<<< A 2008. szeptember 18-ai BME-s óra diáiA 2008. november 11-ei BME-s óra diái >>>

Hacktivity 20082008-09-25
Sajnos a Hacktivity 2008 konferenciának csak az első napján tudtam ott lenni. Buherátortól hallottam egy különösen emlékezetes előadást. Sokakat hallottam már korábban SQL injection támadásokról beszélni, és a neten is rengeteg érdekes példa található, de számomra ez volt az első olyan előadás, ahol valaki azt is megmutatta, hogy a támadó hogyan gyűjthei össze a támadáshoz szükséges technikai részleteket, hogyan térképezheti fel a megtámadott weboldal mögötti adatbázis struktúrát, honnan ismerheti meg az adatbázis táblák neveit stb. Eddig is tudtam, hogy egy rendszer védelmét nem szabad arra alapozni, hogy a támadó nem ismeri a rendszer felépítését, mégis szíven ütött, hogy ez esetben ez tényleg semmilyen védelmet nem jelent: a támadó - szintén SQL injection támadás segítségével - ezen adatokat is egészen egyszerűen megkérdezheti az adatbázis-kezelőtől.

Én a PKI és a phishing kapcsolatáról beszéltem, arról, hogy a PKI mennyiben alkalmazható adathalász támadások kivédésére. Úgy gondolom, az adathalászat elsősorban nem technológiai probléma, és nem hiszem, hogy önmagában - más védelmi intézkedések nélkül - bármilyen technológia megfelelő védelmet nyújthatna ellene. Az előadásom itt érhető el.

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.