Wielka kompromitacja Skype'a i Microsoftu
Microsoft popularyzuje Skype’a i chce, by z czasem wyparł on tradycyjną telefonię. Trzeba przyznać, że jak dotąd, robi to sprawnie i zaradnie. Problem w tym, że dziś odkryto (i załatano) usterkę, która nigdy, ale to nigdy nie powinna zaistnieć.
Istnieją różne rodzaje usterek w oprogramowaniu i praktycznie każdy, popularny software ma ich dziesiątki. Czy to Apple, czy Microsoft, czy Google, czy ktoś jeszcze inny, co rusz wykrywana jest jakaś nowa luka, która pozwala zdolnemu hakerowi na włamanie do cudzego komputera. Tu, niestety, nie ma się czym bulwersować. Dzisiejsze aplikacje i systemy operacyjne są bardzo rozbudowane i skomplikowane z technicznego punktu widzenia. Na dodatek, w dobie Internetu, nie są już izolowane granicami naszego komputera.
Dlatego nie należy mieć pretensji za większość usterek, a co najwyżej krytykować twórcę danego oprogramowania za czas reakcji na zgłoszony błąd. Są jednak usterki, które nie wynikają ze złożoności mechanizmu. Są też takie, które nie wymagają wiedzy informatycznej, by je wykorzystać. Takie się już praktycznie nie zdarzają, ale w momencie w którym się pojawiają, to można śmiało określić dane rozwiązanie za bubel. A Microsoft wpadł wyjątkowo boleśnie. Wykryta dziura w Skype nie tylko nie wynika z niedopatrzenia w skomplikowanym kodzie źródłowym, ale jest banalnie prosta do wykorzystania przez żartownisia lub cyberprzestępcę.
Usterkę wykryli rosyjscy hakerzy. Jak się okazuje, do tej pory jedyne, co trzeba było posiadać, by przejąć pełną kontrolę nad cudzym kontem Skype, to… adres e-mail. Sprawdzałem, czy mieli rację. Niestety, Skype zaliczył wpadkę sezonu. Przejęcie cudzego konta trwa chwilę, a kontrola nad owym kontem w wyniku „włamania” (cudzysłów po to, by nie obrazić prawdziwych włamywaczy) jest całkowita.
Błąd wynikał z mechanizmu resetowania hasła. Microsoft, jak tylko dowiedział się o problemie, natychmiast go wyłączył. A co trzeba było zrobić? To proste. Wystarczy zainstalować Skype’a a następnie zarejestrować nowe konto. Przy rejestracji podać adres email ofiary, której konto chcemy przejąć. Formularz poinformuje nas, że takie konto już istnieje, a następnie… puści dalej, umożliwiając założenie konta. Następnie należy poprosić o zresetowanie hasła. Powiadomienie przyjdzie na skrzynkę ofiary, ale także do uruchomionego komunikatora. Wystarczy więc z jego poziomu zmienić hasło przypisane do konta ofiary.
W ten sposób przejmujemy nie tylko konto na Skype, ale również środki na koncie Skype, jeżeli takie istnieją, a także listę kontaktów i trzymane w chmurze archiwum rozmów. Czujecie to? Kilka klików myszką wystarczy, by przejąć czyjeś konto Skype. W największej telefonii VoIP na całym świecie!
Microsoft naprawił już problem i skontaktował się ponoć z osobami poszkodowanymi. Zachował się tak dobrze, jak tylko mógł. Nie zmienia to jednak faktu, że cała sprawa to wielka kompromitacja. Jestem zdecydowany na platformę Windows (Phone), a zaszycie w niej Skype’a uważam za wspaniałą zaletę. Planuję wykorzystywać go, kiedy tylko się da, zamiast telefonu stacjonarnego (Windows 8, kamera internetowa i telewizor) i komórkowego (Windows Phone 8). To największa telefonia VoIP na świecie. Takie rzeczy nie mogą się zdarzać. To absolutnie niedopuszczalne i mam nadzieję, że trwa wewnętrzny audyt mający na celu zapobieżenie takim sytuacjom na przyszłość.
Maciek Gajewski jest dziennikarzem, współprowadzi dział aktualności na Chip.pl, gdzie również prowadzi swojego autorskiego bloga