Windows заподозрили в утечке паролей у «Яндекса», Mail.ru и Google

В ночь со вторника на среду пользователь tvskit с форума Bitcoin Security опубликовал третью базу взломанных почтовых ящиков. После 1,3 млн ящиков от «Яндекса» и 4,7 млн аккаунтов Mail.ru появились 4,9 млн взломанных учетных записей Google. Сергей Марченко, сертифицированный инженер Google Apps с четырехлетним опытом внедрения сервисов Google предполагает две основные версии произошедших взломов.

В первую очередь он считает, что нужно вести речь о подделке с помощью троянов и вирусов сертификатов подлинности серверов, через которые по «защищенному» каналу HTTPS пользователи заходили на почту, и тогда можно говорить о полной непричастности «Яндекса», Mail.ru и Google к утечкам. В первом случае эксперт предположил, что масштабная подделка сертификатов стала возможна через «дыры» в браузерах или самой популярной в России операционной системе, Windows. Вторая версия — о необнаруженной уязвимости ПО, которое используют интернет-компании.

По словам tvskit, более 60% опубликованных паролей рабочие, никаких технических подробностей и целей публикации не приводится. tvskit на форуме дважды пространно написал, что выложил базы с целью привлечь внимание к проблемам безопасности. Комментаторы на таких ресурсах, как Habrahabr, нашедшие свои ящики в списке, говорят, как и в случаях с «Яндексом» и Mail.ru, о том, что пароли старые, а аккаунты почти не использовались. В российском представительстве Google (ООО «Гугл») заявили, что пока разбираются в инциденте.

— Пользователь общается с почтовым сервером по протоколу HTTPS, протокол зашифрован, но на этапе установления шифрованного канала используются так называемые цифровые сертификаты (PKI), которые выдаются организациям, включая «Яндекс», Google и Mail.ru, специализированными центрами сертификации. Эти центры сертификации блюдут безопасность как зеницу ока, — рассказывает Марченко. — Но известны случаи, когда от имени Microsoft и Google выпускались действительные, но фактически не принадлежащие этим компаниям сертификаты.

Последний раз — этим летом — таким образом отличилась Индия: корпорация Google обнаружила, что Национальный центр сертификации (NIC) Индии выдал несколько сертификатов на домены. То есть кто-то при выпуске такого сертификата мог выступать от имени Google, «Яндекса», Mail.ru, Microsoft и прочих и прогонять через себя нешифрованные данные пользователей, которые включают и пароли. Такая атака называется MiTM, продолжает Марченко. Поддельный сертификат, по его словам, ведет пользователя без его ведома на фишинговый сервер-посредник, который и собирает пароли.

— Почему компьютеры доверяют одним сертификатам и не доверяют другим? Потому что разработчик операционной системы включает в стандартный дистрибутив несколько десятков сертификатов головных центров сертификации, которым стоит доверять, — поясняет он. — Но вирусу или трояну ничего не стоит добавить свой собственный сертификат в список доверенных в операционную систему — особенно если вы в Windows постоянно пользуетесь «учеткой» администратора. От 99% подобных проблем можно застраховаться, устанавливая программы с помощью изолированной учетной записи системы с неограниченными правами, в остальное время лучше работать на учетной записи пользователя. Для столь масштабного распространения трояна нужна уязвимость в браузере или самой операционной системе (ОС), то есть всё может свестить к незашитой дыре в каком-либо популярном браузере или ОС. А столь большое количество паролей русскоязычной аудитории указывает на то, что единственная ОС, которая имеет такую аудиторию, — Microsoft Windows, либо один из распространенных браузеров.

В российском отделении Microsoft пока не ответили на запрос «Известий».

В качестве второй версии Марченко привел всплывавшее ранее предположение о необнаруженной уязвимости в бесплатном системном ПО, которое используют в ядре своих IT-сервисов большинство интернет-компаний во всем мире, включая «Яндекс», Mail.ru, Google, Facebook и Twitter. Речь о Linux и ряде продуктов с отрытым кодом.

— Тот факт, что за двое суток в сеть попали миллионы пар «логин-пароль» самых популярных в России почтовых сервисов, может говорить о том, что взлом произошел через неизвестную уязвимость в одном из ассоциированных с Linux пакетов, — рассуждает Марченко. — Несмотря на то, что пароли опубликованы 8–10 сентября, уязвимость вполне может быть уже найдена и закрыта, а утечка паролей могла произойти значительно раньше. Поскольку атака коснулась трех компаний, серверы которых физически расположены в разных точках планеты, версия об утечке информации по вине инсайдеров несостоятельна, так как координации подобной акции чрезвычайно сложна.

Опубликовано 10 сентября 2014 года. Метки: , , ,
По материалам открытых источников.
При перепечатке материалов сайта гиперссылка на rosgsm.ru обязательна.