PayPal заблокировал аккаунт эксперта по безопасности

image

Теги: PayPal, безопасность, Black Hat, Microsoft, новость

PayPal-аккаунт эксперта по безопасности Мокси Марлинспайка был заморожен вскоре после того, как в общий доступ был выложен поддельный SSL-сертификат сервиса PayPal, созданный благодаря исследованию Марлинспайка.

PayPal-аккаунт эксперта по безопасности Мокси Марлинспайка был заморожен вскоре после того, как в общий доступ был выложен поддельный SSL-сертификат сервиса PayPal, созданный благодаря исследованию Марлинспайка. Об этом сообщает Вебпланета.

Эксперту по email пришло уведомление, где говорится, что он якобы нарушил условие использования PayPal, согласно которому он не имеет права получать оплату при помощи этого сервиса за "товары, которые раскрывают персональную информацию третьих лиц". Какой именно товар имеется в виду в данном конкретном случае, в письме не уточняется.

Сам же Марлинспайк прилагал пэйпэловскую кнопку пожертвования к двум своим программам — SSLSniff и SSLStrip. Первая является хакерским инструментом для использования старой (и уже пропатченной) уязвимости в Internet Explorer. Вторая демонстрирует атаку на совсем свежую уязвимость в библиотеке Microsoft, позволяющую эффективно подделывать практически любые SSL-сертификаты.

Свою последнюю находку Марлинспайк продемонстрировал этим летом на конференции Black Hat в Лас-Вегасе. Суть её состоит в том, что из-за ошибки в Microsoft CryptoAPI происходит некорректная обработка сертификатов, выданных на доменные имена, включающие подстроку "\0". Это позволяет, к примеру, владельцу домена "hacker.com" зарегистрировать сертификат на поддомен вида "www.paypal.com\0.hacker.com", который большинство браузеров будет распознавать как подлинный SSL-сертификат PayPal.

В частности, ошибка затрагивает браузеры IE, Safari и Chrome, которые как раз используют данный API (FireFox 3.5 умеет распознавать такую попытку обмана). Марлинспайк сделал публичный доклад ещё в конце июля, но компания Microsoft до сих пор не устранила данную уязвимость.

Во время учебного семинара на Black Hat эксперт раздал присутствующим поддельный сертификат PayPal в качестве доказательства практического применения своего исследования. При этом все получатели подписали соглашение о том, что не будут выкладывать его в открытый доступ.

Однако два дня назад некий Тим Джонс нарушил данное соглашение. Узнав об этом, Марлинспайк назвал действия Джонса не очень благоразумными, хотя и добавил, что корректнее было бы сказать, что "пользователи Windows находятся под угрозой благодаря тому, что Microsoft до сих пор не исправила уязвимость".

Конечно об этом узнали и в PayPal. Буквально на следующий день после этого аккаунт Марлинспайка (вместе с пятью сотнями баксов) был заорожен под предлогом, который выглядит несколько надуманно. По словам Марлинспайка, он пытался первым делом предупредить компанию о потенциальной опасности.


или введите имя

CAPTCHA
Страницы: 1  2  3  
Guest
08-10-2009 12:16:17
жесть ))
0 |
25551
10-10-2009 05:41:21
Факин шыт!!! Марлинспайка был "заорожен" --------------------------------------------------- капча 25551 была "заороженая" xD
0 |
0per
08-10-2009 12:23:26
У тебя не только руки, но и язык не из того места растет!
0 |
маркетолог Микрософта
08-10-2009 12:36:09
Ну вы все поняли, что надо переходить от дырявой ХП на защищённую Виндовс 7. Не жалейте на это деньги, иметь безопасную ОС важнее.
0 |
Серый волк
08-10-2009 12:38:48
Иметь безопасную Ось, чтобы имели тебя это круттто... Так держать Мелкософт...
0 |
Гость
08-10-2009 13:27:47
А кто вам сказал, что эту дырку в 7-й дозе закрыли?
0 |
Гuest
08-10-2009 15:08:21
Если не пофиксили, то это не баг а фича =)
0 |
18957
08-10-2009 13:46:21
Дедушка Керниган как-то сказал: Си — это инструмент, острый, как бритва: с его помощью можно создать и элегантную программу, и кровавое месиво. А посетители этого ресурса находят непостижимое удовольствие в демонстрации собственной глупости.
0 |
Balmer ™
08-10-2009 14:24:13
FireFox 3.5 умеет распознавать такую попытку обманаИ куда только наши developers сотрят? Но ничего страшного - наши маркетологи справятся!
0 |
Страницы: 1  2  3