Firma PayPal poinformowała o załataniu krytycznego błędu typu XSS (Cross-site scripting), który został znaleziony na jej stronie w ubiegłym tygodniu przez Harry'ego “piru” Sintonena, fińskiego specjalistę ds. bezpieczeństwa. Sprawa jest o tyle nietypowa, że luka znajdowała się na stronie opatrzonej certyfikatem EV (Extended Validation) SSL. I dalej: Pewnym zaskoczeniem jest, że w przypadku PayPala luka znajdowała się na stronie opatrzonej certyfikatem EV SSL – stworzonym m.in. po to, by zagwarantować internautom, że odwiedzana przez nich strona jest bezpieczna. EV jest rozwinięciem zwykłego SSL – PayPal był jednym z pierwszych przedsiębiorstw, które zdecydowało się na wdrożenie tego standardu w swoim serwisie. (źródło)
A co ma wspólnego SSL Extended Validation z XSS? SSL wymaga (pomijam egzotyczne przypadki) certyfikatu serwera. Certyfikat ten potwierdza autentyczność/tożsamość serwera. Certyfikaty EV mają ją potwierdzać “jeszcze lepiej” z uwagi na przestrzeganie bardziej rygorystycznych procedur ALE procedury te nie są w żaden sposób związane z bezpieczeństwem aplikacji. Taka sama sensacja, jak przy podpisanym cyfrowo malware.
Badania śladów zostawionych przez moje tamagotchi odcinek kolejny. Tym razem zobaczę co powiedzą o jego działaniu ślady zgromadzone w systemie plików. A konkretnie czego się można dowiedzieć porównując jego snapshot wykonany przed i po infekcji, jak również sprawdzę, czy uda się stworzyć jakiś timeline działań malware w systemie.
Mając ten komfort, że nikt nie będzie mi zarzucał naruszenie stanu obiektu badań, uruchomiłem na zainfekowanym systemie kilka narzędzi, które za zadanie miały zebrać pewne informacje o tym, co się w nim dzieje.
Chciałem dziś zaktualizować listę POI na Miplo, ale okazało się, że to nie jest wcale takie proste... Na stronie powitał mnie komunikat: (...) W ZWIĄZKU ZE ZMIANAMI SYSTEMU ZABEZPIECZEŃ SERWISU MIPLO (W NASTĘPSTWIE MOŻLIWOŚCI UJAWNIENIE HASEŁ CZĘŚCI KONT), PROSIMY WSZYSTKICH UŻYTKOWNIKÓW O USTAWIENIE NOWEGO HASŁA. (...) Przepraszamy wszystkich użytkowników za powstałe problemy. Zespół Miplo. 13 MAJA 2008 No bardzo konkretne wyjaśnienie. Znaczy się co, ktoś się włamał i wyprowadził listę użytkowników? Bo raczej nie sądzę, że chodzi o brak SSL (wciąż trzeba sobie wybrać “loguj się bezpiecznie”). Dziś jest 18 maja, komunikat ma więc 5 dni. Cóż, nie aktualizuję POI codziennie. Zakładając, że było jakieś naruszenie bezpieczeństwa (no dobrze, nie koniecznie włamanie, może ktoś wyrzucił jakiś dysk, płytki/taśmy z backupem, czy coś w tym stylu), to dlaczego użytkownicy serwisu nie zostali o tym poinformowani (choćby mailem)? Niektórzy prości użytkownicy mają tendencję do używania jednego hasła do wszystkich systemów, więc, w moim głębokim przekonaniu, poinformowanie o potencjalnym jego ujawnieniu powinno mieć miejsce natychmiast po stwierdzeniu możliwości jego zaistnienia.