senoje, bet dar vis naudojamoje operacinėje sistemoje Windows 2000, aptiko rimtą
pažeidžiamumą, leidžiantį lengvai stebėti elektroninį paštą, slaptažodžius,
kreditinių kortelių numerius ir visą kitą informaciją, perduodamą kompiuterių su šia OS.
„Tai ne teorinis atradimas“ – teigia dr. Benny Pinkas iš Haifa universiteto informatikos departamento. „Visi, kurie išnaudoja šią saugumo spragą, gali pasiekti kituose kompiuteriuose esančią informaciją.“
Daug įvairių pažeidžiamumų skirtingose operacinėse sistemose buvo atrasta per pastaruosius metus, tačiau ankstesnės spragos leisdavo įsilaužėliams sekti informaciją spragos gyvavimo laikotarpiu. Šis naujas pažeidžiamumas, paviešintas grupės, kurią sudaro Pinkas, Hebrajų universiteto studentai Zvi Gutterman ir Leo Dorrendorf, suteikia galimybę įsilaužėliams išgauti anksčiau, dar prieš šios spragos atradimą, iš kompiuterių siųsta informaciją , taip pat ir informacija, kuri jau nebelaikoma kompiuteryje.
Windows atsitiktinių skaičių generatorius yra kritiškai svarbus komponentas failų ir elektroninio pašto bei SSL protokolo, naudojamo interneto naršyklėse, šifravime. Pavyzdžiui, bendraujant su banku, reikalaujančiu įvesti slaptažodį arba kreditinės kortelės numerį, atsitiktinių skaičių generatorius sukuria atsitiktinį šifro raktą, kuris yra naudojamas seanso šifravimui ir žinomas tik bankui. Saugumo tyrinėtojai išsiaiškino atsitiktinių skaičių generatoriaus veikimą ir sugebėjo apskaičiuoti buvusius ir būsimus šifro raktus naudojamus operacinės sistemos, kas suteikia seanso pasiklausymo galimybę.
Tyrimo rezultatai buvo paskelbti neseniai vykusioje ACM
CSS konferencijoje Virdžinijoje.
