Sajnos a Hacktivity 2008 konferenciának csak az első napján
tudtam ott lenni.
Buherátortól hallottam egy különösen emlékezetes előadást.
Sokakat hallottam már korábban SQL injection támadásokról
beszélni, és a neten is rengeteg
érdekes
példa
található, de számomra ez volt az első olyan előadás, ahol valaki azt is megmutatta, hogy a támadó hogyan
gyűjthei össze a támadáshoz szükséges technikai részleteket, hogyan
térképezheti fel a megtámadott weboldal mögötti adatbázis struktúrát,
honnan ismerheti meg az adatbázis táblák neveit stb.
Eddig is tudtam, hogy egy rendszer védelmét nem szabad arra alapozni, hogy
a támadó nem ismeri a rendszer felépítését, mégis szíven ütött, hogy ez esetben
ez tényleg semmilyen védelmet nem jelent:
a támadó - szintén SQL injection támadás segítségével - ezen adatokat is
egészen egyszerűen megkérdezheti az adatbázis-kezelőtől.Én a PKI és a phishing kapcsolatáról beszéltem,
arról, hogy a PKI mennyiben alkalmazható adathalász támadások kivédésére.
Úgy gondolom, az adathalászat elsősorban nem technológiai probléma,
és nem hiszem, hogy önmagában - más védelmi intézkedések nélkül - bármilyen technológia megfelelő védelmet nyújthatna ellene.
Az előadásom itt érhető el.
