Windows заподозрили в утечке паролей у «Яндекса», Mail.ru и Google

11.09.2014 |

В ночь со вторника на среду пользователь tvskit с форума Bitcoin Security опубликовал третью базу взломанных почтовых ящиков. После 1,3 млн ящиков от «Яндекса» и 4,7 млн аккаунтов Mail.ru появились 4,9 млн взломанных учетных записей Google. Сергей Марченко, сертифицированный инженер Google Apps с 4-летним опытом внедрения сервисов Google (Марченко не является сотрудником этой компании) и 10-летним опытом работы в области почтовых систем выдвинул две основные версии произошедших взломов.

В первую очередь он считает, что нужно вести речь о подделке с помощью троянов и вирусов сертификатов подлинности серверов, через которые по «защищенному» каналу HTTPS пользователи заходили на почту, и тогда можно говорить о полной непричастности «Яндекса», Mail.ru и Google к утечкам. В первом случае эксперт предположил, что масштабная подделка сертификатов стала возможна через «дыры» в браузерах или самой популярной в России операционной системе, Windows. В Microsoft отвергают подобные гипотезы. Вторая версия инженера — о необнаруженной уязвимости ПО, которое используют интернет-компании.

По словам tvskit, более 60% опубликованных паролей рабочие, никаких технических подробностей и целей публикации не приводится. tvskit на форуме дважды пространно написал, что выложил базы с целью привлечь внимание к проблемам безопасности. Комментаторы на таких ресурсах, как Habrahabr, нашедшие свои ящики в списке, говорят, как и в случаях с «Яндексом» и Mail.ru, о том, что пароли старые, а аккаунты почти не использовались. В российском представительстве Google (ООО «Гугл») заявили, что пока разбираются в инциденте, никаких атак не зафиксировано.

— Пользователь общается с почтовым сервером по протоколу HTTPS, протокол зашифрован, но на этапе установления шифрованного канала используются так называемые цифровые сертификаты (PKI), которые выдаются организациям, включая «Яндекс», Google и Mail.ru, специализированными центрами сертификации. Эти центры сертификации блюдут безопасность как зеницу ока, — рассказывает Марченко. — Но известны случаи, когда от имени Microsoft и Google выпускались действительные, но фактически не принадлежащие этим компаниям сертификаты.

Последний раз — этим летом — таким образом отличилась Индия: корпорация Google обнаружила, что Национальный центр сертификации (NIC) Индии выдал несколько сертификатов на домены. То есть кто-то при выпуске такого сертификата мог выступать от имени Google, «Яндекса», Mail.ru, Microsoft и прочих и прогонять через себя нешифрованные данные пользователей, которые включают и пароли. Такая атака называется MiTM (man-in-the-middle), продолжает Марченко. Поддельный сертификат, по его словам, ведет пользователя без его ведома на фишинговый сервер-посредник, который и собирает пароли.

— Почему компьютеры доверяют одним сертификатам и не доверяют другим? Потому что разработчик операционной системы включает в стандартный дистрибутив несколько десятков сертификатов головных центров сертификации, которым стоит доверять, — поясняет он. — Но вирусу или трояну ничего не стоит добавить свой собственный сертификат в список доверенных в операционную систему — особенно если вы в Windows постоянно пользуетесь «учеткой» администратора. От 99% подобных проблем можно застраховаться, устанавливая программы с помощью изолированной учетной записи системы с неограниченными правами, в остальное время лучше работать на учетной записи пользователя. Для столь масштабного распространения трояна нужна уязвимость в браузере или самой операционной системе (ОС), то есть всё может свестить к незашитой дыре в каком-либо популярном браузере или ОС. А столь большое количество паролей русскоязычной аудитории указывает на то, что единственная ОС, которая имеет такую аудиторию, — Microsoft Windows, либо один из распространенных браузеров.

