Jak jsem ji psal 22. září, chyba ve Windows Crypto API umožňuje, aby certifikáty se strojovou nulou ve jménu byly interpretovány jako jiné certifikáty, než ve skutečnosti jsou. To pak vede software, využívající tuto knihovnu (Jako IE, Google Chrome nebo Safari pro Windows) náchylné k napadení.
Moxie Marlinspike tuto chybu prezentoval na Defcon 17 a od té doby se začaly objevovat certifkáty, které tuto chybu zneužívají. Ve spolupráci s programem SSLSniff, tento certifikát může být použit pro zachycení komunikace mez PayPal serverem a všemi klienty využívajícími Windows Crypto API. Patch na tuto chybu však dosud není k dispozici. Aby situace byla ještě složitější, díky OCSP útoku, který Moxie prenzentoval na Defconu, tento certifikát není možné odvolat.
Trochu smutná je reakce PayPalu, která Moximu Marlinspikovi zablokovala jeho PayPal účet, protože "Podle Akceptovaných pravidel užití, PayPal nemůže být použit pro odesílání nebo přijímání peněz za položky, které ukazují osobní informace třetích stran, které jsou v rozporu se zákonem". V dopise, který psali zástupci společnosti se dále píše: "Prosím pochopte, že toto bezpečnostní opatření je míněno také pro ochranu vaši a vašeho účtu. Omlouváme se za jakékoliv nepohodlí."
V emailu, které byl odeslán z nemonitorované PayPal adresy, není uvedeno jaká položka je v rozporu s pravidly PayPalu. Zmrazení účtu efektivně zrušilo přístup k více než 500 dolarům, které se objevili na účtu Marlinspike, dokud písemně neprohlásí, že odstraní všechny PayPal loga ze svých stránek.
Od roku 2002 Marlinspike měl na svých stránkách žluté tlačítko PayPalu pro příspěvky na vývoj nástroje SSLSniff a v poslední době také programu nazvaného SSLStrip. Avšak až po té, co někdo publikoval falešný SSL certifikát, PayPal přikročil k akci proti účtu.
"Je to něco s čím nemám nic společného a oni odpověděli zmrazením mého účtu," Marlinspike řekl The Registeru. "Já byl jeden z těch, kteří je zkoušeli hlavně varovat."
Zmrazení účtu je potíž i z jiného hlediska. Trestá totiž nezávislého bezpečnostního experta, který objevil důležité věci ohledně SSL protokolu, jeden z nejstarších a nejdůležitějších nástrojů, který má zabraňovat útokům typu man-in-the-middle. Tato akce démonizuje hackerský nástroj, který může být použit bezpečnostními profesionály pro dobro věci, stejně jako zločincem pro to aby škodil. Zjednodušeně řečeno, zakázali používat nůž, protože s ním lze zabít člověka.
Přístup PayPalu však není v tomto ohledu jednotný, mnoho skupin distribuuje desítky nástrojů, které je možné použít pro hacking. Bezpochyby Wireshark lze použít pro zjišťování hesel a stejně jeho tvůrci akceptují platbu přes PayPal. Totéž platí pro Cain & Abel, jejichž nástroj IOphtcrack umožňuje obnovit heslo atd.
Mluvčí PayPalu oznámila, že je proti pravidlům společnosti, vyjadřovat se v konkrétních kauzách, nicméně obecně hackerské nástroje jsou v některých případech povoleny, pokud mohou být použity legitimními uživateli.
"Nedovolujeme, aby byl PayPal zneužívaný k prodeji nebo šíření nástrojů, které mají jediný důvod: zaútočit na zákazníky a nelegálně tak získat soukromé údaje." říká dále mluvčí, Sara Gormanová v emailu: "Zvažujeme, zda je zde je legitimní využítí nástroje při posílení obrany stránek a současně nedochází k porušení našich pravidel."
Mluvčí řekla, že PayPal spoléhá na speciální tým s rozsáhlými zkušenostmi v informační bezpečností, policejní práci, finančních službách a rizicích aby toto rozhodnutí učinili. Nebyla však schopna říci, proč programy jako Wireshark jsou schváleny, ale nástroje nabízené Marlinspikem nikoliv. Také nebyla schopna říci, proč zmražení účtu přišlo 24 hodin po vypuštění falešného PayPal certifikátu.
Podle poznámky v certifikátu, Marlinspike jej distribuoval během školení na Black Hat security konferenci v červenci. Hacker potvrdil, že nabídl třídě vše, co bude potřebovat pro testy a práci s útokem na SSL certifikát a jako část školení, vložit také proof-of-concept certifikát. Ale nikdy certifikát nedistribuoval a každý studen podepsal dohodu, ve které potvrzuje, že materiály jsou pouze pro studijní účely a nebudou veřejně vypuštěny. Za žádných okolností nepoužíval PayPal pro akceptaci peněz za školení. Jediné položky, které byly distribuovány s PayPalem byly SSLStrip a SSLSniff. Falešné certifikáty nikdy nebyly na stránkách k dispozici.
Jinými slovy řečeno, jestliže jste odborník závislý na platbách přes PayPal, ujistěte se že váš projekt je křišťálově čistý. Nezávisí na tom, jestli mluvíte na stejné konferenci na které je většina bezpečnostních expertů. PayPal velm dobře ví, že hackerské nástroje mohou být použity pro zlo i pro dobrou věc a je na rozhodnutí PayPalu, kterou z možností si vybere.
Odkazy z novinek: