Широкую известность процедура взлома стала благодаря одному из шведских Web-узлов, где был размещен интерфейс для входа в любой почтовый ящик Hotmail. Microsoft закрыла брешь в тот же день.
Между тем крайне неудачным оказалось сделанное корпорацией заявление, что автор процедуры взлома — «злоумышленник, очень хорошо знакомый с тонкостями языков программирования, используемых в Web». Специалисты по защите информации находят это высказывание смешным.
«Ну, может быть, человек, первым обнаруживший брешь, и был очень умным, — говорит Ричард Смит, президент Phar Lap Software. — Но после того как ?ларчик? открылся, особого ума, чтобы повторить процедуру взлома, уже не требовалось. Ведь это всего лишь форма на Web-странице. Скопировать ее может любой».
По словам Смита, в появлении бреши следует винить прикладную программу, управлявшую Hotmail, а не операционную систему, в которой она работала (одна из разновидностей Unix). Ошибка, по всей видимости, скрывалась в старой версии ПО, а не в пущенной недавно в ход службе Passport, предоставляющей возможность подключиться сразу к нескольким Web-узлам MSN, введя один пароль.
«Интересно, что ошибка, хотя ей были подвержены лишь некоторые из старых серверов, была обнаружена в день пуска Passport, — отметил Смит. — Однако это оказалось всего лишь совпадением, ведь брешь могла существовать уже в течение шести месяцев».
По словам Эрика Шультце, старшего менеджера Ernst & Young по системам информационной безопасности, процедура взлома представляет собой довольно простой HTML-код.
«Конечно, с ходу в нем разберется не каждый, но после недолгого анализа понять принцип его работы вполне можно, — говорит Шультце. — Вопрос в том, была ли процедура взлома размещена на Web-узле сразу после разработки или она известна хакерам уже давно».
Хакер по прозвищу Tweety Fish из группы Cult of the Dead Cow говорит, что процедура взлома Hotmail «одна из самых простых, с которыми он когда-либо сталкивался». «Бреши, которые таят в себе столь грандиозную опасность, но для использования которых достаточно средств макетирования Web-страниц, — большая редкость. Единственное, что нужно для повторения процедуры взлома, — умение создавать формы. Как правило, это один из первых навыков, которым обучается начинающий Web-дизайнер, — написал нам хакер по электронной почте. — Если Microsoft называет умение создавать формы ?глубокими познаниями?, то это поистине смешно».
Tweety Fish предположил, что брешь представляла собой «черный вход», открытый на период внедрения одной из новых функций или намеренно созданный для нужд тестирования. «Возможно даже, что сценарий CGI, применявшийся для входа, был случайно оставлен на одном из рабочих серверов Microsoft, — продолжает хакер. — В любом случае это грандиозный недосмотр, глупейшая из ошибок, связанных с защитой информации».
Сославшись на корпоративную политику, представитель Microsoft отказался от обсуждения подробностей взлома, сказав лишь, что хакеры «обошли процедуру нормального функционирования службы» и «воспользовались неизвестной брешью в системе безопасности Hotmail».
«К сожалению, был применен подход, подвергший риску защищенность миллионов пользовательских почтовых ящиков», — добавил представитель Microsoft.