Sites met veiligheidskeurmerk blijken juist onveiliger
De certificaten komen van een tiental IT-beveiligingsbedrijven waaronder Symantec, McAfee, Trust-Guard, en Qualys die daar tot meer dan 2000 dollar per jaar voor vragen. Om het certificaat te mogen tonen moet de organisatie een periodiek scan van de beveiliging en het beheer van de site met goed resultaat doorstaan. Het doel is de bezoeker het vertrouwen te geven dat de betreffende site aan de geldende beveiligingsstandaarden voldoet en dat het dus veilig is daarop zaken te doen.
Shutterstock
Shutterstock
Een onderzoek, uitgevoerd door de Katholieke Universiteit Leuven en Stony Brook University in New York, geeft aan dat de periodieke scans ernstig tekort schieten. Zowel in de zorgvuldigheid van de scans als het aantal kwetsbaarheden waarop wordt gezocht zijn ondermaats. "Wij hebben verschillende rudimentaire kwetsbaarheden in websites gevonden die het veiligheidscertificaat bezitten. We hebben aangetoond dat website die dergelijke certificaten niet beter de standaard veiligheidsmaatregelen in acht nemen dan sites die zo'n certificaat niet hebben", zeggen de onderzoekers in hun wetenschappelijk artikel dat werd gepubliceerd door securitee.org.
De onderzoekers hebben zelfs een nieuwe aanvalsmethodiek bedacht waarbij een specifiek veiligheidscertificaat juist adverteert op welke kwetsbaarheden niet wordt gescand, wat een hogere slaagkans voor criminelen oplevert.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee