سایت‌های دارای تاییده امنیتی آنقدرها هم امن نیستند;هکرها در کمین هستند

راهکار هکرها برای دور زدن این مدارک امنیتی جالب است؛ هکرها با راه‌اندازی یک وب‌سایت و خرید مدرک امنیتی از کمپانی‌های امنیت اینترنت، تمرینات خود را بر روی کدهای امنیتی شروع می‌کنند.

برچسب‌های استاندارد امنیت روی هر سایت‌ اینترنتی خیال‌مان را راحت می‌کند که سایت مورد نظر امن است و می‌توان اطلاعات بانکی یا دیگر مشخصات فردی را در آن وارد کرد، اما تحقیقات جدید نشان می‌دهد این مهرهای استاندارد امنیت که سایت‌ها با هزینه بسیار از کمپانی‌های سازنده نرم‌افزارهای امنیت شبکه و اینترنت خریداری می‌کنند، نه تنها مطمئن نیستند، بلکه خطر بزرگی برای کاربران سایت‌ها محسوب می‌شوند.

تکنـــــــــــــازدانلود: سایت‌های فروش و عرضه آنلاین برای جلب مشتری صدها هزار دلار خرج می‌کنند تا برچسب امنیت دریافت کنند تا به مشتریان خود اطمینان بدهند که اطلاعاتشان مورد حمله هکرها واقع نمی‌شود و به سرقت نمی‌رود.

این نوع برچسب یا مدارک امنیتی توسط شرکت‌های سازنده نرم‌افزارهای امنیت اینترنت همچون Symantec، McAfee، Trust Guard و Qualys فروخته می‌شوند. سایت‌ها با پرداخت مبلغی بین ۱۰۰ تا ۲هزار دلار در سال به کمپانی‌های امنیت اینترنت اجازه می‌دهند تا به طور دوره‌ای روی سایت‌هایشان نظارت داشته باشند.

سایت‌های خواهان برچسب امنیت اگر بتوانند از آزمایشات مورد نظر کمپانی‌های امنیتی موفق بیرون بیایند، آن وقت است که مدرک سایت ایمن را دریافت خواهند کرد تا به مشتریان نشان بدهند که سایت‌شان بی‌خطر و قابل اعتماد است.

این نوع مدارک و برچسب‌ها به سایت‌ها اعتبار می‌دهند و معمولا باعث اطمینان خاطر مشتریان می‌‍‌شوند.

اما اخیرا کارشناسان امنیت شبکه و اینترنت در تحقیقات خود متوجه شده‌اند که نقطه ضعف‌های فراوان و وحشتناکی در این ایمن‌سازی‌ها وجود دارد و کمپانی‌های امنیت عاجز از شناخت حفره‌ها هستند.

حتی بهترین شرکت امنیت اینترنت هم در این تحقیقات نتوانسته نیمی از حفره‌های امنیتی را شناسایی کند. کارشناسان در سایت‌هایی که مدارک امنیتی دریافت کرده‌اند، حفره‌هایی یافته‌اند که به هکرها اجازه می‌دهد تا به اطلاعات سایت به راحتی دسترسی داشته باشند.

جالب اینکه همان مدارک و برچسب‌های امنیتی که کمپانی‌های امنیت اینترنت به سایت‌ها می‌فروشند، بیشترین آسیب‌پذیری را دارا هستند و سایت‌ها اگر این مدارک را نداشته باشند، امن‌تر خواهند بود.

در این تحقیق ثابت شده، سایت‌هایی که با پرداخت پول‌های هنگفت به شرکت‌های امنیتی برچسب ایمنی دریافت می‌کنند، هیچ برتری امنیتی نسبت به سایت‌های بدون مدرک ندارند.

محققان به شیوه Black Box یک رشته آزمایشات مختلف را در هشت ساعت روی سایت‌های دارای برچسب ایمنی انجام دادند و جالب اینکه از هر ۹ سایتی که مورد آزمایش قرار گرفت، ۷ سایت دارای مشکلات و حفره‌های بسیار جدی بود.

راهکار هکرها برای دور زدن این مدارک امنیتی جالب است؛ هکرها با راه‌اندازی یک وب‌سایت و خرید مدرک امنیتی از کمپانی‌های امنیت اینترنت، تمرینات خود را بر روی کدهای امنیتی شروع می‌کنند. به این صورت که یک سری از کدهای امنیتی را جمع‌آوری کرده و روی سایت خود اجرا می‌کنند تا حفره‌های امنیتی را شناسایی کنند.

پس از شناخت حفره‌ها و مشکلات امنیتی، آنها را روی سایت‌های دیگر که آنها هم دارای مدارک امنیتی هستند، اجرا می‌کنند و به این شیوه سایت‌ها را هک می‌کنند.

شرکت‌هایی امنیت اینترنت که محققان روی آنها آزمایش انجام داده‌اند و به این نتایج رسیده‌اند به قرار زیر هستند؛ اما هر یک چه نمره‌ای از این آزمایش گرفته‌اند، به شکل محرمانه باقی مانده است. این کمپانی‌ها عبارتند از:

Norton، McAfee، Trust-Guard، SecurityMetrics، WebsiteProtection، BeyondSecurity، Scan Verify، Qualys، HackerProof