PayPal-аккаунт "хорошего" хакера Мокси Марлинспайка (Moxie Marlinspike) был заморожен вскоре после того, как в общий доступ был выложен поддельный SSL-сертификат сервиса PayPal, созданный благодаря исследованию Марлинспайка.
Эксперту по email пришло уведомление, где уверяется, что он якобы нарушил условие использования PayPal, согласно которому он не имеет права получать оплату при помощи этого сервиса за "товары, которые раскрывают персональную информацию третьих лиц". Какой именно товар имеется в виду в данном конкретном случае, в письме не уточняется.
Сам же Марлинспайк прилагал пэйпэловскую кнопку пожертвования к двум своим программам — SSLSniff и SSLStrip. Первая является хакерским инструментом для использования старой (и уже пропатченной) уязвимости в Internet Explorer. Вторая демонстрирует атаку на совсем свежую "дыру" в майкрософтовской библиотеке, позволяющую эффективно подделывать практически любые SSL-сертификаты.
Свою последнюю находку Марлинспайк продемонстрировал этим летом на конференции Black Hat в Лас-Вегасе. Суть её состоит в том, что из-за ошибки в Microsoft CryptoAPI происходит некорректная обработка сертификатов, выданных на доменные имена, включающие подстроку "\0". Это позволяет, к примеру, владельцу домена "hacker.com" зарегистрировать сертификат на поддомен вида "www.paypal.com\0.hacker.com", который большинство браузеров будет распознавать как подлинный SSL-сертификат PayPal.
В частности, ошибка затрагивает браузеры IE, Safari и Chrome, которые как раз используют данный API (FireFox 3.5 умеет распознавать такую попытку обмана). Несмотря на то что Марлинспайк сделал публичный доклад ещё в конце июля, компания Microsoft до сих пор не устранила данную уязвимость.
Во время учебного семинара на Black Hat эксперт раздал присутствующим поддельный сертификат PayPal в качестве доказательства практического применения своего исследования. При этом все получатели подписали соглашение о том, что не будут выкладывать его в открытый доступ.
Однако два дня назад некий Тим Джонс (Tim Jones) это соглашение нарушил. Узнав об этом, Марлинспайк назвал действия Джонса не очень благоразумными, хотя и добавил, что корректнее было бы сказать, что "пользователи Windows находятся под угрозой благодаря тому, что Microsoft всё ещё не исправила уязвимость".
Узнали об этом и в PayPal. И буквально на следующий день заморозили аккаунт Марлинспайка (вместе с пятью сотнями баксов) под предлогом, который выглядит несколько надуманно. Марлинспайк при этом заверяет, что как раз пытался первым делом предупредить компанию о потенциальной опасности.
|