A webes alkalmazások védelme fokozott odafigyelést követel meg, hiszen a vállalatokat, intézményeket ért támadások egy jelentős része ezeken keresztül valósul meg. A kiberbűnözés előszeretettel használja ki a webes sérülékenységeket, és fordítja azokat a saját javára, legyen szó akár bizalmas adatok eltulajdonításáról, kártékony programok terjesztéséről vagy a rendszerek megbénításáról. Ezért aztán a védelemben egyre fontosabb szerephez jutnak a webes alkalmazásokat védő tűzfalak (Web Application Firewall - WAF), amelyek számos támadástípus felismerésére és kivédésére alkalmasak. Így például különösen figyelnek az SQL injection alapú károkozásokra, amelyek napjainkban a legtöbb incidens forrásául szolgálnak. A webes kérések elemzésével, monitorozásával, illetve előre definiált szabályok alapján szűrik ki az adatforgalomból a nemkívánatos elemeket.

Azonban a WAF-eszközök sem képesek minden támadást elhárítani. Egyrészt azért, mert magukban a tűzfalakban is vannak sérülékenységek, hiányosságok, másrészt a hozzájuk létrehozott szabályok sem lehetnek teljes körűek. Ivan Ristic, a Qualys egyik igazgatója - aki egyébként számos könyvet, dokumentumot publikált már a ModSecurity és az Apache kapcsán, valamint részt vesz az IronBee fejlesztésében is - úgy határozott, hogy kifejleszt egy ellenőrzőeszközt, amelynek segítségével tesztelhetővé válnak a webes alkalmazástűzfalak.

Az ingyenesen letölthető eszköz jelenleg körülbelül 150 különböző sebezhetőség kimutatására alkalmas. Ristic elmondta, hogy az új fejlesztését elsősorban a nyílt forráskódú ModSecurity esetében tesztelte, de a kutatásai során kereskedelmi termékeket is szemügyre vett, és bizony azok kapcsán is ért el sikereket, legalábbis ami a sebezhetőségek feltárását illeti.

"Amennyiben a gyártók és a biztonsági kutatók nem dokumentálják a problémákat, és nem tudatosítják azokat, akkor a WAF-fejlesztők újra és újra el fogják követni ezeket a hibákat" - nyilatkozta Ristic. Reményei szerint az új eszközt mind a WAF-gyártók, mind a tűzfalak üzemeltetői használni fogják, és ennek hatására gyorsabban lehet majd felszámolni e biztonsági termékek hiányosságait. "A gyártóknak különféle prioritásaik vannak, és nem mindig foltoznak be egy-egy biztonsági rést, hacsak azok nem jelentenek valós kockázatot az ügyfeleik számára. Ez a kutatás remélhetőleg elég ösztönzést fog jelenteni számukra, hogy a problémákkal komolyan foglalkozzanak" - mondta a szakember.

Kristóf Csaba

Informatikai biztonság kézikönyve CD-ROM A számítógépes hálózatok korában, amikor nap mint nap vírusok támadásainak vagyunk kitéve, az informatika területének talán legfontosabb feladata, a biztonság illetve az adatok védelmének biztosítása. Kiadványunk ebben kíván az Ön segítségére lenni, legyen akár kezdő vagy haladó, a lehető legszélesebb körből származó friss információk, gyakorlati példák, segédletek, útmutatások segítségével.
		Szabados Enikő
		Telefon: +36 (1) 428-3846
		E-mail: e.szabados@dashofer.hu