Έρευνα: Ευάλωτες σε επιθέσεις οι ενημερωτικές και οι αθλητικές ιστοσελίδες

Οι ενημερωτικές και οι αθλητικές ιστοσελίδες είναι μεταξύ των τύπων sites που έχουν τα χαμηλότερα επίπεδα ασφαλείας, σύμφωνα με νέα έρευνα.

Ομάδα ειδικών κυβερνοασφαλείας εξέτασε τα πρωτόκολλα ασφαλείας που χρησιμοποιούνται από τις κορυφαίες 500 ιστοσελίδες σε ένα μεγάλο εύρος βιομηχανιών και γενικότερα τομέων που έχουν παρουσία online. 

Όπως διαπίστωσαν, κάτω από το 10% των ενημερωτικών και αθλητικών ιστοσελίδων χρησιμοποιούν βασικά πρωτόκολλα ασφαλείας, όπως το HTTPS και το TLS. 

Ακόμα και αυτά που το κάνουν, δεν χρησιμοποιούν πάντα τα πιο νέα ή ισχυρά πρωτόκολλα, είπε ένας από τους ερευνητές.

«Καθώς περνά ο καιρός, η κρυπτογράφηση γίνεται όλο και πιο αδύναμη, επειδή βρίσκονται τρόποι προσπέλασής της» είπε στο BBC ο καθηγητής Άλαν Γούντγουορντ, ειδικός σε θέματα κυβερνοασφαλείας στο University of Surrey. 

«Δοκιμάσαμε την ιστοσελίδα του πανεπιστημίου χρησιμοποιώντας ένα site ονόματι Security Headers πριν από λίγες εβδομάδες και πήρε Α, αλλά είναι μόνο C τώρα» πρόσθεσε.

Η έρευνα, που δημοσιεύτηκε στο Journal of Cyber Security Technology, δείχνει ότι κάποιοι τομείς φαίνονται να παίρνουν πιο πολύ στα σοβαρά την ασφάλεια σε σχέση με κάποιους άλλους: Οι ιστοσελίδες εταιρειών ηλεκτρονικών υπολογιστών και τεχνολογίας, καθώς και οργανισμοί και ιδρύματα του χρηματοπιστωτικού τομέα παρουσιάζουν υψηλότερα επίπεδα υιοθέτησης μέτρων ασφαλείας σε σχέση με πχ τις ιστοσελίδες που έχουν να κάνουν με gaming και αγορές.

«Στον χρηματοπιστωτικό τομέα, σχεδόν όλα τα sites που εξετάσαμε είχαν κρυπτογραφημένα links» είπε ο καθηγητής Γούντγουορντ, «αλλά ακόμα και στη λιανική, η υιοθέτηση των πιο νέων στάνταρ είναι χαμηλή».

Το 1/4 των sites αγορών που εξετάστηκαν χρησιμοποιούσαν Transport Layer Security (TLS), που προσφέρει διάφορα εργαλεία, περιλαμβανομένων ψηφιακών πιστοποιητικών, κωδικών εξ αποστάσεως και ένα εύρος επιλογών για την κρυπτογράφηση σχετικά με το traffic ανάμεσα σε μια ιστοσελίδα και τους επισκέπτες της. 

Ωστόσο, στις ενημερωτικές και τις αθλητικές ιστοσελίδες μόλις κάτω από το 8% χρησιμοποιούσαν το πρωτόκολλο αυτό. 

Μεταξύ αυτών που το έκαναν, πολλά δεν χρησιμοποιούσαν κάποια από τα πλέον ισχυρά εργαλεία που ήταν διαθέσιμα, όπως το HSTS, που προωθεί αυτόματα τους χρήστες που μπαίνουν σε μια μη ασφαλισμένη έκδοση της ιστοσελίδας, στη σωστή (κρυπτογραφημένη).

«Είναι σαν οι πάροχοι ενημερωτικού και αθλητικού περιεχομένου να μην δίνουν αξία στην ασφάλεια του περιεχομένου τους» είπε ο καθηγητής Γούντγουορντ, συμπληρώνοντας πως «αφήνουν τους εαυτούς τους ευάλωτους σε επιθέσεις σαν το cross-site scripting, όπου ο επιτιθέμενος μπορεί να υποκριθεί πως κάτι έχει έρθει από μια ιστοσελίδα ενώ στην πραγματικότητα δεν έχει συμβεί κάτι τέτοιο».