A két különböző támadástípus házasításával létrejövő veszélyforrás jelentőségét mutatja, hogy megjelenése felülírta a NetAcademia által április 24-én először megrendezésre kerülő Ethical Hacking konferencia tematikáját. A NetAcademia Oktatóközpont - a Microsoft Magyarország megbízásából - tavaly év végén indította el online fejtörőjét, ahol az informatikai szakemberek ellenőrzött körülmények között ismerhetik meg a legjellemzőbb webalkalmazásokat érintő biztonsági problémákat, így hívva fel a figyelmet e betörési technikák kiküszöbölésére. "Az Ördöglakat rendkívül népszerű az informatikusok körében, hiszen az elmúlt hónapok során mintegy három és fél ezer szakembert sikerült a játékba bevonni" - mondta az Ördöglakat elindítását támogató Microsoft Magyarország képviseletében Budai Péter.

Veszélyes elegy
A jelenleg is futó, már 13 pályás játék részét képezi az Ördöglakat főoldalának feltörése is, amit a weblapon jónéhány darab, szándékosan nyitva hagyott, ugyanakkor éles üzemben működő oldalaknál is előforduló biztonsági rés "támogat". "Megdöbbentő volt, hogy milyen sokan oldották meg ezt a feladatot, így szépségversenyt hirdettünk a leglátványosabb főoldal-feltörések közt. Ezen bukkant fel az a módszer, ami alapvetően eltér a megszokott az adathalász módszerektől, így külön foglalkozunk vele az április 24-i Ethical Hacking konferencián" - mondta Fóti Marcell, a NetAcademia Oktatóközpont ügyvezetője, a játék szakmai felelőse.

Az új módszer lényege, hogy az adathalász nem egy teljesen új webhelyet hoz létre a felhasználók megtévesztésére és személyes adataik megszerzésére, hanem a szolgáltató - például egy bank - saját weblapját töri fel és változtatja meg. Ennek során az ún. cross-site scripting (XSS) betörési technikát alkalmazza, ami egy nem biztonságos módon kifejlesztett weboldalon lehetővé teszi az adatbeviteli mezőkön - pl. kapcsolati űrlapokon, fórumokon - keresztül történő átprogramozást.

"Az így megvalósított adathalászat a gyakorlatban azt eredményezi, hogy a szokásos szűrési technikák segítségével - például a gyanús webcímek figyelése, a titkosító tanúsítvány hitelességének ellenőrzése - nem ismerhető fel az átverés, hiszen a hekker az eredeti weblapon tulajdonítja el a felhasználó adatait" - tette hozzá Fóti Marcell.