By list nie był pocztówką: Gmail ostrzeże przed wysyłaniem e‑maili na słabo zabezpieczone adresy
W październiku grupa badaczy pracujących nad bezpieczeństwemusług pocztowych odkryła, że wielu dostawców skrzynek pocztowych(szczególnie tych mniejszych) źle implementuje protokół STARTTLS,wykorzystywany by zapewnić poufność i integralność przesyłanychdanych. Nawet jeśli więc użytkownik wyśle swoją wiadomość zbezpiecznego, dobrze skonfigurowanego serwera, to wystarczy, by jegoodbiorca korzystał z dostawcy mniej kompetentnego, by treśće-maila mogła wpaść w ręce napastnika podsłuchującego ruchsieciowy. By ustrzec nas przed takim losem, Google wprowadza doGmaila dodatkowe zabezpieczenie – klient poczty będzie ostrzegał,jeśli spróbujemy wysłać e-maila na felerną skrzynkę.
Nic nam oczywiście nie grozi, jeśli korzystamy z dobrzeskonfigurowanej poczty Google'a czy Microsoftu. Jednak ze zbadanych700 tysięcy serwerów pocztowych jedynie 82% poprawnie konfigurowałoszyfrowanie, zaś tylko 35% poprawnie stosowało uwierzytelnieniewiadomości e-mail, pozwalając napastnikom na atak man-in-the-middle(tzw. STARTTLS stripping), potrafiący przekształcić szyfrogram wjawny tekst. To ostatnie jest bardziej powszechne, niż mogłoby sięwydawać.
W rekordowej pod tym względem Tunezji, 96% wszystkich e-mailiwysłanych z Gmaila zostaje w ten sposób „odartych” zzabezpieczeń, a w sześciu innych krajach (przyznajmy, dla nasegzotycznych) wskaźnik ten przekracza 20%. Jednak nawet w Europiebywa nieciekawie – np. w Bośni atakowane jest w ten sposób 6,5%wychodzących z Gmaila wiadomości, a w Danii 3,69%. Nasz kraj jestwzględnie bezpieczny, odsetek takich ataków nie przekracza 0,01%. Wwielu wypadkach jednak takie ataki nie są nawet potrzebne. Spośród877 najpopularniejszych domen, do których Gmail wysyłałwiadomości, jedynie 58% przyjmowało wszystkie wiadomościszyfrowane po TLS. W zbiorze 26406 takich domen odsetek ten spadł do29%.
Od zeszłego roku, kiedy to Google zaczęłozachęcać innych dostawców poczty do wykorzystywania STARTTLS,przekonując, że czas wysyłania e-maili jak pocztówek, któreprzeczytać może każdy, już dawno minął – nawetniezaszyfrowane ważne wiadomości należy przesyłać w „kopertach”,tak by postronne osoby nie mogły zapoznać się z ich zawartością.Kampania informacyjna przyniosła skutki, zabezpieczone tak zostałym.in. Yahoo Mail i Outlook.com. Usługi pocztowe mniejszychoperatorów to wciąż jednak bardziej pocztówki niż listy wkopertach – i nic nie wskazuje na to, by mogło się to wprzyszłości zmienić. Jeśli z poprawną konfiguracją poczty dotej pory nie poradzili się tak duzi dostawcy jak OVH czy Facebook,to nie ma co się spodziewać, że zrobią to niewielcy dostawcyhostingu, dający podstawową skrzynkę pocztową w dodatku dopodstawowej usługi. Większość popularnych agentów transferupoczty po prostu domyślnie nie wspiera STARTTLS, a nawet tedomyślnie wspierające, Postfix 2.1 i Exchange 2013, też mająswoje braki.
Niemniej jednak wszystko idzie w dobrą stronę. Na ostrzeżeniachprzed wysłaniem „pocztówek” Google nie zamierza poprzestać –firma poinformowała, że będzie współpracować z partnerami zgrupy M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group)by wzmocnić techniki oportunistycznego szyfrowania poczty za pomocąrozwiązań opracowanych dla Chrome i mających uchronić komunikacjęz witrynami internetowymi przed przechwyceniem. W dalszej przyszłościpowinniśmy się spodziewać wprowadzenia do Gmaila usługszyfrujących typu end-to-end, gdzie poczta będzie szyfrowana nie naserwerze, ale po stronie użytkownika (chyba że jest z WielkiejBrytanii, gdzie niebawem taki rodzaj szyfrowania ma zostać zakazany,jako utrudniający pracę policji i służb specjalnych).
Zainteresowanych stanem zabezpieczeń poczty elektronicznej zapraszamy do pobrania artykułu pt. Neither Snow Nor Rain Nor MITM… An Empirical Analysis of Email Delivery Security.
