Судя по описанию Дэйва Томаса (Dave Thomas), он со своей командой пытался отследить ряд необычных багов в Windows, когда вдруг наткнулся на нечто такое, что всерьез встревожило его. На их экранах вместе с кодом, который они отлаживали, красовались имя и пароль, которыми они только что воспользовались в службе Passport. И что хуже, те были записаны открытым текстом и вполне доступны. Рассмотрев дело поглубже, Томас понял, что создание червя, добывающего эту информацию, по его словам, будет делом «тривиальным».

Томас, начальник технической службы компании проверки надежности программного обеспечения Bugtoaster, говорит, что вообще-то он не собирался влезать в вопросы безопасоности, но такую очевидную вещь пропускать нельзя. Да еще настолько важную.

Служба Microsoft Passport - ядро стратегии .NET. Всякий, кто пользуется MSN или MSN Messenger, имеет свой «паспорт» (Passport). Когда окончательно состоится продвижение интернет-стратегии Microsoft, Passport будет служить как единственное средство идентификации в транзакциях с любой компанией, требующей аутентификации на базе «паспорта», и Microsoft трудится не покладая рук, чтобы подключить к инициативе как можно больше компаний. Если планы Microsoft принесут плоды, пользователям будет необходимо лишь раз аутентифицироваться в Passport Data Center (заправляемом Microsoft), после чего они смогут странствовать по Интернету, переходя от одной службы, поддерживающей Passport, к другой, не встречая необходимости всякий раз вводить логин и пароль, что весьма удобно для пользователей.

Проблема в том, что это не менее удобно для хакеров и воров. Им нужно знать лишь ваш электронный адрес и пароль, чтобы попасть туда же, куда и вы, потому что «паспорту» в качестве ID пользователя требуется только ваш e-mail, а вы пользуетесь единственным паролем для всех сайтов, поддерживающих Passport. Но что хуже, поскольку Microsoft привязала к Passport еще и службу Wallet («бумажник»), хакеры заодно могут тратить ваши денежки и получить информацию о вашей кредитной карте.

Единственный плюс (если можно его так называть) в открытии Bugtoaster - это то, что данная уязвимость относится только к Windows 9x и Windows Me. К сожалению, версии Windows, работающие на базе NT, тоже уязвимы, но по другим причинам.

Открытие Bugtoaster имеет отношение к коммутационному приложению Windows (DUN) с клиентской стороны. API, который DUN делит с другими приложениями, извлекает данные Passport из шифрованного файла. Когда пользователь Windows 9x/ME регистрируется в Passport Data Center, API передает информацию о регистрации открытым текстом от одного процесса другому через память, где червь легко может отыскать информацию в области, отведенной API для Windows.

И хотя API часто передает регистрационную информацию другим сервисам, например, ISP, злонамеренным хакерам не было смысла похищать эту информацию, поскольку выгода от нее была невелика. А с Passport и карт-бланш, которую он дает пользователям, расклад неузнаваемо меняется. Windows NT и 2000 от проблемы открытого текста избавлены, но все-таки уязвимы.

Одной из выгод использования версии Windows, основанной на коде NT (NT, 2000 или XP) является то, что перед передачей API кодирует регистрационную информацию. Но это не означает, что вы в безопасности лишь потому, что пользуетесь NT или 2000. По словам Стива Гибсона (Steve Gibson) из весьма уважаемой компании безопасности Gibson Research, чтобы получить ту же самую регистрационную информацию Passport от этих операционных систем, нужно применить другой подход, но его Гибсон тоже называет тривиальным. Как он говорит, для перехвата регистрационной информации в любой системе Windows нужен простой червь, регистрирующий нажатия на клавиши. Как и с данными, которые хакеры могут выудить из API, это не делалось в прошлом лишь потому, отмечает Гибсон, что игра не стоила свеч.

Однако теперь, с Passport, мишень стала куда более привлекательной. И если получать пароль для доступа к ISP бессмысленно, Passport открывает широкий доступ ко всем сайтам, использующим его.

В ответ на наш вопрос представитель Microsoft, пожелавший остаться неназванным, признал, что в Windows 95 и ME пароли передаются открытым текстом, когда пользователь входит в Passport или любую другую систему. Хотя Microsoft также признает, что червь, троянский код или другой враждебный код может проникнуть в Windows и захватить регистрационную информацию пользователя, представитель компании возлагает вину на враждебный код, а не на слабость Windows 95, ME или Passport. «По замыслу, программа, запущенная на компьютере пользователя, может, в общем, выполнять любые действия, доступные пользователю, - пишет он в ответе по электронной почте. - На самом деле проблема заключается во враждебном коде, а не в Passport».

По его словам, компания не планирует выпускать никаких заплаток для уязвимых версий Windows, чтобы предотвратить воровство регистрационной информации. «Microsoft не будет поставлять заплатки для этого, потому что латать совершенно нечего, - пишет он. - Как только машина пользователя взломана, никакая заплатка не удержит хакера от получения той информации, которая ему нужна». Но отметил, что в будущих версиях Windows предусмотрено усиление защиты во избежание подобного проникновения враждебных кодов.

К несчастью, немногие частные пользователи могут обойтись без поддержки Microsoft. Зато у корпоративных пользователей есть кое-какие варианты. Прежде всего, препятствовать использованию сервисов Microsoft Passport, пока не будет достигнут необходимый уровень безопасности. Самый важный способ защиты вашей компании - проверить межсетевые экраны и убедиться, что они пресекают несанкционированные попытки послать информацию с любого из ваших Windows-компьютеров. Один из очень эффективных способов добиться этого - использовать персональный брандмауэр наподобие Zone Alarm от Zone Labs, который может блокировать несанкционированные попытки доступа в Интернет. Тогда, по крайней мере, червь, захвативший вашу регистрационную информацию, не сможет отправить ее.

Если вы занимаетесь торговлей в Интернете или владеете каким-либо иным сайтом, использующим Passport, у вас возникают кое-какие дополнительные поводы для озабоченности. Во-первых, при разработке сайта надо иметь в виду сомнительную безопасность Passport'а и позаботиться о дополнительной аутентификации для доступа к личной или финансовой информации. Во-вторых, вы должны иметь возможность аутентифицировать пользователей, не пользующихся Passport’ом, или не желающих использовать его на вашем сайте. И наконец, вы должны заранее выяснить, к каким участкам вашего сайта пользователи могут получить доступ с Passport и прочими средствами аутентификации, а на каких требуется специальная аутентификация.

Но сверх того вам лучше быть весьма скрупулезными в отношении управления паролями, обучать своих работников и подозрительно относиться к планам «единственного логина», на который вы повлиять не можете. И, конечно, надеяться, что Microsoft все же воспримет эти вопросы настолько всерьез, чтобы исправить проблемы с ныне работающими версиями Windows, вместо того, чтобы дожидаться грядущих.

Перевод с английского. С оригиналом можно ознакомиться на сайте ZDNet