Электронная почта как источник повышенной опасности::Журнал СА 1.2006
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6314
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7023
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4306
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3057
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3855
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3870
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6360
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3213
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3504
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7324
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10686
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12410
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14051
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9173
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7120
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5429
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4661
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3467
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3193
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3435
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3065
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Электронная почта как источник повышенной опасности

Архив номеров / 2006 / Выпуск №1 (38) / Электронная почта как источник повышенной опасности

Рубрика: Острый угол /  IMHO

Сергей Супрунов

Электронная почта как источник повышенной опасности

Мы настолько привыкли пользоваться услугами электронной почты, что с трудом представляем себе Интернет без нее. Однако не многие задумываются о том, насколько эта услуга небезопасна и к каким последствиям может привести халатное отношение к своему почтовому ящику.

Все сказанное в данной статье следует рассматривать исключительно как мое личное мнение, основанное на некотором опыте и, в какой-то степени, личных эмоциях. Я не пытался сделать какие-то глобальные выводы или выработать универсальные рекомендации решения проблем. Это всего лишь мой взгляд на ситуацию, если хотите – приглашение к дискуссии.

Основной источник проблем

Как вы знаете, протоколы электронной почты создавались в те «золотые» времена зарождения сети, когда серверы можно было пересчитать по пальцам, а их администраторы хорошо знали каждого своего пользователя. Вопросы безопасности и доверия к отправителю тогда не имели сегодняшнего уровня актуальности, и потому в целях экономии протокол SMTP получился на самом деле настолько простым, что не поддерживал ни авторизации, ни средств подтверждения подлинности отправителя. Он умел лишь отправлять электронные сообщения указанному адресату.

Сейчас сеть Интернет стала другой. Децентрализация, простота и дешевизна подключения к сети, практически полная анонимность пользователя, идентифицировать которого можно разве что по его IP-адресу, который редко можно однозначно сопоставить с конкретным человеком, да и даже на достоверность этого параметра тоже нельзя положиться, – все это привело к тому, что человек в сети чувствует себя гораздо более свободным, и, как следствие, позволяет себе порой то, на что в «оффлайне» никогда не решился бы. Интернет давно превратился из простого средства для общения коллег и единомышленников в инструмент ведения бизнеса. И указанная выше степень свободы позволила применять для достижения своей цели весьма агрессивные методы, не считаясь с последствиями этих методов для других участников сети. А протокол SMTP остался при этом практически тем же самым, что и десятилетия назад.

В частности, согласно базовому RFC 821, лежащему в основе современной электронной почты, различные агенты доставки (MTA) взаимодействуют, по сути, на доверительных отношениях. Даже для команды HELO, которой SMTP-клиент (так будем называть программу, инициирующую SMTP-соединение, по аналогии с другими протоколами) представляется серверу, никак не проверяется достоверность содержащейся в ней информации. И уж тем более не предусмотрено оснований, по которым сервер может отклонить соединение. Более того, если письмо не предназначено пользователям, обслуживаемым данным сервером, то согласно протоколу он должен выполнить передачу сообщения дальше, в соответствии со значением поля «To», т.е. фактически, должен работать в режиме Open Relay.

Различными расширяющими документами вводятся дополнительные процедуры, такие как SMTP-аутентификация, запрет на транзитную передачу сообщений, и т. д., призванные ограничить проблемы, возникающие при использовании базового протокола. Однако их применение до сих пор не является обязательным, и каждый администратор принимает решение об их поддержке исключительно по своему усмотрению. Таким образом, сейчас мы все более отчетливо ощущаем недостатки почтового протокола SMTP:

  • возможность подделать практически любой параметр отправляемого сообщения;
  • отсутствие механизмов для однозначной идентификации отправителя;
  • отправка любого количества любых сообщений какому-либо пользователю не требует никакого разрешения со стороны последнего, но платит за почту при этом именно он.

Рассмотрим немного подробнее некоторые из возникающих при этом проблемы.

«Нам чужого не надо…»

О спаме мы уже много говорили на страницах журнала, борьбе с этой напастью посвящено множество статей в Интернете. А порождено это явление в первую очередь возможностью отправлять сообщения практически анонимно, что не позволяет однозначно выявить отправителя и его наказать.

