Kijátszható a Microsoft SSL megoldása, biztonsági lyukakkal tűzdeltek az internetes banki szolgáltatások?

[ZDNet] Egy neve elhallgatását kérő svéd, "betörésben járatos" szakértő érdekes demonstrációt tartott a Reutersnak, melyben bemutatta, hogyan lehet percek alatt bejutni egy Microsoft szoftvert futtató rendszerbe, természetesen úgy, hogy mindebből az üzemeltetők szinte semmit sem vesznek észre.

A betörés nem is lenne olyan óriási hír, az azonban már elgondolkodtató, hogy a bemutatott módszerrel internetes bankok is támadhatók, így az illető Svédország négy legnagyobb bankjából háromba akadálytalanul bejuthat. A demonstráció része volt egy kis bújócska is, mellyel a jogtalan behatoló visszakövetését teszi nehezebbé a módszer.

A rendszerbe bejutott hozzáértő ezután akár saját bankszámlájára is utalhat más számlatulajdonosok pénzéből úgy, hogy a tranzakció csak akkor jön létre, amikor az adott tulajdonos egyébként is forgalmat generál számláján, átutal, így bizonyos esetekben ez fel sem tűnhet elég hosszú időn keresztül.

A támadáshoz, betöréshez a szakember a Secure Socket Layer (SSL) felület Microsoft impementációjának körülbelül két hete nyilvánosságra került gyengeségeit használhatta ki, ezzel a szabványos eljárással közvetíthetők "biztonságosan" kártyaszámok és jelszavak az interneten keresztül.

"Ez a protokoll rendkívül könnyen feltörhető" -- mondta a szakértő. "A felület közel sem nyújtja azt a biztonságot, melyet egyesek feltételeznek róla."

A betörés nem kizárólag a Microsoft hibájából lehetséges, ezt mindenképpen le kell szögezni. A hibák nagy része a bankok hálózati adminisztrátorainak hanyagságából, valamint installációs problémákból adódik -- nyilatkozta.

A Microsoft tagadja, hogy a Reutersnek mutatott megoldással át lehet jutni az SSL védelmén. "Nem látom az elméleti lehetőségét sem annak, hogy ez megtörténjen" -- mondta Mats Lindkvist a Microsoft Sweden szakembere.

A négy svéd bank természetesen nem az egyetlen, mely esetleg érintett lehet. A világ sok egyéb pénzügyi intézménye szintén támadható, ha ez a feltevés igaznak bizonyul, hiszen sokan használják az SSL protokollt biztonságos adattovábbításra, internetes szolgáltatások nyújtásához.

A svéd biztonságtechnikai cég, a Deprotect már prezentált hasonló bemutatót az egyik vezető európai banknak. A bank azzal a kéréssel fordult a Deprotecthez, hogy tesztelje biztonsági rendszerét.

Biztonsági rések kihasználásával a cég több millió dollárt utalt át egyik számláról a másikra úgy, hogy ebből a bank semmit sem vett észre, az összeg ugyanis "nem volt elég magas" ahhoz, hogy a rendszert felügyelő szoftver riasszon.

Minderre közel két héttel később derült fény, amikor a Deprotect figyelmeztette a bankot.