Mark Zuckerberg Facebook-profiljának feltörése, egy biztonságikamera-gyártó megoldásának megkerülése, melynek köszönhetően több száz lakásról került ki élő videofolyam az internetre, mind friss példaként szolgálnak arra, hogy a programozók által elkövetett hibák milyen károkat tudnak okozni. A vállalatok tudják ezt, ezért egyre komolyabb erőforrásokat szánnak meglévő rendszereik biztonsági tesztelésére. Az EC-Council etikus hacker tanfolyamát hazánkban kizárólagosan képviselő NetAcademia Oktatóközpont adatai szerint például Magyarországon már közel 1000-en szerezték meg a Certified Ethical Hacking minősítést, melynek segítségével a már kész alkalmazásokban tárhatók fel a kritikus biztonsági rések. Ugyanakkor a tudatos megelőzés, a biztonsági rések fejlesztési fázisban történő kizárása egyelőre úgy tűnik, hogy nincs fókuszban.
„Alapvető problémát jelent, hogy a fejlesztők képzése jellemzően nem terjed ki arra, hogyan készítsünk megbízhatóan működő, biztonságos alkalmazásokat, s ez a fajta tudás sokszor még elvárásként sem fogalmazódik meg a projektek, illetve az állásinterjúk során” – mondja Fóti Marcell, a NetAcademia Oktatóközpont ügyvezető igazgatója. Márpedig az, hogy valami biztonságos lesz-e, kizárólag a fejlesztőn, illetve az őt foglalkoztató vállalaton múlik.
60-szor többe kerül az utólagos javítás
„Egy szoftver biztonsági réseinek utólagos betömése ráadásul rendkívül költséges. Ha egy kész, piacon lévő alkalmazásban kell a hibákat javítani, az iparági tapasztalatok alapján 60-szor kerül többe, mintha már a tervezés fázisában befoltoznák a kritikus lyukakat, s akkor még nem esett szó az okozott erkölcsi és anyagi károkról” – tette hozzá Balássy György, a tanfolyam oktatatója, a Microsoft regionális igazgatója. Így az etikus hacker tanfolyamokat is jegyző EC-Council adatai sem meglepőek, miszerint a kritikus biztonsági hibák 34 százaléka egyszerűen nem kerül javításra. Az EC-Council ezért egy új tanfolyamot és kapcsolódó minősítést dolgozott ki Certified Secure Programmer .NET néven, melynek keretében a biztonságos programozás módszertanát sajátíthatják el a résztvevők.
Hazánkban a NetAcademia Oktatóközpontban elérhető tanfolyam hallgatói megismerik a .NET keretrendszer és a ráépülő alkalmazások biztonsági szempontból gyenge pontjait, és elsajátítják a biztonságcentrikus alkalmazástervezés és -fejlesztés szemléletét. „A több mint 100 gyakorlati támadási technika kivédésén túl a fejlesztők így képessé vállnak arra, hogy már a rendszer tervezésének fázisában befoltozzák a potenciális biztonsági réseket” – mondta Fóti Marcell. A képzés 20 százalékban elméleti, 80 százalékban gyakorlati – konkrét programozási feladatok végrehajtását megcélzó – órákból áll, segítségével a webes, asztali, illetve mobilalkalmazások is biztonságosabbá tehetők.
TOP 10 webes támadási forma 2013-ban
A Certified Secure Programmer .NET tanfolyamot kidolgozó EC-Council adatai alapján a leginkább nagyvállalatok által használt .NET környezetben az alábbi támadástípusok a legelterjedtebbek. Ezek egytől egyig kivédhetők a biztonságos programozási ismeretek birtokában.
Cross-Site Scripting (XSS): A leggyakoribb olyan hiba, ami akár úgynevezett „deface”-eléshez, vagyis a weboldal lecseréléséhez is vezethet. Ha látványos hackelést látunk, XSS-sérülékenység lehet a háttérben.
Information leakage: Mások számára hozzáférhetetlen adatok elérhetősége illetéktelenek számára, trükkös adatlekérésekkel.
Content spoofing: A támadó módosítja, meghamisítja a böngésző által megjelenített tartalmat, ezáltal például elhitetve a felhasználóval, hogy van még pénze a bankszámláján – miközben már rég leemelték a rendelkezésre álló összeget.