Одним из правил защиты, которое упоминается, пожалуй, наиболее часто, является совет никогда не оставлять свой реальный почтовый адрес на веб-страницах (в форумах, новостных лентах, даже на своих домашних сайтах). Изворотливый человеческий ум придумал массу способов замаскировать свой адрес и спрятать его от назойливых роботов-сборщиков – от банального «vasya (at) petrov (dot) ru» до всевозможных скриптов, отдающих адрес из базы только в случае явного щелчка по ссылке.

Определенный смысл в этом есть, поскольку если спамер не будет знать вашего адреса, то и отправить вам ничего не сможет.

Но, с другой стороны, адрес наподобие приведенного выше достаточно легко угадывается, а постольку SMTP позволяет указывать в качестве обратного адреса практически любой, то спамер может не беспокоиться, что после очередного сканирования его ящик будет завален сообщениями «Undeliverable message».

А вот нам с вами по этому поводу беспокоиться можно и даже нужно – в качестве такого обратного адреса вполне может быть выбран (случайно или специально) именно ваш адрес. Согласитесь, что это не самая лучшая перспектива – обнаружить в понедельник свой почтовый ящик забитым такими «возвратами» вперемешку с возмущениями и угрозами потревоженных пользователей. Особенно если ваша плата провайдеру за поддержку ящика зависит от объемов трафика или размера сообщений, хранящихся на сервере.

И опять-таки, SMTP не предоставляет никаких способов эффективно этому противодействовать. Конечно, приближение работы электронной почты к обычной (когда в ваш ящик могут положить любую корреспонденцию) имело определенный смысл, по крайней мере в том плане, что не нужно было придумывать новую концепцию. Но при этом не было учтено, что отправлять электронные сообщение намного проще и дешевле. Да и за почтовый ящик, прибитый к калитке, получатель ничего не платит…

«Не виноватые мы…»

Не меньшую угрозу представляет и обратная ситуация – когда в результате заражения ваша машина сама становится источником спама и вирусов. И такая несложная операция, как блокирование с помощью персонального брандмауэра 25-го порта (как на прием, так и на отправку), кроме порта на том сервере, с которым мы действительно работаем, может заметно снизить «напряженность», но почему-то мы не спешим это делать. Да еще и предъявляем претензии своему провайдеру, если он пытается сделать это за нас. Видимо, сказывается убеждение, что сама по себе электронная почта безвредна, к тому же бесплатность исходящего трафика позволяет не обращать на него никакого внимания.

«А вас здесь не стояло…»

Сильно удивляет и то, насколько легко мы относимся к заполнению различных регистрационных форм, где требуется указать адрес электронной почты. Здесь мы довольно часто, наоборот, желая (в виду описанных выше причин) скрыть свой почтовый адрес от любопытных глаз, указываем что-нибудь наподобие qwe@qweasdzxc.ru. Именно на этом основан один из наиболее популярных методов кражи аккаунтов ICQ – нетрудно догадаться, что злоумышленнику теперь остается лишь зарегистрировать на себя домен qweasdzxc.ru, создать там почтовый ящик qwe и воспользоваться системой напоминания пароля. Причем этот метод работает достаточно хорошо не только в случае с ICQ, но и везде, где при регистрации вы должны указать свой электронный адрес, но его принадлежность или хотя бы существование никак не проверяются.

Конечно, можно успокаивать себя тем, что ваш UIN вряд ли будет обладать ценностью, способной компенсировать трату двадцати долларов на регистрацию домена. Но кто знает, насколько ценную информацию вы будете передавать по ICQ лет через пять. В любом случае нельзя забывать об этом методе получения пароля.

Кстати, с этой точки зрения при напоминании пароля по электронной почте на том или ином сервисе более безопасной выглядит генерация нового пароля по запросу пользователя, а не отправка существующего – это позволит законному пользователю (который все еще будет использовать старый пароль) в случае кражи доступа, по крайней мере, вовремя обнаружить проблему. Правда, у этой медали есть и обратная сторона – пользователя, указавшего свой реальный адрес, можно буквально «задолбать» постоянными запросами напоминания пароля.

