Nyt kuka vain voi esittää nettipankkia
Netissä levitetään väärennettyä sertifikaattia, jonka avulla hakkeri voi teeskennellä olevansa maksupalvelu PayPal. Huijaus toimii Internet Explorerissa sekä Chromen ja Safarin Windows-versioissa.
Käyttämällä väärennettyä sertifikaattia ja kuuntelemalla verkkoliikennettä hakkeri voi astua käyttäjän ja PayPal-sivuston väliin. Selain näyttää olevansa suorassa salatussa yhteydessä PayPaliin, mutta yhteys ohjataankin tosiasiassa hakkerin koneelle.
SSL-salausjärjestelmän sertifikaattien tarkoituksena on estää tällainen toisena palveluna esiintyminen. Tapaus on kova kolaus järjestelmän uskottavuudelle.
Taustalla Windowsin vika
Selaimet hyväksyvät väärennetyn sertifikaatin, koska Windowsin salauksesta vastaavassa CryptoAPI-rajapinnassa on vika joka tulkitsee sertifikaatin sisällön väärin.
Oletetaanpa esimerkiksi, että hakkeri omistaa domain-nimen example.com. Hän kykenee tällöin pyytämään sertifikaatteja myöntävältä turvayhtiöltä sertifikaatin mille tahansa osoittelle, joka päättyy example.com. Hakkerimme pyytää sen seuraavalle osoitteelle:
Osoitteessa on kenoviiva ja nolla, jotka C-ohjelmointikielessä merkitsevät loppua. Kun CryptoAPI kohtaa osoitteen, se lakkaa lukemasta näiden merkkien kohdalla. Äkkiä sertifikaatti näyttääkin kuuluvan osoitteelle paypal.com.
Kun hakkeri näyttää selaimelle tämän sertifikaatin, selain uskoo olevansa tekemisissä aidon PayPalin kanssa.
Korjausta ei vielä tiedossa
Hakkeri Moxie Marlinspike esitteli vikaa ensimmäisen kerran BlackHat-konferenssissa yhdeksän viikkoa sitten. Mozilla korjasi vian omasta Firefox-selaimestaan muutamassa päivässä, mutta Microsoft ei ole vielä reagoinut.
Vialta voi toistaiseksi suojautua vain käyttämällä Firefoxia, Operaa tai jotain muuta käyttöjärjestelmää kuin Windowsia. Vika saattaa myös koskea muita Windows-sovelluksia kuten sähköpostiohjelmia ja pikaviestimiä.
