Все новости от 6 сентября 2002 г.

Через дыру в Windows можно красть кредитные карты

Microsoft распространила предупреждение, в котором называет ошибку «критической». Она связана с механизмом, посредством которого более дюжины продуктов Microsoft — программ для Windows и Macintosh — управляют сертификатами, обеспечивающими аутентификацию веб-сайтов и кода программ. Воспользовавшись этой ошибкой, владелец веб-сайта с достоверным сертификатом может создать второй, фальшивый сертификат с целью несанкционированного доступа к компьютерам и кражи паролей или номеров кредитных карт. «Я могу написать на своем сайте: Click here to go to Amazon.com. Но на самом деле я не направлю вас на Amazon.com. Я могу сымитировать Amazon.com и предложить вам ввести номер кредитной карты», — поясняет аналитик Gartner Джон Пескатор (John Pescatore).

Эксперты поспешили отметить, что вряд ли кто-нибудь уже воспользовался этой ошибкой, тем не менее она может иметь широкий резонанс, так как влияет на один из ключевых механизмов аутентификации Windows — CryptoAPI, задействованный во многих программах для Windows от разных производителей. Аналитики предупреждают также, что проблема может подорвать доверие потребителей к финансовым операциям через веб. «Эта маленькая ошибка Microsoft влияет на всю инфраструктуру защиты. Это плохая новость. Хорошая новость в том, что за много лет этим, похоже, никто не воспользовался», — говорит независимый консультант по защите информации Ричард Смит (Richard Smith).

Трещина в цифровой броне
В своем секьюрити-бюллетене Microsoft предупреждает, что вследствие ошибки CryptoAPI неправильно подтверждает часть цифрового сертификата. Влияние на продукты для Macintosh, говорится в бюллетене, не связано с CryptoAPI. Windows использует криптографию для проверки подлинности веб-сайтов и таких компонентов ПО, как драйверы, предотвращая возможность для злоумышленников перехватить управление ключевыми системами.

Microsoft настоятельно рекомендует предприятиям и отдельным пользователям немедленно установить программные поправки, выложенные на веб-сайт компании. Однако Microsoft пока выпустила патчи только для четырех продуктов: Windows NT 4, Windows NT 4 Terminal Server, Windows XP и Windows XP 64-bit Edition. В числе других уязвимых продуктов Windows 98, Windows 98 Second Edition, Windows Me и Windows 2000, а также шесть программ для Macintosh: Office v. X, Office 2001, Office 98, Internet Explorer для Mac OS 8 и 9, Internet Explorer для Mac OS X и Outlook Express 5.05. Патчи для всех этих программ должны появиться в ближайшее время. Microsoft оценивает проблему как критическую для продуктов Windows и средней степени опасности для приложений Macintosh. Компания отмечает, что ранние версии программ также могут быть уязвимыми к атакам, но, так как Microsoft больше не поддерживает эти версии, патчей для них не будет.

«CryptoAPI — это часть базовой операционной системы, так что проблема повлияет на самые разные продукты. Нам не известно, какие продукты независимых производителей она затрагивает», — говорит Смит. В прошлом месяце Microsoft распространила предупреждение о другой ошибке, также влияющей на цифровые сертификаты. Используя ее, хакеры не могут создавать фальшивые сертификаты, зато могут искажать данные, делая сертификаты бесполезными для владельца ПК.

Коридоры для атак
Microsoft предупреждает, что «непропатченные» системы, особенно Windows, предлагают хакерам несколько коридоров для атак. Не распознав, что второй цифровой сертификат является фальшивкой, CryptoAPI не предупредит пользователя, и злоумышленник, воспользовавшись несанкционированным сертификатом, может переадресовать пользователя на другой веб-сайт, обрабатывающий онлайновые транзакции с применением Secure Socket Layer. SSL, широкоиспользуемая технология онлайновых транзакций, позволяет веб-серверам шифровать номера кредитных карт и другую информацию, оберегая ее от алчных глаз. В данном случае человек, начав легитимную транзакцию на одном веб-сайте, может незаметно для себя оказаться на другом, фальшивом.

По другому возможному сценарию веб-сайт злоумышленника может испортить главный цифровой сертификат компьютера, выданный независимой организацией VeriSign. В результате человек утратит возможность проводить транзакции через веб. После этого хакер направляет ему e-mail с сообщением: «Ваш сертификат недействителен. Кликните здесь, чтобы установить новый». «Я могу сходить на VeriSign, получить сертификат для Pescatore.com и обмануть вас, замаскировав этот сайт под Amazon.com», — говорит Пескатор. Этот пример подсказывает еще один вариант подлога: послать по e-mail якобы достоверный цифровой сертификат, который на самом деле принадлежит кому-то другому.

Хакерский тустеп
Тем не менее хакеры, чтобы воспользоваться данной уязвимостью, должны, как правило, осуществить ту или иную комбинацию из двух ходов. Правда, их успеху могут способствовать устоявшиеся привычки потребителей, совершающих сделки через веб, — иногда насаждаемые самой Microsoft. «Все больше и больше пользователей автоматически обновляет Windows посредством Windows Update, — отмечает Пескатор. — Они привыкают отвечать на сообщение „Вам требуется обновление, кликните здесь”. В случае с этой уязвимостью такое поведение — подспорье хакеру».

