IE, Chrome и Safari одурачены поддельным SSL-сертификатом PayPal
 

А ведь предупреждали и не только, конечно, зачем править, лучше дождаться подобных случаев..


Если во время проведения платежей через PayPal ты используешь Internet Explorer, Google Chrome или Apple Safari для Windows, самое время задуматься о переходе на более безопасный Firefox.

А все потому, что вчера один из хакеров опубликовал фальшивый SSL-сертификат, эксплуатирующий зияющую дыру в библиотеке CryptoAPI от Microsoft, с которой работают эти браузеры. Хотя сертификат поддельный, все три веб-обозревателя принимают его за легитимный SSL-сертификат, подтверждающий подлинность PayPal. Несмотря на то, что данный баг был продемонстрирован Мокси Марлинспайком более девяти недель назад, в Microsoft его все еще не закрыли.

Опубликованный в понедельник так называемый "нуль-префикс сертификат" для PayPal – это серьезный удар по сетевой безопасности, поскольку теперь киберпреступники могут с легкостью преодолевать одну из самых старейших и надежных систем защиты от атак "man-in-the-middle". PayPal и тысячи других финансовых веб-сайтов используют такие сертификаты для генерирования цифровой подписи, подтверждающей, что страница авторизации не была подсунута пользователю злоумышленниками, следящими за его попытками получить доступ к тому или иному ресурсу.

Несмотря на то, что опубликованный в понедельник сертификат является демонстративно фальшивым, его все равно можно использовать вместе с выпущенной ранее хакерской утилитой SSLSniff и добиться того, что браузеры не будут выдавать никакого предупреждения при переходе на подставную страницу, даже если ее адрес начинается с "https".

Представитель PayPal уже заявила о том, что в компании знают о существовании поддельного сертификата и работают над тем, чтобы предпринять все те действия, которые могут быть предприняты со стороны PayPal.

Последний сертификат использует уязвимость в CryptoAPI, позволяющую игнорировать все знаки, следующие за символами "\" и "0". Чтобы воспользоваться дырой, злоумышленнику нужно получить обычный сертификат своего сайта, а затем вставить его имя и символ "0" сразу же после названия ресурса, за который он желает выдать нужный ему веб-сайт.

В случае с PayPal строка будет выглядеть примерно так:

www.paypal.com\0ssl.secureconnection.cc

К счастью, разработчики из Mozilla пропатчили эту дыру уже через несколько дней после того, как о ней было рассказано на конференции BlackHat, а спустя несколько недель то же самое проделали и программисты Apple. Это значит, что если ты используешь Windows, то на данный момент единственным способом защитить себя от этого критического бага будет переход на Firefox 3.5 или 3.0.13 и выше. По крайней мере, пока Microsoft не устранит проблему.

06.10.2009