image

"McAfee Secure en Hacker Safe zijn boerenbedrog"

zondag 12 oktober 2008, 11:15 door Redactie, 7 reacties

De "McAfee Secure" en "Hacker Safe" certificeringen zijn boerenbedrog, aldus verschillende beveiligingsonderzoekers. Het Hacker Safe logo is al vaker onder vuur komen te liggen, toch heeft McAfee maar weinig van de kritiek aangetrokken, zo stelt Mike Bailey. Eerder werd bekend dat sites met het logo zo lek als een mandje zijn en de veiligheid van bezoekers in gevaar zou brengen. Zelfs de website van McAfee bleek lek te zijn. Vanwege het hoge boerenbedrog gehalte, werd de dienst van McAfee genomineerd voor een Pwnie award en wist die zelfs te winnen.

De beveiliger kwam na Hacker Safe met een nieuwe dienst genaamd McAfee Secure. Ook deze dienst is volgens de onderzoekers "Snake oil". Onderzoeker Russ McRee ontdekte op alle sites die dit stempel droegen cross-site scripting (XSS) lekken en ook het veel gevaarlijkere SQL-injectie kwam voor. De onderzoekers wisten een dump van de scans die McAfee uitvoert te bemachtigen, wat het scanproces duidelijk maakte. Daaruit blijkt dat de McAfee Secure certificering of PCI compliance niet wordt ingetrokken als de scan XSS aantreft.

Oplichting
McAfee nam contact op met Russ en beloofde dat het binnen twee a drie weken een standaard zou publiceren om aan de kritiek van de onderzoeker tegemoet te komen. Die belofte werd enige tijd geleden gedaan, toch is er niets opgeleverd. De informatie die de onderzoekers wel ontvingen stemt ze niet positief. McAfee Secure blijkt verschillende standaarden voor zakelijke en kleinere websites te gebruiken. Bij de laatste categorie is het niet verplicht om XSS te verhelpen en bij de zakelijke sites krijgt men ruim de tijd om het probleem op te lossen. In de tussentijd draagt de site wel het McAfee Secure logo. "Wat dit betekent is dat, voor een gebruiker die wil weten of een site betrouwbaar is, het McAfee Secure logo op een website precies betekent wat het nu doet: Absoluut niets."

"Ik veronderstel dat iedereen zijn eigen waardeloze certificeringen kan aanbieden, maar zoals Rafal gisteren opmerkte, getuigt het noemen van deze sites als 'McAfee Secure', 'Hacker Safe' of wat dan ook, op z'n best van slechte smaak en aan de andere kant van het spectrum als oplichting."

Volgens Bailey gebruikt McAfee de eigen naam om het vertrouwen van mensen die niets weten te misbruiken. Zo heeft het bedrijf een nieuwe shopping applicatie ontwikkeld, die consumenten met vertrouwen moet laten winkelen, maar die met XSS te maken heeft en geen SSL gebruikt. Verder genereert de software sessie ID's, zonder dat die op de site gebruikt worden. "Het demonstreert duidelijk dat ze niets begrijpen van webapplicatie beveiliging."

Reacties (7)
12-10-2008, 11:41 door Eerde
Tell me zomzing new..... ;)
Tsja je kan nog zo veel beveiligings progjes kopen met wc-eend certificering, als het onderliggende OS wrak is blijft het hommeles !
12-10-2008, 11:50 door Lamaar
Door EerdeTell me zomzing new..... ;)
Tsja je kan nog zo veel beveiligings progjes kopen met wc-eend certificering, als het onderliggende OS wrak is blijft het hommeles !
Jij grijpt ook alles aan om maar te kunnen roepen dat je helemaal veilig bent als je met open source werkt. Ik lees namelijk nergens dat het OS hier ook maar iets mee te maken heeft. Over wc-eend gesproken, volgens mij ben jij zelf ook een wc-eend.
12-10-2008, 12:27 door U4iA
Door Lamaar
Door EerdeTell me zomzing new..... ;)
Tsja je kan nog zo veel beveiligings progjes kopen met wc-eend certificering, als het onderliggende OS wrak is blijft het hommeles !
Jij grijpt ook alles aan om maar te kunnen roepen dat je helemaal veilig bent als je met open source werkt. Ik lees namelijk nergens dat het OS hier ook maar iets mee te maken heeft. Over wc-eend gesproken, volgens mij ben jij zelf ook een wc-eend.
Nee Lamaar, dit keer heeft Eerde gelijk. Het gaat immers om de webapplicaties/sites die lek zijn. Laat nou heel veel van die websites op Apache draaien in combinatie met Linux. Dit keer steekt hij dus de hand in eigen boezem! ;)
12-10-2008, 16:38 door Lamaar
Door U4iA
Door Lamaar
Door EerdeTell me zomzing new..... ;)
Tsja je kan nog zo veel beveiligings progjes kopen met wc-eend certificering, als het onderliggende OS wrak is blijft het hommeles !
Jij grijpt ook alles aan om maar te kunnen roepen dat je helemaal veilig bent als je met open source werkt. Ik lees namelijk nergens dat het OS hier ook maar iets mee te maken heeft. Over wc-eend gesproken, volgens mij ben jij zelf ook een wc-eend.
Nee Lamaar, dit keer heeft Eerde gelijk. Het gaat immers om de webapplicaties/sites die lek zijn. Laat nou heel veel van die websites op Apache draaien in combinatie met Linux. Dit keer steekt hij dus de hand in eigen boezem! ;)
Grijns!!
13-10-2008, 03:35 door Anoniem
Dat zal allemaal wel "hommeles" zijn, maar zaken/programma's als Linkscanner worden door vele "beheerders" niet geappricieerd. ja, ja I know why..
Die tool toverde alleen wel razendsnel alle/vele malware site's op het web..
13-10-2008, 11:59 door Anoniem
Van alles wat met internet te maken heeft is minstens 90% boerenbedrog of zakkenvullerij aan de ene kant of jatwerk aan de andere kant. Dat is de prijs van de vrijheid.
13-10-2008, 12:45 door Anoniem
Door Lamaar
Door EerdeTell me zomzing new..... ;)
Tsja je kan nog zo veel beveiligings progjes kopen met wc-eend certificering, als het onderliggende OS wrak is blijft het hommeles !
Jij grijpt ook alles aan om maar te kunnen roepen dat je helemaal veilig bent als je met open source werkt. Ik lees namelijk nergens dat het OS hier ook maar iets mee te maken heeft. Over wc-eend gesproken, volgens mij ben jij zelf ook een wc-eend.

HAP HAP HAP ...... en dan
Grijns!!
als een boer met kiespijn LMAO !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.