A NetAcademia Oktatóközpont tavaly év végén indította el Ördöglakat elnevezésű online fejtörőjét, ahol az informatikai szakemberek ellenőrzött körülmények között ismerhetik meg a legjellemzőbb webalkalmazásokat érintő biztonsági problémákat. „Az Ördöglakat rendkívül népszerű az informatikusok körében, hiszen az elmúlt hónapok során mintegy három és fél ezer szakembert sikerült a játékba bevonni” – mondta az oldal elindítását támogató Microsoft képviseletében Budai Péter.

A jelenleg is futó, már 13 pályás játék részét képezi az Ördöglakat főoldalának feltörése is, amit a weblapon jó néhány, szándékosan nyitva hagyott, ugyanakkor éles üzemben működő oldalaknál is előforduló biztonsági rés „támogat”. „Megdöbbentő volt, hogy milyen sokan oldották meg ezt a feladatot, így szépségversenyt hirdettünk a leglátványosabb főoldalfeltörések közt. Ezen bukkant fel az a módszer, amely alapvetően eltér a megszokott az adathalász módszerektől, így külön foglalkozunk vele az április 24-ei Ethical Hacking konferencián” – mondta Fóti Marcell, a NetAcademia Oktatóközpont ügyvezetője, a játék szakmai felelőse.

Az új módszer lényege, hogy az adathalász nem egy teljesen új webhelyet hoz létre a felhasználók megtévesztésére és személyes adataik megszerzésére, hanem a szolgáltató – például egy bank – saját weblapját töri fel és változtatja meg. Ennek során az ún. cross-site scripting (XSS) betörési technikát alkalmazza, amivel egy nem biztonságos weboldalt át lehet programozni az adatbeviteli mezőkön – például kapcsolati űrlapokon, fórumokon – keresztül. „Az így megvalósított adathalászat a gyakorlatban azt eredményezi, hogy a szokásos szűrési technikák segítségével (például a gyanús webcímek figyelése, a titkosító tanúsítvány hitelességének ellenőrzése) nem ismerhető fel az átverés, hiszen a hacker az eredeti weblapon tulajdonítja el a felhasználó adatait” – magyarázta Fóti.