Connect with us

technokrata

Minden harmadik kisvállalat honlapja percek alatt feltörhető

Dotkom

Minden harmadik kisvállalat honlapja percek alatt feltörhető

Minden harmadik kisvállalat weboldalán súlyos vagy közepes besorolású biztonsági hiba mutatható ki. A tátongó biztonsági réseket kihasználva percek alatt komoly, akár a vállalkozás teljes működésére kiterjedő károkat lehetne okozni. Száz kisvállalati honlap vizsgálatából az is kiderült, hogy az egyedi fejlesztésű weboldalak egyáltalán nem garantálnak nagyobb biztonságot.

Minden harmadik honlap könnyű prédának bizonyult azon a biztonsági teszten, melyen száz kisvállalat honlapját vizsgálta aWebRontgen.hu 2014. június végén. A teszt célja a kisvállalati weboldalak általános biztonsági szintjének felmérése volt. Az eredmény a szakembereket is meglepte:

„A vizsgált száz honlap 33 százalékánál találtunk olyan hibát, ami a nemzetközi besorolási rendszerek szerint közepesnek vagy súlyosnak minősül! A súlyos hibákról általánosságban elmondható, hogy tulajdonképpen azonnal kihasználhatóak, ha van ilyen, akkor 5 perc alatt feltörhető az oldal. Ha közepes besorolású hibákból van néhány, akkor egy kicsit komolyabb tudással olyan információkhoz juthat a hacker, amelyek alapján már sikeres támadást lehet indítani” – magyarázta Csermák Szabolcs, a biztonsági tesztet vezető etikus hacker.

Egy-két hiba, és oda az üzlet

A hibaszázalék az elmúlt egy évben készült oldalak esetében volt a legalacsonyabb, itt az oldalak 25 százalékán volt közepes vagy súlyos biztonsági rés. Az 1–3 éve készült honlapoknál ez az arány már 41 százalékos volt, az 5 évnél régebben fejlesztett weboldalaknak pedig 60 százaléka törhető fel minimális tudással 15 perc alatt. Egy feltört weboldal a legjobb esetben használhatatlanná váló céges honlapot, rosszabb esetben pedig komoly üzleti károkat jelent:

“Az úgynevezett SQL injection végrehajtásával a támadó például hozzáférhet a teljes adatbázishoz is, meghamisíthatja vagy ellophatja azt. A weben kívül mérhető károkra lefordítva ez azt jelenti, hogy a támadás során hozzáférhetnek az ügyfeleink adataihoz, egy webshop esetében például nemcsak ügyfélkörünk név szerinti listáját, hanem azok korábbi vásárlási tevékenységeit is látni fogják. Sajnos volt rá példa, hogy így tettek tönkre egy céget” – mondta Csermák Szabolcs.

Mindez óriási erkölcsi és anyagi kockázatot jelent. Ráadásul a kisvállalkozásoknál gyakori, hogy nem is igen, vagy csak nagyon sokára veszik észre, hogy támadás érte az oldalt. Emiatt gyakran fordul elő az a kellemetlen helyzet, hogy egy vevőtől, vagy üzleti partnertől hallanak a problémáról.

Nem feltétlen biztonságosabb, ami drága

A tesztelés során kiderült: míg az egyedi fejlesztésű, jellemzően drágább honlapok több mint fele sérülékeny, addig a nyílt forráskódú tartalomkezelő rendszerekre építő – esetleg azon belül valamilyen saját fejlesztésű modult is tartalmazó – weboldalak esetében mindössze 20–29 százalékos ez az arány.

“Tévhit, hogy az egyedi fejlesztésű honlapok biztonságosak. Míg az egyedi honlapokat egy-két programozó készíti, addig például a nyílt forráskódú WordPress tartalomkezelő motoron több ezer fejlesztő közössége dolgozik folyamatosan, ami törvényszerűen biztonságosabb rendszert eredményez. A forráskódot bárki megnézheti, így sokkal gyorsabban kiderülnek a hibák, amiket nagyon gyorsan ki is javítanak.” – mondta Csermák Szabolcs.

Rendszeresen frissül a honlapja? Nem? Akkor Ön védtelen!

Bár feltörhetetlen oldal nem létezik, a szakember szerint akár néhány egyszerű lépéssel  jelentősen megnehezíthetjük a támadóink dolgát. A honlapmotor rendszeres frissítése a legfontosabb. Tovább növelhetjük a biztonságot néhány beállítással, és pár – legtöbbször ingyenes – plugin, azaz segédprogram telepítésével.

Legegyszerűbb helyzetben a nyílt forráskódú rendszerre épített oldalak tulajdonosai vannak, mert az újabb verziókban már benne van az automatikus frissítés. Az egyedi fejlesztésű oldalakkal nehezebb a helyzet. Ott csak rendszeres teszteléssel lehet védekezni, azaz egy etikus hackernek át kell nézni az oldalt, van-e rajta kiskapu. Vagy nagykapu.

A felmérés módszertana

A tesztelés 2014 júniusában, 100 kisvállalkozás weblapjának vizsgálatával történt. A mintavétel önkéntes jelentkezés alapján történt, a WebRöntgen.hu Facebook oldalának követői közül. A vizsgálat egy nyílt forráskódú biztonsági tesztekre írt speciális script segítségével történt. A felmérés nem reprezentatív.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek

2018-volkswagen-arteon-photos-and-info-news-car-and-driver-photo-676567-s-original
SAN BERNARDINO, OCTOBER 29: Shipping orders go by on a conveyor belt at Amazon's San Bernardino Fulfillment Center October 29, 2013 in San Bernardino, California. Amazon's 1 million square-foot facility in the hard hit San Bernardino County has created more than 800 jobs at the center. Fulfillment centers are where products sold by other vendors on Amazon.com store their inventory. (Photo by Kevork Djansezian/Getty Images)
20170802_093113

Tesztek

Kipróbáltam a Kingston legújabb SD-kártya olvasóját

2017. augusztus 3. csütörtök
SAMSUNG CSC
SAMSUNG CSC

Mobil tesztek

Teszt: Megvizsgáltuk, milyen az új Honor 8 (video)

2017. május 23. kedd
uobelqc8

Mobil tesztek

Teszt: Megnéztük magunknak a Huawei P10 Plus-t

2017. május 4. csütörtök
SAMSUNG CSC

Laptop tesztek

Teszt: Fujitsu Lifebook U747 – A pehelysúlyú bajnok

2017. április 14. péntek
SAMSUNG CSC

Audió Eszközök

TESZT: iFrogz – Coda Wireless család

2017. április 11. kedd
SAMSUNG CSC

Okosóra tesztek

Teszt: Casio Edifice EQB-600

2017. március 28. kedd
the_english_surgeon_534448a

Alkalmazások, szoftverek

Idegesek leszünk, ha nem tölt fel elég gyorsan a selfie?

2017. február 27. hétfő