Az IT technológia fejlődésével, az interneten folyó adatforgalom védelme érdekében egyre inkább a folytonos biztonság elve kerül előtérbe. Jó példa erre a Debian nyár eleji bejelentése, miszerint hibát észleltek az általuk terjesztett OpenSSL csomagban, így a rendszer által előállított tanúsítványok biztonsági kockázatot hordoztak.
A kódhiba miatt a Debian Linux szervereken generált tanúsítványok kulcsait jelenlegi technológia mellett egy képzett adathalász képes lett volna megfejteni alig több mint 3 óra alatt. Az ügyfelek adatforgalmának titkosítását biztosító hiteles SSL tanúsítványok kibocsátásával is foglalkozó NetLock Kft. kriptográfiai monitoring csoportja a bejelentés kapcsán a problémát valósnak ítélve, proaktívan értesítette ügyfeleit és személyes konzultációt biztosított számukra. Az érintett weboldalak kapcsán rövid időn belül megkezdte az új tanúsítványok kibocsátását, majd a kérdéskörben érintett sérült tanúsítványokat kompromittáltságuk miatt központilag visszavonta.
A NetLock a fő veszélyt abban látja, hogy a megfejtett kulcspárok birtokában az említett támadó létrehozhat egy olyan SSL tanúsítványt, amely teljesen megegyezhet az eredeti oldalon (pl: banki bejelentkező felületen) használt SSL tanúsítvánnyal. A hiba kihasználásával létrehozott tanúsítvány bármely adata (pl. a tanúsítványban található webcím) megváltoztatható, így az adathalászat eszközéül használt „ál weboldal”, a gyanútlan látogató számára hitelesnek fog mutatkozni. Ezen az oldalon pedig a látogató, akaratán és tudtán kívül illetéktelenek részére ad meg olyan információkat (pl.: bankkártya adatok, belépési nevek, jelszavak stb.), amelyekkel később nagy kár okozható.
A NetLock Kft. a Debian bejelentése alapján széles körű elemzést is készített mintegy 70 ezer magyar domain-t vizsgálva, felmérve azok biztonságát. A felmérés szerint a 70 ezer hazai honlapból alig 3000 rendelkezik – a weboldal legmagasabb szintű biztonságát szavatoló – SSL tanúsítvánnyal és közülük is 14 százalék kriptográfiailag gyenge tanúsítványt használ, azaz kompromittáltnak tekinthető az említett Debian kódhiba által. A NetLock szerint ez a helyzet aggasztó, mivel az eredmény pontosan azt mutatja, hogy a magyarországi site-ok többsége nem, vagy nem megfelelően használ SSL technológiát, ezért felületükön bizalmas információt átadni, online fizetni, adatforgalmat bonyolítani jelenleg nem biztonságos.
„Napjainkban mind nagyobb számban vesszük igénybe az internetes honlapok nyújtotta elektronikus szolgáltatásokat, jegyet rendelünk, webáruházban vásárolunk, banki ügyleteket végzünk, de sokszor nem is gondolunk arra, hogy az általunk megadott személyes adatok olykor veszélyben lehetnek” – mondta Rózsahegyi Zsolt a NetLock Kft. ügyvezető igazgatója. Vállalatunk a legszigorúbb követelményeknek is megfelelő szolgáltatói hátteret üzemelteti, így minden időpillanatban garantáljuk ügyfeleink számára a maximális biztonságot. Tevékenységünk során folyamatosan végzünk kriptográfiai figyelést, amelynek keretén belül a nap 24 órájában monitorozzuk a hitelesítés terén alkalmazandó lenyomatkezelő algoritmusok működését. Ahol hibát, vagy fennakadást tapasztalunk, azonnal megtesszük a szükséges intézkedéseket” – tette hozzá Rózsahegyi Zsolt.
A NetLock ügyfelei biztonságban érezhetik magukat
A NetLock kriptográfiai figyelés szolgáltatását általában a kiemelt ügyfelek veszik igénybe, de a vállalat a nagy biztonsági kockázatra való tekintettel és a piac védelme érdekében úgy döntött, hogy jelen esetben a szolgáltatásra elő nem fizetett ügyfelei számára is biztosítja a konzultációs lehetőséget. A NetLock szakemberei szerint azonban még mindig sok az olyan honlap, amelyen úgy kérnek bizalmas információt a felhasználóktól, hogy nem gondoskodnak annak védelméről. A Debian esete is azt mutatja, hogy a hitelesítéshez szükséges eszközöket a folyamatos támogatás érdekében érdemes hozzáértő, megbízható és a magyar piaci sajátosságokat jól ismerő hitelesítés-szolgáltatótól beszerezni.
A NetLock Kft. hazai székhelyű vállalat. A lokális piac ismeretéből adódóan a tanúsítvány-kiadási eljárása biztonságosabb a nemzetközi szolgáltatókénál, emellett magyar nyelven támogatott. A szakértők rövid határidővel állnak az ügyfelek rendelkezésére a felmerülő kérdések megválaszolásában, jogvita esetén pedig a magyar hatóságok által lefolytatott eljárásban szerezhet érvényt érdekeinek a tanúsítvány tulajdonosa. Ugyanakkor a NetLock tanúsítványok az egész világon elfogadottak, hiszen a NetLock Kft. 1999 óta világszerte valamennyi Microsoft termékben (Internet Explorer, Outlook, Outlook Express), valamint 2005 óta a Mozilla Suite, Firefox, Safari, Thunderbird böngészőkben és levelező szoftverekben, a PGP alkalmazáscsomagban mint megbízható legfelső színtű hitelesítés-szolgáltató szerepel. A cég szakembergárdájával a szükséges eljárások bevezetése és felügyelete mellett az infrastruktúra technológiai fejlesztését, honosítását és működtetését is végzi. Kis és közepes vállalatok teljes nyilvános kulcs infrastruktúrájának (PKI) kiépítése mellett technológiája alkalmas akár országos méretű rendszerek kiépítésére is.
Az SSL technológia
A technológia lényege, hogy a webszerver a számára kiadott speciális SSL tanúsítvány (elektronikus igazolás) segítségével kialakít egy biztonságos adatátviteli csatornát a felhasználó böngészője és a webszerver között. Így a szerverrel folytatott kommunikáció – információ letöltés, kérdőívek kitöltése, elküldése stb. – ezen a titkosított csatornán keresztül, csak a két kommunikáló fél számára értelmezhető módon fog lebonyolódni. SSL-lel gyakorlatilag minden böngésző és webkiszolgáló együttműködik, jelenlétére az állapotsávon megjelenő zárt lakat ikonja, illetve az URL címben található http:// előtag helyett szereplő https:// előtag utal.
E technológia egy fejlettebb változatában, az úgynevezett kliens autentikációs SSL segítségével a felhasználó és a szerver között úgy jön létre a biztonságos adatkapcsolat, hogy ahhoz mindkét oldalon tanúsítvány (a felhasználó oldalán saját személyes tanúsítványa) biztosítja a szükséges hiteles publikus kulcsokat. E változat egyik fő előnye, hogy a felhasználók user név és password megadása nélkül, csupán tanúsítványukkal is bejelentkezhetnek a szolgáltatók oldalaira.
|