Таким образом, чуть ли не самым удачным решением в данной ситуации будет вообще отказаться от использования системы напоминания пароля, а сам пароль (достаточно сложный для того, чтобы держать его в память) записать у себя в блокноте.

suprunov@mail.ru – это не мой ящик. Однако если я «подружусь» с его владельцем (тем более что одинаковая фамилия – неплохой повод,  а наступивший год собаки дает возможность поговорить и на действительно интересующую меня тему), то он вполне может стать моим…

suprunov@mail.ru – это не мой ящик. Однако если я «подружусь» с его владельцем (тем более что одинаковая фамилия – неплохой повод,

а наступивший год собаки дает возможность поговорить и на действительно интересующую меня тему), то он вполне может стать моим…

«Лучше меньше, да лучше…»

Кстати говоря, веб-интерфейс к электронной почте сам по себе представляет для злоумышленника некоторые дополнительные пути завладеть чужим ящиком. Но здесь уже используются недостатки другого, не менее «наивного» протокола – HTTP. Как вы знаете, он не поддерживает соединения, то есть каждый новый запрос рассматривается как совершенно не зависящий от предыдущих, и, следовательно, должен содержать всю информацию, необходимую для аутентификации пользователя и определения действия, которое должно быть выполнено. Например, когда вы меняете свой пароль к почтовому ящику на веб-странице, вы пересылаете и всю информацию (к примеру, идентификатор сессии), перехвата которой достаточно, чтобы воспроизвести это же действие с другими параметрами.

Вывод напрашивается сам собой – везде, где это возможно, используйте для работы с электронной почтой протоколы SMTP и POP3/IMAP (тоже не лишенные недостатков, но все же это меньшее из зол), а не HTTP. Практически все популярные почтовые серверы предоставляют такую возможность.

«Язык мой враг мой…»

Но все же самыми популярными остаются социальные методы, основанные на все той же системе напоминания пароля, но теперь уже к самому почтовому ящику. В большинстве случаев человек, регистрируя себе «четвероногого друга» где-нибудь на mail.ru, без должного внимания относится к выбору «секретного вопроса», считая, что ничего важного все равно отправлять/получать не будет. Но идут годы, человек становится каким-нибудь высокопоставленным чиновником или успешным предпринимателем, продолжая по привычке пользоваться тем же почтовым ящиком. И хакеру остается лишь собрать о нем некоторую информацию (имена родных и их родословная, кличка кота и т. д.), чтобы получить доступ к его переписке (см. рисунок). Да даже и без близкого знакомства иногда за вечер нетрудно перебрать несколько десятков «любимых цветов». А когда, желая избежать шаблонности, пользователи сами «придумывают» свой вопрос и ответ на него (типа «qwe – qwe»), то это вообще песня.

«Спасайся, кто может…»

Как видите, электронная почта отнюдь не так уж безобидна, как может показаться на первый взгляд. И если опытный компьютерщик еще способен предвидеть возможные проблемы и попытаться их избежать, то требовать того же самого от начинающего пользователя, только что купившего свою первую интернет-карту и рвущегося в необъятный и полный возможностей мир «глобальной паутины», как правило, не приходится.

Да, пользователей в сети с каждым годом становится все больше и больше, притом, что уровень технической подготовленности среднестатистического пользователя неуклонно снижается. Это вполне правильная тенденция, поскольку врач или адвокат должны хорошо знать свое дело, а не изучать работу межсетевых экранов или заниматься дефрагментацией. Но такими темпами уже через пару лет Интернет может превратиться в действующую модель древнегреческого Хаоса (правда, с меньшими шансами, что из него родится что-то сущее), и жизнеспособность электронной почты – одного из основных сервисов – может оказаться под вопросом.

И более-менее реальными выходами из создавшегося положения кажутся либо жесткие ограничения свободы пользователей со стороны их провайдеров (например, запрет соединяться с 25-м портом любого сервера, кроме провайдерского), либо переход на другие, более соответствующие современным реалиям протоколы. Плюс настойчивая пропаганда среди пользователей «здорового образа жизни».

Ну а простому пользователю остается лишь уделять больше внимания настройкам своего брандмауэра, аккуратнее относиться к веб-интерфейсам и бороться, бороться, бороться со спамом. По крайней мере, до тех пор, пока это не начнет делать его провайдер…


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru