Fałszywy czy prawdziwy, byle certyfikat
Globalną pajęczynę obiegła niepokojąca wiadomość. Specjalistom od zabezpieczeń udało się oszukać najpopularniejszą przeglądarkę WWW Internet Explorer i znaleźć sposób na przechwycenie haseł przesyłanych do wirtualnych banków. Czy w związku z tym należałoby jak najszybciej wypłacić pieniądze z internetowych rachunków? - zastanawia się w Rzeczpospolitej Piotr Stankiewicz.
12.09.2002 | aktual.: 12.09.2002 18:55
Połączenie z serwerem obsługującym wirtualne konta zawsze odbywa się przy użyciu protokołu SSL. Gwarantuje on, że przesyłane dane są zaszyfrowane i nie mogą zostać odczytane po drodze. Ponadto przeglądarka weryfikuje, czy na pewno połączyła się z komputerem banku, a nie serwerem podstawionym przez oszustów. Kontrola odbywa się poprzez sprawdzenie certyfikatu banku. Ten sieciowy paszport musi być potwierdzony przez zaufaną instytucję znaną przeglądarce, tzw. urząd certyfikujący. Nie każdy certyfikat pozwala jednak na wystawianie sieciowych paszportów dla innych serwerów. Nie każdy jest uprawniony do potwierdzania tożsamości innych. Problem w tym, że przeglądarka Microsoftu zapomina sprawdzić, czy ta zasada nie została naruszona. Teraz wystarczy, że oszuści podstawią fałszywy serwer, którego certyfikat został sfałszowany i poświadczony przez firmę, która posiada co prawda legalny sieciowy paszport, ale nie ma uprawnień do potwierdzania innych certyfikatów.
Na szczęście internauta może sprawdzić, czy certyfikat serwera został bezpośrednio potwierdzony przez inną firmę niż jeden ze znanych urzędów certyfikujących. Wystarczy kliknąć na symbol kłódki pojawiający się na dole ekranu podczas połączenia z serwerem elektronicznych kont i dokładnie przeanalizować wyświetlone informacje. Niestety, niewiele osób tak postępuje, a Internet Explorer nie wyświetla żadnego ostrzeżenia, choć powinien.(ck)
