Stfw.RuДыры в Mail.ru заставляют закрыть
Обнаруживший уязвимости сервисов Mail.ru Илья А. отчаявшись ожидать, пока Mail.ru устранит уязвимости, выложил их описания в открытый доступ.
🕛 14.09.2010, 09:18
Mail.ru не может закрыть "дырки", описание которых передали в компанию мес. назад. Обнаруживший уязвимости сервисов Mail.ru Илья А. отчаявшись ожидать, пока Mail.ru устранит уязвимости, выложил их описания в открытый доступ. Он сообщил, что выявил "дырки" в безопасности, когда готовился к собеседованию на руководящую позицию в Mail.ru.Передав информацию об уязвимостях в аппарат технического директора Mail.ru, и убедившись на собеседовании, что информация получена, спустя 4 нед., он подчеркнул, что "дырки" в безопасности не закрыты. После этого Илья публиковал их описание в популярном ИТ-блоге. Кроме собственно описания "дыр", он привел в постинге готовые скрипты, необходимые для использования уязвимостей. STFW.RU воздерживается от ссылки на постинг, чтоб снизить шанс эксплуатации уязвимостей потенциальными злоумышленниками.
Эксплуатацию самой безобидной из 4-х "дыр" удаляет послания пользователя по мере их прочтения. II-ая позволяет организовать спам-рассылку средствами Mail.ru, III-я предназначена для уничтожения всех записей в сервисе "Еженедельник" Mail.ru. Наконец, при помощи IV злоумышленник получает возможность заблокировать чужой аккаунт в сервисе Денежные средства.Mail.ru. Илья заявляет, что 2 из 4-х уязвимостей относительно безобидны (он называет их "шалостями"), и критичны лишь уязвимости ежедневника, который может повлиять на стиль компании, и в "Деньгах.Mail.ru", "из-за того, что это сервис управляющий деньгами".
По заверениям Ильи, единственный мотив, который он преследовал при публикации скриптов, - поторопить компанию с закрыванием "дыр", имеющихся в работающих сервисах. "Я желал объяснить руководству Mail.ru, что нужно более думать о безопасности пользователя".
Илья сообщил STFW.RU, что публикация скриптов была сделана с добрыми намерениями, и привел в доказательство этого 2 довода. В первую очередь, перед публикацией скриптов, "как это принято в мире ИТ-безопасности", выждал 4 нед.. Во-вторых, он дает Mail.ru шанс исправится. По заверениям Ильи А., он описал не все найденные им уязвимости Mail.ru. Хотя, если компания оперативно закроет уже существующие "дырки", он не будет спешить с обнародованием прочих. По его словам, описание уязвимостей есть у руководства портала, впрочем ему "при встрече показалось, что им совсем не интересна эта тема".
Специалистов по безопасности беспокоят не столько уязвимости, сколько реакция на них отечественных топ-менеджеров. Член совета директоров "Диалог-наука" и эксперт по корпоративной безопасности Андрей Масалович заметил, что эти "уязвимости на самом деле работают". Хотя, требуется бояться не столько "дырок, которые бывают постоянно", а безразличного отношения ко снова находимым уязвимостям в руководстве отечественных фирм вообще и в Mail.ru в том числе.
Весьма тревожно, заявляет Масалович, что слова "и чо?" - стали классическим ответом корпоративных топ-менеджеров, когда им указывают на критические уязвимости на их сайтах. По его опыту, такая типичная реакция не зависит от размера и репутации компании: ему приходилось видеть, как дырки, о которых он несколько месяцев назад уведомлял, в частности и менеджмент международных корпораций, не закрыты до сих пор.
По его словам, единственный случай адекватной реакции на найденную уязвимость относится к его обращению в Администрацию президента, которая после его сообщения убрала с критического адреса документ под грифом "Для служебного пользования".
Отдельную тревогу у Масаловича, вызвал тот факт, что обнародованные сейчас "дырки" абсолютно типичны. "Mail.ru без труда могла бы их обнаружить и закрыть, протестировав свои продукты перед запуском. Хотя, дырки существуют, и это заставляет предположить, что Mail.ru свои сервисы перед запуском не тестирует".