راهکار هکرها برای دور زدن این مدارک امنیتی جالب است؛ هکرها با راهاندازی یک وبسایت و خرید مدرک امنیتی از کمپانیهای امنیت اینترنت، تمرینات خود را بر روی کدهای امنیتی شروع میکنند.
برچسبهای استاندارد امنیت روی هر سایت اینترنتی خیالمان را راحت میکند که سایت مورد نظر امن است و میتوان اطلاعات بانکی یا دیگر مشخصات فردی را در آن وارد کرد، اما تحقیقات جدید نشان میدهد این مهرهای استاندارد امنیت که سایتها با هزینه بسیار از کمپانیهای سازنده نرمافزارهای امنیت شبکه و اینترنت خریداری میکنند، نه تنها مطمئن نیستند، بلکه خطر بزرگی برای کاربران سایتها محسوب میشوند.
تکنـــــــــــــازدانلود: سایتهای فروش و عرضه آنلاین برای جلب مشتری صدها هزار دلار خرج میکنند تا برچسب امنیت دریافت کنند تا به مشتریان خود اطمینان بدهند که اطلاعاتشان مورد حمله هکرها واقع نمیشود و به سرقت نمیرود.
این نوع برچسب یا مدارک امنیتی توسط شرکتهای سازنده نرمافزارهای امنیت اینترنت همچون Symantec، McAfee، Trust Guard و Qualys فروخته میشوند. سایتها با پرداخت مبلغی بین ۱۰۰ تا ۲هزار دلار در سال به کمپانیهای امنیت اینترنت اجازه میدهند تا به طور دورهای روی سایتهایشان نظارت داشته باشند.
سایتهای خواهان برچسب امنیت اگر بتوانند از آزمایشات مورد نظر کمپانیهای امنیتی موفق بیرون بیایند، آن وقت است که مدرک سایت ایمن را دریافت خواهند کرد تا به مشتریان نشان بدهند که سایتشان بیخطر و قابل اعتماد است.
این نوع مدارک و برچسبها به سایتها اعتبار میدهند و معمولا باعث اطمینان خاطر مشتریان میشوند.
اما اخیرا کارشناسان امنیت شبکه و اینترنت در تحقیقات خود متوجه شدهاند که نقطه ضعفهای فراوان و وحشتناکی در این ایمنسازیها وجود دارد و کمپانیهای امنیت عاجز از شناخت حفرهها هستند.
حتی بهترین شرکت امنیت اینترنت هم در این تحقیقات نتوانسته نیمی از حفرههای امنیتی را شناسایی کند. کارشناسان در سایتهایی که مدارک امنیتی دریافت کردهاند، حفرههایی یافتهاند که به هکرها اجازه میدهد تا به اطلاعات سایت به راحتی دسترسی داشته باشند.
جالب اینکه همان مدارک و برچسبهای امنیتی که کمپانیهای امنیت اینترنت به سایتها میفروشند، بیشترین آسیبپذیری را دارا هستند و سایتها اگر این مدارک را نداشته باشند، امنتر خواهند بود.
در این تحقیق ثابت شده، سایتهایی که با پرداخت پولهای هنگفت به شرکتهای امنیتی برچسب ایمنی دریافت میکنند، هیچ برتری امنیتی نسبت به سایتهای بدون مدرک ندارند.
محققان به شیوه Black Box یک رشته آزمایشات مختلف را در هشت ساعت روی سایتهای دارای برچسب ایمنی انجام دادند و جالب اینکه از هر ۹ سایتی که مورد آزمایش قرار گرفت، ۷ سایت دارای مشکلات و حفرههای بسیار جدی بود.
راهکار هکرها برای دور زدن این مدارک امنیتی جالب است؛ هکرها با راهاندازی یک وبسایت و خرید مدرک امنیتی از کمپانیهای امنیت اینترنت، تمرینات خود را بر روی کدهای امنیتی شروع میکنند. به این صورت که یک سری از کدهای امنیتی را جمعآوری کرده و روی سایت خود اجرا میکنند تا حفرههای امنیتی را شناسایی کنند.
پس از شناخت حفرهها و مشکلات امنیتی، آنها را روی سایتهای دیگر که آنها هم دارای مدارک امنیتی هستند، اجرا میکنند و به این شیوه سایتها را هک میکنند.
شرکتهایی امنیت اینترنت که محققان روی آنها آزمایش انجام دادهاند و به این نتایج رسیدهاند به قرار زیر هستند؛ اما هر یک چه نمرهای از این آزمایش گرفتهاند، به شکل محرمانه باقی مانده است. این کمپانیها عبارتند از:
Norton، McAfee، Trust-Guard، SecurityMetrics، WebsiteProtection، BeyondSecurity، Scan Verify، Qualys، HackerProof