A két különböző támadástípus házasításával létrejövő veszélyforrás jelentőségét mutatja, hogy megjelenése felülírta a NetAcademia által április 24-én először megrendezésre kerülő Ethical Hacking konferencia tematikáját.
A NetAcademia Oktatóközpont – a Microsoft Magyarország megbízásából  tavaly év végén indította el Ördöglakat elnevezésű online fejtörőjét, ahol az informatikai szakemberek ellenőrzött körülmények között ismerhetik meg a legjellemzőbb webalkalmazásokat érintő biztonsági problémákat, így hívva fel a figyelmet e betörési technikák kiküszöbölésére. „Az Ördöglakat rendkívül népszerű az informatikusok körében, hiszen az elmúlt hónapok során mintegy három és fél ezer szakembert sikerült a játékba bevonni” – mondta az Ördöglakat elindítását támogató Microsoft Magyarország képviseletében Budai Péter.

Veszélyes elegy
A jelenleg is futó, már 13 pályás játék részét képezi az Ördöglakat főoldalának feltörése is, amit a weblapon jó néhány, szándékosan nyitva hagyott, ugyanakkor éles üzemben működő oldalaknál is előforduló biztonsági rés „támogat”. „Megdöbbentő volt, hogy milyen sokan oldották meg ezt a feladatot, így szépségversenyt hirdettünk a leglátványosabb főoldal-feltörések közt.  Ezen bukkant fel az a módszer, ami alapvetően eltér a megszokott az adathalász módszerektől,  így külön foglalkozunk vele az április 24-ei Ethical Hacking konferencián” – mondta Fóti Marcell, a NetAcademia Oktatóközpont ügyvezetője, a játék szakmai felelőse.

Az új módszer lényege, hogy az adathalász nem egy teljesen új webhelyet hoz létre a felhasználók megtévesztésére és személyes adataik megszerzésére, hanem a szolgáltató – például egy bank  saját weblapját töri fel és változtatja meg.  Ennek során az ún. cross-site scripting (XSS) betörési technikát alkalmazza, ami egy nem biztonságos módon kifejlesztett weboldalon lehetővé teszi az adatbeviteli mezőkön – pl. kapcsolati űrlapokon, fórumokon – keresztül történő átprogramozást. „Az így megvalósított adathalászat a gyakorlatban azt eredményezi, hogy a szokásos szűrési technikák segítségével – például a gyanús webcímek figyelése, a titkosító tanúsítvány hitelességének ellenőrzése  nem ismerhető fel az átverés, hiszen a hekker az eredeti weblapon tulajdonítja el a felhasználó adatait” – magyarázta Fóti Marcell.