|
Sajnos a Hacktivity 2008 konferenciának csak az első napján tudtam ott lenni. Buherátortól hallottam egy különösen emlékezetes előadást. Sokakat hallottam már korábban SQL injection támadásokról beszélni, és a neten is rengeteg érdekes példa található, de számomra ez volt az első olyan előadás, ahol valaki azt is megmutatta, hogy a támadó hogyan gyűjthei össze a támadáshoz szükséges technikai részleteket, hogyan térképezheti fel a megtámadott weboldal mögötti adatbázis struktúrát, honnan ismerheti meg az adatbázis táblák neveit stb. Eddig is tudtam, hogy egy rendszer védelmét nem szabad arra alapozni, hogy a támadó nem ismeri a rendszer felépítését, mégis szíven ütött, hogy ez esetben ez tényleg semmilyen védelmet nem jelent: a támadó - szintén SQL injection támadás segítségével - ezen adatokat is egészen egyszerűen megkérdezheti az adatbázis-kezelőtől.
Én a PKI és a phishing kapcsolatáról beszéltem, arról, hogy a PKI mennyiben alkalmazható adathalász támadások kivédésére. Úgy gondolom, az adathalászat elsősorban nem technológiai probléma, és nem hiszem, hogy önmagában - más védelmi intézkedések nélkül - bármilyen technológia megfelelő védelmet nyújthatna ellene. Az előadásom itt érhető el.