suraquis: (Default)

Компанию Mail.ru представлять не нужно — она продвигает себя и свои службы достаточно агрессивно, у всех на слуху. Затруднительно найти хотя бы одного человека в Рунете, у которого нет или хотя бы не было бы хотя бы одного почтового ящика в этой службе.

Материал, процитированный ниже, для меня лично новостью не является. Ваш покорный слуга очень давно обнаружил признаки существования множества уязвимостей в службах Mail.ru — от относительно безобидных (чтобы собрать миллионы заведомо активных адресов сервиса, требуется простейший скрипт, который «выловит» сотни тысяч таких адресов простой рекурсивной загрузкой страниц портала) до весьма опасных, часть которых упомянута ниже.

Мой вердикт таков: если вы полагаетесь на адрес в сервисе Mail.ru, как на ключевой для получения важной информации, хранения и получения регистрационных данных и т.д. — вам всерьёз стоит задуматься о целесообразности такой политики.

Подробнее — в статье, опубликованной на CNews: Mail.ru заставляют закрыть «дыры»:

Mail.ru не может закрыть «дыры», описание которых передали в компанию месяц назад. Обнаруживший уязвимости сервисов Mail.ru Илья А. отчаявшись ждать, пока Mail.ru устранит уязвимости, выложил их описания в открытый доступ. Он рассказал CNews, что выявил «дыры» в безопасности, когда готовился к собеседованию на руководящую позицию в Mail.ru.

Передав информацию об уязвимостях в аппарат технического директора Mail.ru, и убедившись на собеседовании, что информация получена, спустя четыре недели, он отметил, что «дыры» в безопасности не закрыты. После этого Илья публиковал их описание в популярном ИТ-блоге. Помимо собственно описания «дыр», он привел в постинге готовые скрипты, нужные для эксплуатации уязвимостей. CNews воздерживается от ссылки на постинг, чтобы снизить шанс использования уязвимостей потенциальными злоумышленниками.

Использование самой безобидной из четырех «дыр» удаляет письма пользователя по мере их прочтения. Вторая позволяет организовать спам-рассылку средствами Mail.ru, третья предназначена для уничтожения всех записей в сервисе «Еженедельник» Mail.ru. Наконец, с помощью четвертой злоумышленник получает возможность заблокировать чужой аккаунт в сервисе Деньги.Mail.ru. Илья говорит, что две из четырех уязвимостей сравнительно безобидны (он называет их «шалостями»), и критичны только уязвимости в ежедневнике, поскольку она может повлиять на имидж компании, и в «Деньгах.Mail.ru», «по причине того, что это сервис, управляющий деньгами».

По словам Ильи, единственный мотив, который он преследовал при публикации скриптов, — поторопить компанию с закрыванием «дыр», имеющихся в работающих сервисах. «Я хотел объяснить руководству Mail.ru, что надо больше думать о безопасности пользователя».


Илья рассказал CNews, что публикация скриптов была сделана с добрыми намерениями, и привел в подтверждение этого два довода. Во-первых, перед публикацией скриптов, «как это принято в мире ИТ-безопасности», выждал четыре недели. Во-вторых, он дает Mail.ru шанс исправиться.

По словам Ильи А., он описал не все найденные им уязвимости Mail.ru. Однако, если компания оперативно закроет уже существующие «дыры», он не будет торопиться с обнародованием остальных. Он обещает, что будет и дальше заранее уведомлять руководство портала перед публикацией новых уязвимостей. По его словам, описание уязвимостей имеется у руководства портала, хотя ему «при встрече показалось, что им совсем не интересна эта тема».

Специалистов по безопасности беспокоят не столько уязвимости, сколько реакция на них российских топ-менеджеров. Член совета директоров «Диалог-наука» и эксперт по корпоративной безопасности Андрей Масалович заметил, что эти «уязвимости действительно работают». Однако, нужно опасаться не столько «дырок, которые бывают всегда», сколько безразличного отношения ко вновь находимым уязвимостям в руководстве российских компаний вообще и в Mail.ru в частности.

Очень тревожно, говорит Масалович, что слова «и чо?» — стали классическим ответом корпоративных топ-менеджеров, когда им указывают на критические уязвимости на их сайтах. По его опыту, эта характерная реакция не зависит от размера и репутации компании: ему приходилось видеть, как дыры, о которых он несколько месяцев назад уведомлял, в том числе и менеджмент международных корпораций, не закрыты до сих пор.

По его словам, единственный случай адекватной реакции на найденную уязвимость относится к его обращению в Администрацию президента, которая после его сообщения убрала с критического адреса документ под грифом «Для служебного пользования».

Отдельную тревогу у Масаловича, вызвал тот факт, что обнародованные сегодня «дыры» совершенно типичны. «Mail.ru легко могла бы их обнаружить и закрыть, протестировав свои продукты перед запуском. Однако, дыры существуют, и это заставляет предположить, что Mail.ru свои сервисы перед запуском не тестирует».

К моменту публикации этого материала, Mail.ru не смогла предоставить комментарий к сложившейся ситуации.

Post Scriptum. По своему опыту общения с PR-представителями компании и её техническим персоналом могу с уверенностью подтвердить: при попытке донести любую критическую информацию до руководства или хотя бы до тех.поддержки в лучшем случае ответом будет глухое молчание.

Напоминаю также, что Mail.ru теперь является владельцем знаменитого старинного уже сервиса мгновенных сообщений ICQ. Выводы делайте сами.

December 2010

S M T W T F S
   1234
567891011
12131415 161718
19202122232425
262728293031 

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 20th, 2017 03:45 am
Powered by Dreamwidth Studios