Nemrégiben nyitottam egy bankszámlát, melyhez online-bank szolgáltatás is járt (direkt nem emlegetek konkrét bankot). Ahhoz hogy aktiváljam a számla online elérhetőségét először be kellett jelentkezni a szolgáltatásba a bankban lévő “terminálon” keresztül, és megváltoztatni a jelszót. A jelszó megváltoztatása után az ügyintézőnek jóvá kellett hagynia az aktiválást, így valószínűleg a bank minden ügyfele azon a gépen jelentkezik be először.

Idáig nincs is semmi különleges a dologban, ám ez a “terminál” egy sima asztali gép volt. A gépen Windows XP futott, és az online szolgáltatást Internet Explorer 6-on keresztül lehetett elérni. Ha valamiért nem működött a dolog, akkor szimplán reboot-olták a gépet. És ami még lényeges, a szolgáltatást interneten keresztül érte el a gép, és nem belső hálózatról.

Ebből az következik, hogyha valaki megtudja a gép ip címét az IE6 biztonsági réseit kihasználva könnyen hozzáférhet az abban a fiókban számlát nyitó ügyfelek jelszavához. Az hagyján, hogy IE, de hogy az elavult hatos verzió, ráadásul még csak nem is belső használatra, hanem egyenesen az internetre kötve…. Bár nem vagyok biztonsági szakember, de azért az könnyen belátható, hogy ez a gép igen könnyű célpont. Szokták emlegetni, hogy mostanában inkább egy-egy feladatra  kezdenek koncentrálni a rosszfiúk: nagyobb cégek főnökeinek gépére, és egyéb fontos helyekre bejutni. Nah, ez a gép is pont olyan, hogy a megfertőzésével viszonylag sok értékes információhoz lehet jutni.

A böngészők biztonsága létkérdés.

Minél több mindent csinálunk a böngészőben, annál nagyobb kockázatot jelent maga a böngésző. Ezt lassan a tűzfalakkal, vírusirtókkal foglalkozó cégek is felismerik, és egyre többen készítenek a böngészőkbe beépülő modult termékeikhez. Talán a jövőben már egyenesen egy böngésző plugin lesz a tűzfal.