Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

ENISA tippek nagyoknak

2012.07.12. 08:15 | detritus | 1 komment

Az ENISA mozaikszó az European Network and Information Security Agency nevű szervezetet jelöli, mely saját bevallása szerint megpróbál valamiféle összekötő kapocs lenni az informatikai biztonság területén az unió országai, vállalatai és polgárai között. Célja kialakítani és terjeszteni egy megfelelő kultúrát és hozzáállást a fenyegetettségek kivédéséhez. Nemrég megjelentettek egy rövid sajtóközleményt, melyben igyekeznek rámutatni arra, hogy miért is működnek olyan jól az online banki csalások manapság. Az írás válasz a McAfee és Guardian Analytics nemrég megjelent tanulmányára, amit korábban már itt a blogon is röviden említettünk.

Az ENISA a felelősséget nagyrészt a szolgáltatókra keni. Legfőbb üzenetük az, hogy a felhasználó PC-jét úgy kell kezelni, hogy az vírusos, ami elnézve például a 40% alatti Zeus felismerési arányokat (meg úgy általában a userek kompetenciáját a témában), meglehetősen indokolt. Az erős jelszó, a kétfaktoros authentikáció kevés, a műveleteket úgy kell végezni, hogy azok megerősítést nyerjenek a felhasználó PC-jétől független, biztonságosnak tekinthető csatornán is. Ezért kapsz például a bankodtól utalás előtt is egy sms-t, amiben leírják, hogy ők hogyan kapták meg a kérést (milyen számlaszám, milyen összeg). Ha ez hasonlít arra, amit te is szerettél volna, akkor mehet a tranzakció, ha nem, akkor valami belekotnyeleskedett a forgalomba: Ilyenkor ugyan te azt látod a képernyőn, amit beírtál, de a háttérben meg lettek változtatva a tranzakciós adatok, a bank a nagyi helyett az orosz maffia számlaszámát kapta meg és az összeg is eltérő. Ez tipikusan a bank oldalának forráskódjába szúrt javascripttel vagy rosszindulatú addon-nal tehető meg (vö. man-in-the-browser). Ez esetben tehát a telefonodat tekintik biztonságosnak, a külön "csatornán" történő ellenőrzés pedig rögtön kidobja, ha nincs egyezés az akarat és a valóság között. (Feltéve persze, ha a mobilt nem a támadó kontrollálja, lásd még a mobil banki alkalmazásokat...)

Végül az ENISA is felhívja a figyelmet arra, hogy a nemzetközi bűnszervezeteket csak nemzetközi összefogással lehet lekapcsolni: mind a védelem kialakítása, mind a rosszfiúk (és C&C szervereik) utáni szaladgálás közben meg kell olajozni az internacionális bürökrácia fogaskerekeit. 

Címkék: enisa

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

kz71 2012.07.15. 19:11:08

hali,

nem rossz ez az ENISA, nameg magyar alelnöke van, nade miért kellett Krétára tenni...mintha onnan a hatása is kisebb lenne :-(

kz