Поделиться
Microsoft поможет найти компромат на босса
Недобрая слава системы защиты программных продуктов корпорации Microsoft подтвердилась еще раз: сайт www.silicon.com сообщил об обнаружении лазейки на сайте Microsoft Certified Professional (MCP), разработанном Microsoft для индивидуального тестирования специалистов с целью оценки их технических знаний и навыков и последующей сертификации квалифицированных профессионалов. Лазейка позволяет по полученному при прохождении экзамена MCP -номеру специалиста зайти на его собственную MCP-страницу, где содержится информация о количестве пройденных тестов, их результатах и присвоенной квалификации.Недостаток системы безопасности сайта MCP был обнаружен любопытствующем пользователем, который использовал вышеописанную лазейку и обнаружил, что его босс имеет более низкую квалификацию, чем утверждал. Читатель, который пожелал остаться анонимным, обнаружил, что его босс не сдал ряд экзаменов, хотя утверждал о сдаче всех тестов. Читатель сообщил, что он не получил никакого ответа от корпорации Microsoft, когда сообщил им о обнаружении лазейки. До сих пор Microsoft никак не прокомментировала это событие.
Для того, чтобы создать новую идентификационную запись (ID), пользователь должен ввести свой MCP-номер и фамилию заглавными буквами. После это пользователю присваивается уникальный логин и пароль, по которому и осуществляется доступ на сайт. Однако для одного и того же MCP-номера можно создавать несколько идентификационных записей. Это означает, что пользователь может создать на сайте свою новую идентификационную запись, и в то же время иметь доступ ко всей информации, относящейся к более ранним ID-записям.
Проблема заключается в том, что от пользователей системы MCP не требуют держать в тайне свои MCP-номера, как, к примеру, номера кредитных карточек. Каждый пользователь MCP имеет регистрационную карту с напечатанным на ней номером, которой можно подтвердить свою профессиональную квалификацию, и многие даже помещают этот номер на своих визитных карточках.
Сайт MCP используется корпорацией Microsoft для подтверждения профессиональных навыков и хранения подробной информации о том, какие экзамены еще не сданы, и какую скидку может получить пользователь при прохождении следующего этапа обучения.
Доктор Нил Барретт (Neil Barrett), технический директор и консультант по безопасности компании IRM, считает, что данная проблема - следствие нарушения безопасности в системе. Он заявил, что подобного рода информация, без сомнения, является частной и должна быть защищена соответствующим образом. Возникновение очередной "дыры", по мнению специалиста, подтверждает отношение Microsoft к проблеме защиты программных продуктов: подобные лазейки иллюстрируют или невозможность правильно организовать защиту программных продуктов, или просто небрежность при их разработке.
Критика, которой Microsoft подвергается за "дыры" в системе защиты своих программных продуктов, в последние месяцы раздается все чаще. Многие пользователи выразили неудовлетворение и обеспокоенность, узнав на прошлой неделе о том, что онлайновый банк Bank Egg использует систему идентификации пользователей от Microsoft. Страхи пользователей усилил и признанный корпорацией на прошлой неделе факт взлома платформы Microsoft Passport, части Windows XP и ключевого момента стратегии .Net "ПО как услуга", которой в Сети пользуются 165 миллионов человек.
Короткая ссылка
