Nyt kuka vain voi esittää nettipankkia
Netissä levitetään väärennettyä sertifikaattia, jonka avulla hakkeri voi teeskennellä olevansa maksupalvelu PayPal. Huijaus toimii Internet Explorerissa sekä Chromen ja Safarin Windows-versioissa.
Käyttämällä väärennettyä sertifikaattia ja kuuntelemalla verkkoliikennettä hakkeri voi astua käyttäjän ja PayPal-sivuston väliin. Selain näyttää olevansa suorassa salatussa yhteydessä PayPaliin, mutta yhteys ohjataankin tosiasiassa hakkerin koneelle.
SSL-salausjärjestelmän sertifikaattien tarkoituksena on estää tällainen toisena palveluna esiintyminen. Tapaus on kova kolaus järjestelmän uskottavuudelle.
Taustalla Windowsin vika
Selaimet hyväksyvät väärennetyn sertifikaatin, koska Windowsin salauksesta vastaavassa CryptoAPI-rajapinnassa on vika joka tulkitsee sertifikaatin sisällön väärin.
Oletetaanpa esimerkiksi, että hakkeri omistaa domain-nimen example.com. Hän kykenee tällöin pyytämään sertifikaatteja myöntävältä turvayhtiöltä sertifikaatin mille tahansa osoittelle, joka päättyy example.com. Hakkerimme pyytää sen seuraavalle osoitteelle:
paypal.com/0.exsample.com
Osoitteessa on kenoviiva ja nolla, jotka C-ohjelmointikielessä merkitsevät loppua. Kun CryptoAPI kohtaa osoitteen, se lakkaa lukemasta näiden merkkien kohdalla. Äkkiä sertifikaatti näyttääkin kuuluvan osoitteelle paypal.com.
paypal.com/0.exsample.com
Kun hakkeri näyttää selaimelle tämän sertifikaatin, selain uskoo olevansa tekemisissä aidon PayPalin kanssa.
Korjausta ei vielä tiedossa
Hakkeri Moxie Marlinspike esitteli vikaa ensimmäisen kerran BlackHat-konferenssissa yhdeksän viikkoa sitten. Mozilla korjasi vian omasta Firefox-selaimestaan muutamassa päivässä, mutta Microsoft ei ole vielä reagoinut.
Vialta voi toistaiseksi suojautua vain käyttämällä Firefoxia, Operaa tai jotain muuta käyttöjärjestelmää kuin Windowsia. Vika saattaa myös koskea muita Windows-sovelluksia kuten sähköpostiohjelmia ja pikaviestimiä.