Insufficient authorization: A fejlesztő rosszul valósította meg a jogosultságellenőrzést, így a támadó olyan helyekre is bejut, ahol nem lenne semmi keresnivalója. Jó példa erre egy ismert nemzetközi botrány, amikor egy földhivatali adatbázisba bárki vihetett fel új régiót a neten keresztül, ha tudta a megfelelő URL-t.
SQL injection: A támadó egy adatbeviteli mezőbe úgynevezett SQL-kódot ír be, ami a szerveroldalon lefutva halálos sebet is ejthet az alkalmazáson.
Predictable resource location: Megjósolható, hogy a (web)szerveren hol találhatóak a támadó számára értékes információk. Tipikus példa erre a Citibank weboldalának 2011-es feltörése, amikor egy URL-azonosító átírásával a felhasználók egymás bankszámlájában gyönyörködhettek.
Session fixation: A támadó előre meghatározza az áldozat munkamenet-azonosítóját, így később könnyen el tudja téríteni a munkamenetet, meg tudja személyesíteni a felhasználót, eljárhat a nevében.
Cross-site request forgery: A támadónak sikerül elérnie, hogy a felhasználó böngészője a felhasználó nevében, az ő jogosultságaival, de a tudta nélkül kommunikáljon egy webszerverrel.
Insufficient authentication: A rosszul megvalósított bejelentkezés kijátszható, így a hacker esetleg valós bejelentkezés nélkül is hozzáfér a rendszer fizetős szolgáltatásaihoz.
HTTP response splitting: A támadó megszakítja a webszervertől érkező HTTP választ, több részre bontja, amit azután a webböngésző hibásan dolgoz fel.
Forrás: EC-Council – NetAcademia Oktatóközpont – Certified Secure Programmer .NET / Biztonságos programozás .NET-ben
Kapcsolódó webcím:
A biztonságos programozás tematikája:
http://www.netacademia.hu/Info/ECSP
Az EC-Council hivatalos ismertetője:
http://www.eccouncil.org/Certification/ec-council-certified-secure-programmer-dotnet
Kapcsolódó képanyag:
Fóti Marcell fotója nyomdai felbontásban:
http://www.sakkom.hu/sajto/netacademia/kepek/Foti_Marcell_NetAcademia_nyomdai.jpg
Fóti Marcell fotója webes felbontásban:
http://www.sakkom.hu/sajto/netacademia/kepek/Foti_Marcell_NetAcademia_webre.jpg
További információ:
ügyvezető
SAKKOM Interaktív
online marketing + pr ügynökség
Telefon: (+36) 1 237-0212
Fax: (+36) 1 237-0213
Mobil: (+36) 20-3333-220
E-mail: kkolma@sakkom.hu
Cím: 1139 Budapest, Petneházy u. 52.
Webcím: www.sakkom.hu
Facebook: facebook.com/sakkom.interaktiv
A NetAcademia Oktatóközpontról:
A NetAcademia Oktatóközpont 1999 óta tart magas szintű, egyedi informatikai tanfolyamokat abból a célból, hogy hallgatóik megismerjék a nagyvállalati informatikai rendszerek költséghatékony és megbízható tervezését, bevezetését, üzemeltetését és fejlesztését. A cég oktatógárdája magasan képzett, gyakorlati tapasztalattal rendelkező szakemberekből áll, akik számos nemzetközileg elismert fejlesztői, rendszergazdai, valamint biztonságtechnikai minősítéssel rendelkeznek. Az Oktatóközpontnál az országban a legnagyobb az egy négyzetméterre eső MVP-k száma, összesen négy oktató munkáját ismerte el a Microsoft ezzel a kitüntetéssel.
A NetAcademia oktatóközpont díjai:
2008 - IT Business Leadership Award. A díjat a több mint tízezer hazai IT-biztonsági szakembert megmozgató, online képzési rendszer, az Ördöglakat megalkotásáért vehettük át.
2009 - EC Council Circle of Excellence. A Floridai Miamiben átvett díjat oktatóközpontunk a nemzetközi viszonylatban is kiemelkedő Ethical Hacking oktatásokért kapta.
2010 - Windows Azure Platform Partner of the Year. A rangos nemzetközi díjat Washington DC-ben, a Microsoft éves partnerkonferenciáján vette át Fóti Marcell ügyvezető.
A NetAcademia 2004 óta Microsoft Gold Certified Partner, 2007-től az Ethical Hacking tanfolyamot jegyző International Council of Electronic Commerce Consultants (EC-Council), 2008-tól a Linux Professional Institute kizárólagos magyarországi képviselője, 2009 óta pedig Novell Gold Training Partner.