В российском отделении Microsoft намекают, что в расследовании происшедшего нужно смотреть, скорее, в сторону браузеров Mozilla Firefox и Google Chrome:

— Microsoft [с 2008 года] выпускает одно из наиболее безопасных программных продуктов благодаря разработанной методологии SDL (Security Development Lifecycle). Эта методология получила одобрение Международной организации по стандартизации ISO и стала первой и пока единственной рекомендуемой методологией надежной разработки защищенного программного обеспечения. Вслед за Microsoft SDL стали использовать крупнейшие IT-гиганты мира. В результате применения SDL Internet Explorer и Windows имеют наименьшее количество уязвимостей и являются наиболее безопасным ПО в индустрии, что признано рейтингом Secunia TOP-50. Согласно этому рейтингу, наибольшее количество уязвимостей на компьютерах пользователей приходится на Mozilla FireFox и Google Chrome. Поэтому мы считаем версию об утечках паролей в результате заражения пользовательских компьютеров из-за уязвимостей Internet Explorer и Windows маловероятной, — сообщил Андрей Бешков, менеджер программы информационной безопасности «Microsoft Россия».

В компании также заметили, что среди пострадавших нет пользователей почты Microsoft Outlook. При этом всех провайдеров, пострадавших в данном инциденте, объединяет использование для своих почтовых серверов другой технологии, основанной на open-source компонентах.

— Большинство пострадавших почтовых серверов используют библиотеку для шифрования трафика OpenSSL, в которой недавно была обнаружена критическая уязвимость, — продолжает Бешков. — Она позволяла собирать абсолютно все данные пользователя с сервера, включая пароли, письма, контактные данные и проч. Более того, как выяснилось, эта уязвимость просуществовала минимум 2 года до закрытия. После закрытия этой уязвимости в июне 2014 года в том же OpenSSL снова была обнаружена и исправлена еще одна серьезная уязвимость, существовавшая на протяжении 16 лет. Этот баг позволял злоумышленникам просматривать шифрованный трафик между пользователем и серверами, таким образом они могли захватывать любые данные, включая пароли, логины и пр. Поэтому мы считаем обвинения в адрес продуктов и сервисов Microsoft необоснованными.

В качестве второй версии Марченко привел всплывавшее ранее предположение о необнаруженной уязвимости в бесплатном системном ПО, которое используют в ядре своих IT-сервисов большинство интернет-компаний во всем мире, включая «Яндекс», Mail.ru, Google, Facebook и Twitter. Речь о Linux и ряде продуктов с отрытым кодом.

— Тот факт, что за двое суток в сеть попали миллионы пар «логин-пароль» самых популярных в России почтовых сервисов, может говорить о том, что взлом произошел через неизвестную уязвимость в одном из ассоциированных с Linux пакетов, — рассуждает Марченко. — Несмотря на то, что пароли опубликованы 8–10 сентября, уязвимость вполне может быть уже найдена и закрыта, а утечка паролей могла произойти значительно раньше. Поскольку атака коснулась трех компаний, серверы которых физически расположены в разных точках планеты, версия об утечке информации по вине инсайдеров несостоятельна, так как координации подобной акции чрезвычайно сложна.

Вице-президент Mail.Ru Group, руководитель бизнес-подразделения «Почта и портал» Анна Артамонова, впрочем, категорически отрицает огрехи со стороны почтовых компаний:

— Анализ всех трех баз, попавших в сеть, приводит к одному и тому же выводу: никакого взлома систем безопасности ни у одной из компаний не произошло. Опубликованные базы были скомпилированы из кусков разной степени свежести (например, на большом количестве аккаунтов уже были изменены пароли). Скорее всего, они были собраны у пользователей в разное время, разными хакерами и разными способами, — сказала Артамонова «Известиям». — Это вирусы, фишинг, машинный подбор паролей (брутфорс), перехват трафика (man-in-the-middle). Один из самых банальных способов защититься от кражи аккаунта, которым, пожалуй, чаще всего пренебрегают, — придумать а) сложный и б) уникальный пароль. Кстати анализ попавшей в сеть базы показал, что, несмотря на все предупреждения, многие пользователи до сих пор ленятся придумывать сложные пароли.

Тарас Подрез

Тематики: ПО, Web, Безопасность

Ключевые слова: Mail.ru, Яндекс, информационная безопасность, Gmail