PayPal заблокировал аккаунт эксперта по безопасности

PayPal-аккаунт эксперта по безопасности Мокси Марлинспайка был заморожен вскоре после того, как в общий доступ был выложен поддельный SSL-сертификат сервиса PayPal, созданный благодаря исследованию Марлинспайка. Об этом сообщает Вебпланета .

Эксперту по email пришло уведомление, где говорится, что он якобы нарушил условие использования PayPal, согласно которому он не имеет права получать оплату при помощи этого сервиса за "товары, которые раскрывают персональную информацию третьих лиц". Какой именно товар имеется в виду в данном конкретном случае, в письме не уточняется.

Сам же Марлинспайк прилагал пэйпэловскую кнопку пожертвования к двум своим программам — SSLSniff и SSLStrip. Первая является хакерским инструментом для использования старой (и уже пропатченной) уязвимости в Internet Explorer. Вторая демонстрирует атаку на совсем свежую уязвимость в библиотеке Microsoft, позволяющую эффективно подделывать практически любые SSL-сертификаты.

Свою последнюю находку Марлинспайк продемонстрировал этим летом на конференции Black Hat в Лас-Вегасе. Суть её состоит в том, что из-за ошибки в Microsoft CryptoAPI происходит некорректная обработка сертификатов, выданных на доменные имена, включающие подстроку "\0". Это позволяет, к примеру, владельцу домена "hacker.com" зарегистрировать сертификат на поддомен вида "www.paypal.com\0.hacker.com", который большинство браузеров будет распознавать как подлинный SSL-сертификат PayPal.

В частности, ошибка затрагивает браузеры IE, Safari и Chrome, которые как раз используют данный API (FireFox 3.5 умеет распознавать такую попытку обмана). Марлинспайк сделал публичный доклад ещё в конце июля, но компания Microsoft до сих пор не устранила данную уязвимость.

Во время учебного семинара на Black Hat эксперт раздал присутствующим поддельный сертификат PayPal в качестве доказательства практического применения своего исследования. При этом все получатели подписали соглашение о том, что не будут выкладывать его в открытый доступ.

Однако два дня назад некий Тим Джонс нарушил данное соглашение. Узнав об этом, Марлинспайк назвал действия Джонса не очень благоразумными, хотя и добавил, что корректнее было бы сказать, что "пользователи Windows находятся под угрозой благодаря тому, что Microsoft до сих пор не исправила уязвимость".

Конечно об этом узнали и в PayPal. Буквально на следующий день после этого аккаунт Марлинспайка (вместе с пятью сотнями баксов) был заорожен под предлогом, который выглядит несколько надуманно. По словам Марлинспайка, он пытался первым делом предупредить компанию о потенциальной опасности.