Windows заподозрили в утечке паролей у «Яндекса», Mail.ru и Google

В ночь со вторника на среду пользователь tvskit с форума Bitcoin Security опубликовал третью базу взломанных почтовых ящиков. После 1,3 млн ящиков от "Яндекса" и 4,7 млн аккаунтов Mail.ru появились 4,9 млн взломанных учетных записей Google. Сергей Марченко, сертифицированный инженер Google Apps с 4-летним опытом внедрения сервисов Google предполагает две основные версии произошедших взломов.

В первую очередь он считает, что нужно вести речь о подделке с помощью троянов и вирусов сертификатов подлинности серверов, через которые по "защищенному" каналу HTTPS пользователи заходили на почту, и тогда можно говорить о полной непричастности "Яндекса", Mail.ru и Google к утечкам. В первом случае эксперт предположил, что масштабная подделка сертификатов стала возможна через "дыры" в браузерах или самой популярной в России операционной системе, Windows. Вторая версия — о необнаруженной уязвимости ПО, которое используют интернет-компании.

По словам tvskit, более 60% опубликованных паролей рабочие, никаких технических подробностей и целей публикации не приводится. tvskit на форуме дважды пространно написал, что выложил базы с целью привлечь внимание к проблемам безопасности. Комментаторы на таких ресурсах, как Habrahabr, нашедшие свои ящики в списке, говорят, как и в случаях с "Яндексом" и Mail.ru, о том, что пароли старые, а аккаунты почти не использовались. В российском представительстве Google (ООО "Гугл") заявили, что пока разбираются в инциденте.

— Пользователь общается с почтовым сервером по протоколу HTTPS, протокол зашифрован, но на этапе установления шифрованного канала используются так называемые цифровые сертификаты (PKI), которые выдаются организациям, включая "Яндекс", Google и Mail.ru, специализированными центрами сертификации. Эти центры сертификации блюдут безопасность как зеницу ока, — рассказывает Марченко. — Но известны случаи, когда от имени Microsoft и Google выпускались действительные, но фактически не принадлежащие этим компаниям сертификаты.

Последний раз — этим летом — таким образом отличилась Индия: корпорация Google обнаружила, что Национальный центр сертификации (NIC) Индии выдал несколько сертификатов на домены. То есть кто-то при выпуске такого сертификата мог выступать от имени Google, "Яндекса", Mail.ru, Microsoft и прочих и прогонять через себя нешифрованные данные пользователей, которые включают и пароли. Такая атака называется MiTM, продолжает Марченко. Поддельный сертификат, по его словам, ведет пользователя без его ведома на фишинговый сервер-посредник, который и собирает пароли.

— Почему компьютеры доверяют одним сертификатам и не доверяют другим? Потому что разработчик операционной системы включает в стандартный дистрибутив несколько десятков сертификатов головных центров сертификации, которым стоит доверять. Но вирусу или трояну ничего не стоит добавить свой собственный сертификат в список доверенных в операционную систему — особенно если вы в Windows постоянно пользуетесь "учеткой" администратора. От 99% подобных проблем можно застраховаться, устанавливая программы с помощью изолированной учетной записи системы с неограниченными правами, в остальное время лучше работать на учетной записи пользователя. Для столь масштабного распространения трояна нужна уязвимость в браузере или самой операционной системе (ОС), то есть все может свестить к незашитой дыре в каком-либо популярном браузере или ОС. А столь большое количество паролей русскоязычной аудитории указывает на то, что единственная ОС, которая имеет такую аудиторию, — Microsoft Windows, либо один из распространенных браузеров.

В российском отделении Microsoft пока не овтетили на запрос "Известий".

В качестве второй версии Марченко привел всплывавшую ранее предположение о необнаруженной уязвимости в бесплатном системном ПО, которое используют в ядре своих IT-сервисов большинство интернет-компаний во всем мире, включая Yandex, Mail.ru, Google, Facebook и Twitter. Речь о Linux и ряде продуктов с отрытым кодом:

— Тот факт, что за двое суток в сеть попали миллионы пар "логин-пароль" самых популярных в России почтовых сервисов, может говорить о том, что взлом произошел через неизвестную уязвимость в одном из ассоциированных с Linux пакетов, — рассуждает Марченко. — Несмотря на то, что пароли опубликованы 8-10 сентября, уязвимость вполне может быть уже найдена и закрыта, а утечка паролей могла произойти значительно раньше. Поскольку атака коснулась трех компаний, сервера которых физически расположены в разных точках планеты, версия об утечке информации по вине инсайдеров несостоятельна, так как сложность координации подобной акции чрезвычайно сложна.