“Εγγύηση Ασφαλείας” της McAfee οδηγεί στον εντοπισμό… “τρύπιων” sites

Ένα νέο πρόβλημα όσον αφορά στην ασφάλεια των web sites που χρησιμοποιούν την υπηρεσία Secure trust mark της McAfee είναι απλά… γελοίο, αφού πρακτικά προσκαλεί τους hackers στις “τρύπες” των sites!

Ας πάρουμε ένα ρεαλιστικό παράδειγμα: ο πυροσβεστήρας του αυτοκινήτου σας έχει προσπεράσει προ πολλού την ημερομηνία λήξης του. Ναι, θέλετε να τον αντικαταστήσετε, γνωρίζετε πως τον χρειάζεστε – αλλά και πως, η πιο… “Ελληναράδικη” λογική, μπορεί “να φάτε πρόστιμο” για αυτόν, αλλά λόγω άλλων υποχρεώσεων έχετε αναβάλλει την αντικατάσταση του μέχρι σήμερα. Εκεί, λοιπόν, που κυκλοφορείτε με το τουτού σας, βλέπετε ένα μπλόκο της τροχαίας. Ποια είναι η φυσιολογική αντίδραση σας;

Πιάνετε τη ντουντούκα που έχετε πεταμένη στο κάθισμα του συνοδηγού και, καθώς περνάτε δίπλα από το μπλόκο, την βγάζετε από το παράθυρο και αρχίζετε: “Φου, φου, ένα-δυο, ένα-δυο… Δεν έχω πυροσβεστήρα. Δεν έχω πυροσβεστήρα, λέγω. Και ούτε που θυμάμαι αν έχω ανανεώσει και το φαρμακείο. Ένα-δυο… Ένα-δυο… Χθες οδήγησα και έχοντας πιεί δυο-τρια ποτηράκια. Πάλι καλά που δεν με πετύχατε τότε. Α, και Λίτσα, αν με ακούς, σε κεράτωσα με την αδελφή σου. Με αγάπη, Μπάμπης”.

Όχι; Μα, αυτό κάνει, πάνω-κάτω, το Secure trust mark της McAfee! Όπου αυτοκίνητο το site μιας εταιρείας, και όπου “μπλόκο” οι hackers!

Συγκεκριμένα, η υπηρεσία της McAfee αναλαμβάνει να πιστοποιήσει την ασφάλεια ενός site. Όταν, όμως, για κάποιο λόγο εμφανιστεί ένα πρόβλημα στην ασφάλεια του, η υπηρεσία “εξαφανίζει” την πιστοποίηση. Λογικό, έτσι; Έλα που οι κακόβουλοι hackers μπορούν κάλλιστα να δουν πως “τα Χ sites ήταν ασφαλή, μα τώρα δεν είναι”, και, άρα, να καταλάβουν πως “τώρα πια έχουν τρύπες ασφαλείας” ώστε να… ορμήξουν! Ναι, είναι προφανές, μα κανένας δεν φαίνεται να είχε σκεφτεί πως θα αποτελούσε πρόβλημα! Μέχρι τώρα.

Το συγκεκριμένο σφάλμα στη σχεδίαση της υπηρεσίας εντοπίστηκε από δυο σύμβουλους ασφαλείας, τους Shane MacDougall και Jay James, αλλά, όπως επεσήμαναν, δεν εντοπίζεται μόνο σε αυτήν: παραπλήσιο πρόβλημα έχουν, π.χ., και ανταγωνιστικές προτάσεις από την Trust Guard αλλά και άλλους, επιτρέποντας στα… “κατακάθια” του Internet να εντοπίζουν sites με κενά ασφαλείας σε σχεδόν “πραγματικό χρόνο” – ουσιαστικά, πριν προλάβουν να κάνουν κάτι για να “μπαλώσουν” τις “τρύπες” τους.

Για να το αποδείξουν, οι Dougal και James δημιούργησαν ένα εργαλείο που παρουσίασαν στο συνέδριο ασφαλείας DerbyCon, το οποίο εντοπίζει αυτόματα τα sites των οποίων τα πιστοποιητικά ασφαλείας αφαιρέθηκαν πρόσφατα, ουσιαστικά αυτοματοποιώντας τη διαδικασία “εντοπισμού στόχων” για τους hackers.

Source:

Marketers at security giant McAfee peddle their Secure trust mark service as an easy way for online merchants to showcase the safety of their websites. These sites include a link to a seal showing it has passed a rigorous security scan that is performed daily. But a pair of security consultants say the program in many cases can tip off malicious hackers to easy-to-exploit vulnerabilities that might otherwise not be found.

...γνωστός και ως Οδυσσέας Κουράφαλος, αρχικός υπεύθυνος για το unregistered. Συντάκτης, γραφίστας, "μαλτιμηντιάς", φανατικός της science fiction και των αστείων γατιών στου ιντερνέτ. "Δηλώνω graphics whore" (παίζω Ms. Pac-Man στο MAME με 2xSAL και το πρώτο Max Payne με FXAA antialiasing). Load "unreg*",8,1.