Операционную систему Windows заподозрили в утечке паролей у «Яндекса», Mail.ru и Google

windows8-150x150Российские эксперты допускают, что мошенники получили пароли пользователей с помощью поддельных сертификатов защиты, которые массово попали в установленные россиянами операционные системы от Microsoft, сообщает сегодня российский интернет-портал «Известия» .

В ночь со вторника на среду пользователь tvskit с форума Bitcoin Security опубликовал третью базу взломанных почтовых ящиков. После 1,3 млн ящиков от «Яндекса» и 4,7 млн аккаунтов Mail.ru появились 4,9 млн взломанных учетных записей Google. Сергей Марченко, сертифицированный инженер Google Apps с четырехлетним опытом внедрения сервисов Google предполагает две основные версии произошедших взломов.

В первую очередь он считает, что нужно вести речь о подделке с помощью троянов и вирусов сертификатов подлинности серверов, через которые по «защищенному» каналу HTTPS пользователи заходили на почту, и тогда можно говорить о полной непричастности «Яндекса», Mail.ru и Google к утечкам. В первом случае эксперт предположил, что масштабная подделка сертификатов стала возможна через «дыры» в браузерах или самой популярной в России операционной системе, Windows. Вторая версия — о необнаруженной уязвимости ПО, которое используют интернет-компании.

По словам tvskit, более 60% опубликованных паролей рабочие, никаких технических подробностей и целей публикации не приводится. tvskit на форуме дважды пространно написал, что выложил базы с целью привлечь внимание к проблемам безопасности. Комментаторы на таких ресурсах, как Habrahabr, нашедшие свои ящики в списке, говорят, как и в случаях с «Яндексом» и Mail.ru, о том, что пароли старые, а аккаунты почти не использовались. В российском представительстве Google (ООО «Гугл») заявили, что пока разбираются в инциденте.

— Пользователь общается с почтовым сервером по протоколу HTTPS, протокол зашифрован, но на этапе установления шифрованного канала используются так называемые цифровые сертификаты (PKI), которые выдаются организациям, включая «Яндекс», Google и Mail.ru, специализированными центрами сертификации. Эти центры сертификации блюдут безопасность как зеницу ока, — рассказывает Марченко. — Но известны случаи, когда от имени Microsoft и Google выпускались действительные, но фактически не принадлежащие этим компаниям сертификаты.

Последний раз — этим летом — таким образом отличилась Индия: корпорация Google обнаружила, что Национальный центр сертификации (NIC) Индии выдал несколько сертификатов на домены. То есть кто-то при выпуске такого сертификата мог выступать от имени Google, «Яндекса», Mail.ru, Microsoft и прочих и прогонять через себя нешифрованные данные пользователей, которые включают и пароли. Такая атака называется MiTM, продолжает Марченко. Поддельный сертификат, по его словам, ведет пользователя без его ведома на фишинговый сервер-посредник, который и собирает пароли.

— Почему компьютеры доверяют одним сертификатам и не доверяют другим? Потому что разработчик операционной системы включает в стандартный дистрибутив несколько десятков сертификатов головных центров сертификации, которым стоит доверять, — поясняет он. — Но вирусу или трояну ничего не стоит добавить свой собственный сертификат в список доверенных в операционную систему — особенно если вы в Windows постоянно пользуетесь «учеткой» администратора. От 99% подобных проблем можно застраховаться, устанавливая программы с помощью изолированной учетной записи системы с неограниченными правами, в остальное время лучше работать на учетной записи пользователя. Для столь масштабного распространения трояна нужна уязвимость в браузере или самой операционной системе (ОС), то есть всё может свестить к незашитой дыре в каком-либо популярном браузере или ОС. А столь большое количество паролей русскоязычной аудитории указывает на то, что единственная ОС, которая имеет такую аудиторию, — Microsoft Windows, либо один из распространенных браузеров.

В российском отделении Microsoft пока не ответили на запрос «Известий».

В качестве второй версии Марченко привел всплывавшее ранее предположение о необнаруженной уязвимости в бесплатном системном ПО, которое используют в ядре своих IT-сервисов большинство интернет-компаний во всем мире, включая «Яндекс», Mail.ru, Google, Facebook и Twitter. Речь о Linux и ряде продуктов с отрытым кодом.

— Тот факт, что за двое суток в сеть попали миллионы пар «логин-пароль» самых популярных в России почтовых сервисов, может говорить о том, что взлом произошел через неизвестную уязвимость в одном из ассоциированных с Linux пакетов, — рассуждает Марченко. — Несмотря на то, что пароли опубликованы 8–10 сентября, уязвимость вполне может быть уже найдена и закрыта, а утечка паролей могла произойти значительно раньше. Поскольку атака коснулась трех компаний, серверы которых физически расположены в разных точках планеты, версия об утечке информации по вине инсайдеров несостоятельна, так как координации подобной акции чрезвычайно сложна.

Оставьте отзыв или комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.