Распространенное в среду предупреждение продолжает длинный список недавних сигналов. На этой неделе хакеры вывели из строя сервер Windows 2000 Server самой Microsoft. Только за август Microsoft выпустила восемь предупреждений, связанных с безопасностью. В сентябре их уже два.

Корпорация регулярно выпускает такие предупреждения с января, когда Билл Гейтс провозгласил безопасность главным приоритетом компании. Аналитики прогнозируют, что к концу года секьюрити-бюллетеней станет еще больше. «Они начали с серверных операционных систем, а затем перешли к серверным приложениям, — говорит Пескатор. — Теперь они берутся за настольные ОС и такие продукты, как Internet Explorer. При перетряхивании всего этого белья оттуда летят клопы... И их будет еще больше». 

 Предыдущие публикации:

 В продолжение темы:

Обсуждение и комментарии

	eXOR - billgmicrosoft.com 6 Sep 2002 2:03 PM
Ну что можно сказать, господа виндолюбы... нет софта без дырок... ну или почти нет.
	- 6 Sep 2002 2:10 PM
кто бы сомневался :)
	walt 6 Sep 2002 2:57 PM
Не стоит обращать внимания на эти мелочи. Passport - удобно и надежно! Если же Вас и опустят на деньги, то исключительно мягко и в красивом графическом интерфейсе.
	Qrot 6 Sep 2002 2:58 PM
как я понимаю, МС сама багу нашла? так можно только порадоваться за них.. а поправку для 2000 я поставил уже именно по этой теме, почему пишут что нет их?
	void 6 Sep 2002 3:33 PM
2 qrot: Наверное, не по этой. Ее еще нет -- сходи на MS02-050. То была другая дыра. Или третья?... ;)
	Qrot 6 Sep 2002 3:42 PM
void: я с вындовьсаапдейт ставился, точно помню, был там текст про сертификаты.
	AGROYAL - kdgesyahoo.es 8 Sep 2002 5:59 AM
Creo que es una mierda de sistema Windows. Ademas ni si quiera Microsoft sabe todo el funcionamoento de su puta sistema. Es imposible de controlar todo. Claro que se puede romper la sistema de seguridad. Joder si no :) OK. Adios RUSOS. :)
	Долой игры! 8 Sep 2002 2:30 PM
Линурасы, через любой шкаф, в том числе и для вашего пингивинукса, можно делать тоже самое. Причем даже не надо быть калхацкером. Достаточно на back давить или посмотреть кэш.
	DemonZla 9 Sep 2002 10:24 AM
Угу, только вот мы можем шкаф на другой поменять, а виндусоиды - нет.... А винда была, есть и будет самой дырявой системой в мире.... хехе...
	Matros 9 Sep 2002 11:49 AM
2Долой Игры: Чему ты радуешься, дурачок? Проблема гораздо шире, чем крутизна той или иной операционки или броузера. Порочна и уязвима сама схема совершения транзакций через WWW. И не в последнюю очередь из-за того, что построена по принципам, активно навязываемым всем известной мегакорпорацией. Которая несмотря на уверенность в собственной непогрешимости и идеальности, на самом деле страдает тем же комплексом бога, что и американское государство, считая возможным навязывать всему миру свой "единственно верный" подход и взгляд на вещи. А кто против - тех просто давить. Политика Microsoft в области ПО очень похожа на политику штатов в целом...
	Yuri Abele 9 Sep 2002 12:34 PM
Мужики, хорош выделываться! В других системах тоже постоянно находят дыры. И то что антиMS-й ZDNet об этом предпочитает молчать, так это только наруку хакерам. Уж жти-то ребята не страдают детским желанием (из разряда у кого пенис длиньше) и "лупят" тех у кого дыра.
	Игорь 11 Sep 2002 11:15 AM
Это можно делать и без вашей долбаной "ДЫРЫ"
	Долой игры! 14 Sep 2002 2:56 PM
DemonZla, ты идиот? В винде и люлике бровзеры одни и те же. Так что дыры и уязы\вимости тоже одинаковые.
	Skull - sibskullmail.ru 16 Sep 2002 4:43 AM
2Долой игры!: чего-чего? "Люлике" - это что? Марка машины? :))) Если речь идет о Windows и Linux, то вы жестоко ошибаетесь! У нас на Linux такой какашки как IE нет, зато есть Galeon, Dillo, Konqueror. Подобных продуктов под Windows по определению нет, равно как и у нас дыр IE. Только через эмуляторы :)
	Долой игры! 18 Sep 2002 7:13 AM
Galeon, Dillo - это всего лишь морды для тормозиллы. В ней кстати тоже секурных багов полно. А по делу - мозилла есть и для того, и для другого. Опера - аналогично. Links/lynks - тоже, шкаф - само собой. Ну естессно, в люлике нет осла, а винде конкверора. Ну последнего нет и слава богу, то еще глюкало, жрущее ресурсы. Да и валится почаще чем старый Netscape.
	Skull - sibskullmail.ru 19 Sep 2002 5:45 AM
2Долой игры!: ну не садитесь в лужу! Dillo вообще ни от кого не зависит и никакого отношения к Mozilla не имеет!!! Да и про Konqueror - ой, как голословно! Винда сама по себе не умеет ресурсами распоряжаться, а Konqueror и работает стабильнее, и стандаоты лучше держит и фич у него поболе будет.