Глава компании по компьютерной безопасности обеспокоен уязвимостью в
безопасности Microsoft Internet Explorer 9. Тодд Фейнман, директор Identity
Finder, заявил, что IE 9 нуждается в главном пароле, защищающем все остальные
пароли, которые пользователь хранит в браузере. У Mozilla Firefox такой пароль
есть, а вот у Internet Explorer его нет.
Firefox и многие другие браузеры имеют функцию сохранения паролей и
автозаполнения, при которой пользователь вводит лишь начало имени, а браузер сам
заполняет остальное. Однако если у кого-либо появился доступ к твоему
компьютеру, будь то взлом или непосредственное его использование, ему не
составит труда использовать эти пароли.
"В Firefox, установив главный пароль, вы имеете один пароль, который шифрует
все остальные. IE 9 и предыдущие его версии подобной защиты не имеют", - сказал
Фейнман. "Хорошо известны эксплойты, которые читают защищенное хранилище, место,
где IE хранит ваши данные".
Identity Finder продает ПО, которое сканирует файлы, хранящиеся в
компьютерной сети или передающиеся при совместной работе, например через
Microsoft SharePoint. В дальнейшем Identity Finder сигнализирует о потенциально
важных данных, которые необходимо защитить. Примером таких данных могут служить
кредитные карты или страховые номера. Иногда такие данные могут по
неосторожности передаваться, если они находятся, например, в колонке большой
таблицы Excel, которая спрятана от пользователя. Проблема заключается в том,
говорит Фейнман, что данные могут быть спрятаны от простого пользователя, но от
хакера долго скрытыми они не будут.
"Если ваш компьютер украдут или вы получите вирус, то хакеры обязательно
получат доступ к важной информации, потому что эти ребята знают, как ее
заполучить", - сказа Фейнман.
Объявляя IE9 Release Candidate 10 февраля в Сан-Франциско, Microsoft
рекламировала функции безопасности браузера, включая SmartScreen Filter, который
блокирует 99% вредоносных программ, которые попадаются браузеру и позволяет
защититься от того, что другие веб-сайты будут отслеживать вашу
интернет-активность.
В ответ на вопросы, основанные на комментариях директора Identity Finder,
представитель Microsoft сообщил, что их версия главного пароля – это экран входа
в систему Windows, который видит пользователь при загрузке. Internet Explorer
шифрует хранимые пароли в реестре используя Data Protection API и информация об
аккаунте защищена TripleDES шифрованием. Также, если кто-нибудь, например,
украдет жесткий диск, ему не удастся прочитать пароли до тех пор, пока не станут
известны логин и пароль для входа в Windows.
Однако это весьма спорный аргумент, ведь неизвестно, насколько сложно
взломать логин и пароль Windows. Более того, учитывая, что установка логина и
пароля в Windows не обязательна, было бы интересно узнать, сколько людей
удобства ради вообще не создают пароль для Windows.
Однако в Microsoft добавляют, что и защита с помощью главного пароля, в том
виде, в каком ее описал Фейнман, имеет свои уязвимости.
"Если злоумышленник зашел под вашим логином и паролем, он сможет легко
украсть ваши данные (не важно, знает ли он главный пароль или нет). Ему стоит
лишь установить кейлоггер и ждать пока вы сами введете главный пароль", -
заявили в компании. Затем Microsoft в блоге IE дала ссылку на
независимое исследование от NSS Labs, в котором сравнивается уровень
блокировки вредоносных программ в различных браузерах. Согласно этому
исследованию, IE9 обладает самым высоким уровнем защиты.
В ответ на это Фейнман сослался на статью из PC World о хакере, которого
признали виновным в организации ботнета, взламывающего компьютеры и ворующего их
пароли, ко всему прочему атакующему PayPal аккаунты.
"В результате атак взломанные системы присоединялись к ботнету и впоследствии
отдавали логины и пароли, хранимые браузеромInternet Explorer. Как и любой
другой браузер, IE сохраняет эту информацию для ускоренного входа в систему", -
сообщил PC World. Однако эта история уже более чем трехлетней давности и,
возможно, безопасность IE с тех пор стала более совершенной.
Но если конечная точка безопасности – это сам пользователь, который
предпочитает удобство безопасности, уязвимости никуда не денутся. И если даже
Microsoft и усовершенствовала безопасность в IE9, "плохим ребятам" никогда
нельзя было отказать в изобретательности.
