Twierdza na skobel

Usługa Passport od początku wzbudzała emocje. Niedawno ujawniono istnienie w tym systemie "dziury", której obecność może Microsoft sporo kosztować.

Coraz bardziej zależymy od komputerów. Systemy informatyczne nadzorują wybory, kontrolują nasze pieniądze na kontach bankowych, sterują pracą ogrzewania i świateł na skrzyżowaniach. Wszystkie te rozwiązania ułatwiają nam życie, ale gdy zawiodą, mogą zmienić je w koszmar. Przykładem jest system Passport.

Centralizacja niewskazana

Na początek przypomnę, do czego służy ta usługa. Otóż jest to mechanizm, który przechowuje informacje przydatne podczas sufrowania po Sieci. Na dyskach twardych systemu zapisano adresy, nazwy kont e-mail, hasła i numery kart kredytowych ok. 200 milionów użytkowników. Dzięki temu internauci nie muszą pamiętać czasem dziesiątek nazw, haseł i numerów oraz są uwolnieni od ich wprowadzania.

O wynalazku Microsoftu powiedziano dużo (

CHIP 11/2001, 166

). Wiele napisano na temat jego wadliwej architektury i błędów w systemie zabezpieczeń. Śledztwo prowadzone przez Federalną Komisję Handlu oraz postępowanie urzędników Unii Europejskiej sprawiły, że inżynierowie Microsoftu wprowadzili do usługi wiele zmian. A w maju 2003 r. wybuchła bomba.

200 mln potencjalnych wrogów

Pakistański użytkownik przysłał na listę dyskusyjną Full Disclosure informację o poważnej „dziurze”. Okazało się, że każda osoba łatwo mogła zmienić hasło dowolnego użytkownika Passportu. Później mogło dziać się już wszystko – haker miał dostęp do skrzynki, danych osobowych czy wreszcie numerów kart kredytowych.

Microsoft podjął odpowiednie działania – szybko wyłączył mechanizm pozwalający na zmianę haseł. Zablokował też część kont, co oczywiście uniemożliwiło ich właścicielom korzystanie na przykład ze skrzynek na Hotmailu. Jednak osoba, która powiadomiła o błędzie, twierdzi, że „dziura” była znana od dawna.

Będzie kara?

Jaki jest efekt całej „zadymy”? Analitycy z firmy Gartner zalecili firmom, by zrezygnowały z używania „paszportu” na pół roku. Niezmiernie ważne jest to, co powiedzą urzędnicy. Wszak Microsoft zobowiązał się zwiększyć bezpieczeństwo Passportu. Teoretycznie kara finansowa (nałożona przez Komisję Handlu) może wynieść nawet 2,2 biliona dolarów, jednak Microsoft pewnie jak zwykle się wyłga. W końcu na straty naraził tylko 200 milionów użytkowników.

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.