Az IT technológia fejlődésével, az interneten folyó adatforgalom védelme érdekében egyre inkább a folytonos biztonság elve kerül előtérbe. Jó példa erre a Debian nyár eleji bejelentése, miszerint hibát észleltek az általuk terjesztett OpenSSL csomagban, így a rendszer által előállított tanúsítványok biztonsági kockázatot hordoztak. A kódhiba miatt a Debian Linux szervereken generált tanúsítványok kulcsait jelenlegi technológia mellett egy képzett adathalász képes lett volna megfejteni alig több mint 3 óra alatt. Az ügyfelek adatforgalmának titkosítását biztosító hiteles SSL tanúsítványok kibocsátásával is foglalkozó NetLock Kft. kriptográfiai monitoring csoportja a bejelentés kapcsán a problémát valósnak ítélve, proaktívan értesítette ügyfeleit és személyes konzultációt biztosított számukra. Az érintett weboldalak kapcsán rövid időn belül megkezdte az új tanúsítványok kibocsátását, majd a kérdéskörben érintett sérült tanúsítványokat kompromittáltságuk miatt központilag visszavonta.
A NetLock a fő veszélyt abban látja, hogy a megfejtett kulcspárok birtokában az említett támadó létrehozhat egy olyan SSL tanúsítványt, amely teljesen megegyezhet az eredeti oldalon (pl: banki bejelentkező felületen) használt SSL tanúsítvánnyal. A hiba kihasználásával létrehozott tanúsítvány bármely adata (pl. a tanúsítványban található webcím) megváltoztatható, így az adathalászat eszközéül használt „ál weboldal", a gyanútlan látogató számára hitelesnek fog mutatkozni. Ezen az oldalon pedig a látogató, akaratán és tudtán kívül illetéktelenek részére ad meg olyan információkat (pl.: bankkártya adatok, belépési nevek, jelszavak stb.), amelyekkel később nagy kár okozható.
A NetLock Kft. a Debian bejelentése alapján széles körű elemzést is készített mintegy 70 ezer magyar domain-t vizsgálva, felmérve azok biztonságát. A felmérés szerint a 70 ezer hazai honlapból alig 3000 rendelkezik - a weboldal legmagasabb szintű biztonságát szavatoló - SSL tanúsítvánnyal és közülük is 14 százalék kriptográfiailag gyenge tanúsítványt használ, azaz kompromittáltnak tekinthető az említett Debian kódhiba által. A NetLock szerint ez a helyzet aggasztó, mivel az eredmény pontosan azt mutatja, hogy a magyarországi site-ok többsége nem, vagy nem megfelelően használ SSL technológiát, ezért felületükön bizalmas információt átadni, online fizetni, adatforgalmat bonyolítani jelenleg nem biztonságos.
„Napjainkban mind nagyobb számban vesszük igénybe az internetes honlapok nyújtotta elektronikus szolgáltatásokat, jegyet rendelünk, webáruházban vásárolunk, banki ügyleteket végzünk, de sokszor nem is gondolunk arra, hogy az általunk megadott személyes adatok olykor veszélyben lehetnek" - mondta Rózsahegyi Zsolt a NetLock Kft. ügyvezető igazgatója. Vállalatunk a legszigorúbb követelményeknek is megfelelő szolgáltatói hátteret üzemelteti, így minden időpillanatban garantáljuk ügyfeleink számára a maximális biztonságot. Tevékenységünk során folyamatosan végzünk kriptográfiai figyelést, amelynek keretén belül a nap 24 órájában monitorozzuk a hitelesítés terén alkalmazandó lenyomatkezelő algoritmusok működését. Ahol hibát, vagy fennakadást tapasztalunk, azonnal megtesszük a szükséges intézkedéseket" - tette hozzá Rózsahegyi Zsolt.
Az SSL technológia
A technológia lényege, hogy a webszerver a számára kiadott speciális SSL tanúsítvány (elektronikus igazolás)segítségével kialakít egy biztonságos adatátviteli csatornát a felhasználó böngészője és a webszerver között. Így a szerverrel folytatott kommunikáció - információ letöltés, kérdőívek kitöltése, elküldése stb. - ezen a titkosított csatornán keresztül, csak a két kommunikáló fél számára értelmezhető módon fog lebonyolódni. SSL-lel gyakorlatilag minden böngésző és webkiszolgáló együttműködik, jelenlétére az állapotsávon megjelenő zárt lakat ikonja, illetve az URL címben található http:// előtag helyett szereplő https:// előtag utal.
E technológia egy fejlettebb változatában, az úgynevezett kliens autentikációs SSL segítségével a felhasználó és a szerver között úgy jön létre a biztonságos adatkapcsolat, hogy ahhoz mindkét oldalon tanúsítvány (a felhasználó oldalán saját személyes tanúsítványa) biztosítja a szükséges hiteles publikus kulcsokat. E változat egyik fő előnye, hogy a felhasználók user név és password megadása nélkül, csupán tanúsítványukkal is bejelentkezhetnek a szolgáltatók oldalaira. Az SSL tanúsítványokról bővebb információ a
http://www.netlock.hu/ssl.html weboldalon található.
