetowemu. Niestety, strona sama się nie zabezpieczy, a automatyczne skanery podatności, z których korzystają tego typu “programy” certyfikacyjne nie są w stanie znaleźć wszystkich klas błędów. Jeśli ktoś chce mieć bezpieczną stronę, od profesjonalnych pentestów niestety nie ucieknie…

Na stronach, które dumnie chwaliły się światu, iż są bezpieczne (bo posiadały odznakę np. Hacker Safe od McAfee) w przeszłości wielokrotnie znajdowano np. podatności typu XSS. Wtedy przedstawiciele McAfee tłumaczyli to tym, że generalnie ta klasa błędów nie jest tak groźna jak SQL injection…

Jeśli chcecie mieć ikonkę w tym stylu, skorzystajcie z jednej z tych — są za darmo :-)

PS. Może reszta wykładów z Derbycon będzie bardziej odkrywcza — trochę ich jest, a weekend dopiero się zaczyna. Miłego oglądania!

Przeczytaj także:

6 komentarzy

Dodaj komentarz
  1. Fakt nie jest to zbyt odkrywcze ale niektórych trzeba jednak uświadamiać. Prawda jest taka że nic nie jest w 100 % bezpieczne, bo to taki niebezpieczny świat jest.

  2. Kogo obchodzi bezpieczeństwo? Ważne żeby dobre wrażenie sprawiać i zdobyć zaufanie klienta.

  3. ujme to w ten sposob – bo juz dyskutowalem na ten temat w firmie- no i co z tego ze jest niebiezpieczna, ma znaczek i tylko to ise liczy. nistety swiatem IT nie kreca juz “nerdzi” a kasa ze swiata biznesu i tylko to sie liczy, a tylko ludzie ktorzy sie tym interesuja wiedza jak jest naprawde

  4. Może napiszecie o narzędziu od BitDefendera, który zabezpiecza przed luką USSD (od resetu telefonu)? Jest za darmo, z tego co wiem (kolega ściągał na swojego S3, ja pozostanę z moją Nokią 6151, dopóki nie będzie działać ;)).

  5. ktoś tu nie zrozumiał aluzji: http://androny.dyn.pl/2012/10/02/certyfikaty-bezpieczenstwa/#comment-68

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: