Csak az nem hibázik, aki nem dolgozik - tartja a mondás. Ez természetesen igaz a programozásra is, ami járhat az adott szoftver működésének hibájával, vagy, rosszabb esetben biztonsági résként szolgálhat a digitális rendszerekbe behatolni vágyók számára. Természetesen ez ellen lehet és kell is védekezni - ennek a folyamatnak az eredménye, hogy napjainkra jelentősen sikerült visszaszorítani a webes sérülékenységek számát.

Míg 2009-ben 480 olyan sebezhetőség vált ismertté, amely komoly kockázatokat jelentett, 2010 során már csupán 230, míg a tavalyi évben mindössze 148 biztonsági résre akadtak a szakértők. A WhiteHat Security beszámolója szerint ezen a téren javuló tendencia mutatkozik; ezt Jeremiah Grossman, a vállalat műszaki igazgatója jegyezte meg a hétfőn, Sydney-ben tartott Open Web Application Security Project konferencián. Ezek a sérülékenységek jellemzően az egyénre szabott website-kódokban találhatók, és így nem is lehet pusztán patch-ek telepítésével kiiktatni őket, mint amilyeneket a Microsoft vagy az Oracle szokott rendszeres időközönként kiadni. A WhiteHat Security statisztikái szerint ezért átlagosan 100 nap kell egy-egy ilyen sebezhetőség kijavításához, a felfedezését követően.

Ennek természetesen komoly hátránya, hogy így átlagosan több mint három hónap áll a hackerek rendelkezésére ahhoz, hogy megpróbálkozhassanak behatolni egy-egy rendszerbe (nem is említve azt a szerencsétlen esetet, ha a támadók hamarabb veszik észre a lehetőséget). És, habár a biztonsági rések száma folyamatosan csökken, köszönhetően a programozók éberségének és az automatizált sebezhetőség-kereső megoldásoknak, ezzel párhuzamosan sajnos nem csökken ugyanilyen mértékben a biztonsági incidensek száma. Mindez arra vezethető vissza, hogy a hackerek is képzik magukat, így, noha a lehetőség kevesebb, azokat jobban meg tudják ragadni. Fejlettebb hacker-eszközök állnak gyakorlatilag bárki rendelkezésére, aki a feketepiacon hajlandó érte fizetni, állítja a szakértő.

Grossman és csapata egyébként folyamatosan próbálkozik különböző nagy pénzügyi intézmények webes rendszereibe bejutni - természetesen engedéllyel. Ezen cégek fejlesztői nem tájékoztatják a WhiteHat embereit arról, ha frissítik a weboldalakat, ám a szakemberek előbb-utóbb észreveszik, ha egy-egy új funkció miatt biztonsági rés keletkezett a rendszerben. Cross-site scripting hibák, SQL injection sebezhetőségek és információszivárgási sérülékenységek bukkannak fel a leggyakrabban.

Amint találnak egyet, értesítik az érintett szervezetet róla, így az dönthet, hogy miként kívánja elhárítani a veszélyt. Ez jellemzően a fejlesztők hozzárendelésével történik, akiknek újra át kell gondolniuk az adott funkció működését. Már ha egyáltalán javításra kerül - a vállalatok ugyanis néha úgy döntenek, hogy vagy nem éri meg a javítás, vagy túlságosan korlátozná az új funkcionalitást a változtatás; esetleg mindkettő egyszerre. Ez persze szerencsejáték, hiszen az is lehet, hogy a hackerek sosem veszik észre a rést a pajzson, de az is előfordulhat, hogy igen - ilyenkor pedig hatalmas lehet az erkölcsi és anyagi veszteség.

A legjobb természetesen, ha sikerül alapjaiban biztonságosra megírni a szoftvereket. „Tökéletes programot sosem leszünk képesek írni, de gazdasági szempontból elég jót igen” - summázta Grossman.

Forrás: computerworld.hu