2001-11-07 13:07:18

Ошибки в программе защиты системы аутентификации Microsoft Passport делают финансовую информацию пользователей легко доступной. В пятницу представители компании признали это, причем данное обстоятельство вынудило софтверного гиганта временно закрыть этот ключевой сервис.
В четверг программист из сообщества open-source Марк Слемко (Marc Slemko) продемонстрировал серьезные пробелы в защите Wallet — одного из сервисов службы Passport, который хранит данные, используемые на сайтах электронной коммерции. В тот же день Microsoft отключила этот сервис, что свело на нет недавние попытки компании убедить потребителей в серьезности своих намерений в отношении обеспечения их безопасности. «С тем примером эксплойта, который я привел, справиться весьма просто, — говорит Слемко. — Но полное устранение уязвимости Passport — чрезвычайно трудная задача».

Отправив пользователю Hotmail специально составленное письмо, Слемко во многих случаях удалось получить неограниченный доступ к финансовой информации адресата, содержащейся в его электронном кошельке, который хранится на серверах Microsoft. Эксплойт использует две так называемые cross-scripting уязвимости. Они проявляются в том, что связи между приложениями, например между сайтом веб-почты и финансовым сайтом, недостаточно надежно защищены.

Слемко сопоставил эти уязвимости с тем фактом, что после регистрации на Hotmail данные авторизации пользователя передаются в другие сервисы Passport — этот процесс может занимать до 15 минут. Если в этот промежуток времени объект читает особым образом составленное письмо, содержащийся в нем код извлекает cookies — записи с идентификационными данными пользователя. С их помощью атакующий может за 15 минут войти в другие сервисы под именем жертвы.

«Чтобы додуматься до этого, мне понадобилось около 30 минут, — пишет Слемко в описании своей атаки. — Очевидно, что Microsoft либо не выделила достаточных ресурсов на предварительное обследование защиты своих сервисов и ПО, либо знает об этих недостатках. Корпорация считает, что захватить долю рынка важнее, чем заботиться о безопасности пользователей».

Microsoft признала проблемы защиты, назвав анализ Слемко «правомерным». В четверг компания временно закрыла службу Express Purchase на базе Passport Wallet, предотвратив возможность использования украденной информации, если кражи в действительности имели место. «Нет никаких свидетельств того, что кто-то действительно воспользовался такой возможностью — и это существенно упрощает дело», — говорит менеджер продуктов из отделения стратегии платформы Microsoft .Net Адам Сон (Adam Sohn). По его словам, Microsoft планирует сократить время процесса аутентификации примерно до минуты. К тому же Сон утверждает, что атака не может быть успешной, если потенциальная жертва использует Windows XP.

Технология Passport — это ось стратегии Microsoft .Net. Она аутентифицирует каждого человека, который пытается обратиться к той или иной службе через ПО Microsoft. Поэтому для компании важно, чтобы все работало как следует. Однако Слемко сомневается, что Microsoft удастся добиться этого. «Сегодня риск для пользователей существенно снижается тем, что действие Passport распространяется не дальше, чем на управление учетными записями Hotmail и персональной настройкой других сайтов Microsoft, — сказал он. — В том же случае, если Passport станет единой службой аутентификации пользователей для всего интернета, последствия ненадежной защиты будут ужасными».

ZDNet