Ist Ihre auffällige Schulwebsite sicher?

Ist Ihre auffällige Schulwebsite sicher?
Ist Ihre auffällige Schulwebsite sicher?
Anonim

Die meisten Bildungs-Websites in den USA verwenden Flash-Anwendungen, die diese Seiten nicht ausreichend sichern. Dies ist ein wachsendes Problem für das Internet, da gefährdete Websites für böswillige und kriminelle Aktivitäten gekapert werden können, so ein Artikel, der diesen Monat im International Journal of Electronic Security and Digital Forensics veröffentlicht wurde.

Joanne Kuzma, Colin Price und Richard Henson von der Business School der University of Worcester, England, haben ein einfaches Tool von Hewlett Packard (HP), bekannt als SwfScan, verwendet, um akademische Websites in den USA auf Sicherheit zu analysieren Löcher in ihren Flash-Anwendungen.

Adobe Flash ist eine proprietäre Multimedia-Plattform, die verwendet wird, um unzählige Webseiten mit Animationen, Videos und Interaktivität zu versehen. Es wird häufig von Websites wie Google Youtube und von Gaming-Websites und in Anzeigen verwendet. Es wurde auch als Tool für "Rich Internet Applications" positioniert. Obwohl der Anbieter Adobe regelmäßig Sicherheitspatches veröffentlicht, um auftretende Probleme zu beheben, werden viele Websites nicht auf dem neuesten Stand geh alten und bleiben daher anfällig. Unternehmen wie Apple weigern sich aus genau diesem Grund, die Ausführung von Flash auf ihren Verbrauchergeräten zuzulassen.

Kuzma und Kollegen weisen darauf hin, dass es unmöglich ist, eine Webanwendung zu 100 % sicher zu machen, aber dass akademische Einrichtungen neue Richtlinien implementieren müssen, um ihre Websites besser zu sichern und ihre Benutzer zu schützen. Im Jahr 2008 prüfte HP mit seinem SwfScan-Tool 4.000 Flash-Anwendungen im Internet und fand 250 Flash-Anwendungen mit einem Anmeldeformular, in dem Benutzernamen oder Kennwörter fest in die Anwendung codiert waren.Ältere Flash-Versionen sind weit verbreitet und mehr als ein Drittel der Flash-Anwendungen verstoßen gegen die Sicherheitsempfehlungen von Adobe.

Das Team hat jetzt mit SwfScan 250 Bildungs-Websites gescannt, mit besorgniserregenden Ergebnissen. „Bildungswebsites erhöhen die Anzahl ihrer Flash-basierten Seiten und Anwendungen, insbesondere aufgrund der Zunahme des Online-Lernens“, sagt das Team, „doch fast alle Seiten wiesen Sicherheitslücken auf mindestens niedrigem Niveau auf, und über 20 % von ihnen hatten solche Sicherheitsprobleme auf mittlerer Ebene, bei denen persönliche Informationen an Angreifer weitergegeben werden könnten." Sechs der gescannten Seiten (2,4 %) wiesen kritische Schwachstellen auf. Nur zwei Websites hatten keine gemeldeten Flash-Schwachstellen.

Gut bekannt gewordene Datenschutzverletzungen an Universitäten in Florida und Ohio führten dazu, dass die Namen und Sozialversicherungsnummern von Hunderttausenden von Studenten offengelegt wurden, was nicht nur die Sicherheit dieser Personen beeinträchtigte, sondern auch zu einer so negativen Publizität führte, dass Ohio, at zuletzt einen deutlichen Rückgang der Geldspenden.Es gibt jedoch eine Vielzahl technischer, rechtlicher und verfahrenstechnischer Methoden, die Institutionen effektiv implementieren könnten, um ein besseres Maß an Benutzerschutz zu bieten, fügt das Team hinzu.

Ein ernstes Problem in der Universitätssicherheit ist, dass Professoren, Hochschulen, Fachbereiche und sogar Studentenorganisationen regelmäßig separate Schattensysteme erstellen und unterh alten. Selbst wenn die Universität über sichere Kernanwendungen und spezifische Sicherheitsrichtlinien verfügt, könnten diese Schattensysteme Sicherheitslücken öffnen. Darüber hinaus betreiben die Fachbereiche oft eigene Server, die die IT-Abteilung der Institution umgehen. „Ein Mitarbeiter könnte eine separate Flash-Anwendung erstellen, um verschiedene Benutzerinformationen zu sammeln, und diese Anwendung könnte mit minimalem Gedanken an die Sicherheit entwickelt werden, oder sie könnte die Sicherheitsrichtlinien und Entwicklungsverfahren des Unternehmens umgehen“, erklärt das Team. "Diese Mitarbeiter kennen möglicherweise die für die Branche geltenden gesetzlichen Bestimmungen nicht."

Beliebtes Thema