r   e   k   l   a   m   a
r   e   k   l   a   m   a

By list nie był pocztówką: Gmail ostrzeże przed wysyłaniem e-maili na słabo zabezpieczone adresy

Strona główna AktualnościBEZPIECZEŃSTWO

W październiku grupa badaczy pracujących nad bezpieczeństwem usług pocztowych odkryła, że wielu dostawców skrzynek pocztowych (szczególnie tych mniejszych) źle implementuje protokół STARTTLS, wykorzystywany by zapewnić poufność i integralność przesyłanych danych. Nawet jeśli więc użytkownik wyśle swoją wiadomość z bezpiecznego, dobrze skonfigurowanego serwera, to wystarczy, by jego odbiorca korzystał z dostawcy mniej kompetentnego, by treść e-maila mogła wpaść w ręce napastnika podsłuchującego ruch sieciowy. By ustrzec nas przed takim losem, Google wprowadza do Gmaila dodatkowe zabezpieczenie – klient poczty będzie ostrzegał, jeśli spróbujemy wysłać e-maila na felerną skrzynkę.

Nic nam oczywiście nie grozi, jeśli korzystamy z dobrze skonfigurowanej poczty Google'a czy Microsoftu. Jednak ze zbadanych 700 tysięcy serwerów pocztowych jedynie 82% poprawnie konfigurowało szyfrowanie, zaś tylko 35% poprawnie stosowało uwierzytelnienie wiadomości e-mail, pozwalając napastnikom na atak man-in-the-middle (tzw. STARTTLS stripping), potrafiący przekształcić szyfrogram w jawny tekst. To ostatnie jest bardziej powszechne, niż mogłoby się wydawać.

W rekordowej pod tym względem Tunezji, 96% wszystkich e-maili wysłanych z Gmaila zostaje w ten sposób „odartych” z zabezpieczeń, a w sześciu innych krajach (przyznajmy, dla nas egzotycznych) wskaźnik ten przekracza 20%. Jednak nawet w Europie bywa nieciekawie – np. w Bośni atakowane jest w ten sposób 6,5% wychodzących z Gmaila wiadomości, a w Danii 3,69%. Nasz kraj jest względnie bezpieczny, odsetek takich ataków nie przekracza 0,01%. W wielu wypadkach jednak takie ataki nie są nawet potrzebne. Spośród 877 najpopularniejszych domen, do których Gmail wysyłał wiadomości, jedynie 58% przyjmowało wszystkie wiadomości szyfrowane po TLS. W zbiorze 26406 takich domen odsetek ten spadł do 29%.

r   e   k   l   a   m   a

Od zeszłego roku, kiedy to Google zaczęło zachęcać innych dostawców poczty do wykorzystywania STARTTLS, przekonując, że czas wysyłania e-maili jak pocztówek, które przeczytać może każdy, już dawno minął – nawet niezaszyfrowane ważne wiadomości należy przesyłać w „kopertach”, tak by postronne osoby nie mogły zapoznać się z ich zawartością. Kampania informacyjna przyniosła skutki, zabezpieczone tak zostały m.in. Yahoo Mail i Outlook.com. Usługi pocztowe mniejszych operatorów to wciąż jednak bardziej pocztówki niż listy w kopertach – i nic nie wskazuje na to, by mogło się to w przyszłości zmienić. Jeśli z poprawną konfiguracją poczty do tej pory nie poradzili się tak duzi dostawcy jak OVH czy Facebook, to nie ma co się spodziewać, że zrobią to niewielcy dostawcy hostingu, dający podstawową skrzynkę pocztową w dodatku do podstawowej usługi. Większość popularnych agentów transferu poczty po prostu domyślnie nie wspiera STARTTLS, a nawet te domyślnie wspierające, Postfix 2.1 i Exchange 2013, też mają swoje braki.

Niemniej jednak wszystko idzie w dobrą stronę. Na ostrzeżeniach przed wysłaniem „pocztówek” Google nie zamierza poprzestać – firma poinformowała, że będzie współpracować z partnerami z grupy M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group) by wzmocnić techniki oportunistycznego szyfrowania poczty za pomocą rozwiązań opracowanych dla Chrome i mających uchronić komunikację z witrynami internetowymi przed przechwyceniem. W dalszej przyszłości powinniśmy się spodziewać wprowadzenia do Gmaila usług szyfrujących typu end-to-end, gdzie poczta będzie szyfrowana nie na serwerze, ale po stronie użytkownika (chyba że jest z Wielkiej Brytanii, gdzie niebawem taki rodzaj szyfrowania ma zostać zakazany, jako utrudniający pracę policji i służb specjalnych).

Zainteresowanych stanem zabezpieczeń poczty elektronicznej zapraszamy do pobrania artykułu pt. Neither Snow Nor Rain Nor MITM… An Empirical Analysis of Email Delivery Security.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.