Włamują się do maili profesorów
Dziś rano na głównej stronie Gazeta.pl pojawiły się aż dwa teksty powiązane z bezpieczeństwem informatycznym. Jeden, o tytule jak powyżej i drugi o ściganiu "hakerów" z urzędu.
Odniosę się do tego pierwszego, bo jest dość ciekawy. Mamy sytuację, że ktoś, wykorzystując pocztę elektroniczną, podszywa się pod znane osoby i prosi o pieniądze. Ot, przekręt nigeryjski w wersji bardziej autentycznej.
Mimo, iż w dwóch przykładach podanych w artykule atakujący "złamali zabezpieczenia i podszywając się pod niego, wysłali list po angielsku do osób i instytucji z listy mailingowej z dramatyczną prośbą o pomoc", a potem zmienili hasła, to tak w rzeczywistości podszycie się pod znaną osobistość nie wymaga przecież włamania się do skrzynki pocztowej! Protokół SMTP jest na tyle uprzejmy, że w nagłówku "From" może znaleźć się cokolwiek. Bez większych problemów jestem w stanie wysłać wiadomość "pochodzącą" od np. Billa Gatesa.
Gorszym "problemem" dla oszustów może być zdobycie listy osób zaufanych, przyjaciół i znajomych, którym można by podesłać spreparowany list. Oczywiście, po włamaniu się na skrzynkę pocztową, zwłaszcza rozbudowanego webmaila, tak jak GMail w artykule, dostajemy listę osób, z którymi ofiara korespondowała. Ale... może i bez tego da się obejść? Oczywiście!
"Z pomocą" atakującemu mogą przyjść sieci społecznościowe. Patrzymy po znajomych danej osoby na Facebooku czy Naszej-Klasie (często znajomi są pokazywani bez problemów), wynajdujemy wśród nich osoby z pracy, czy rodzinę, potem zostaje nam tylko jakoś odnaleźć ich adresy e-mail, niekiedy w tych serwisach widoczne... i przekręt gotowy.
Teoretycznie, obroną przed podszyciem się przez inny serwer za nas mógłby być SPF. W praktyce - SPF nie zawsze działa. Owszem, zdarza się, że zostanie wykryte, że dany adres IP nie jest faktycznie serwerem nadawcy, ale są systemy pocztowe, które po prostu to ignorują. Aby zabezpieczyć się przed włamaniem na skrzynkę, to oczywiście są potrzebne rzeczy znane - silne hasło i silny mechanizm zabezpieczający przed użyciem generowania nowego hasła.
No i ewentualnie jeszcze jeden mechanizm - podpisywanie własnej poczty za pomocą podpisu cyfrowego. Czy to S/MIME, czy PGP, taki list bez podpisu byłby automatycznie uznawany za podejrzany. Problemem jest jednak skomplikowane dość użycie i nieznajomość tej technologii u innych użytkowników.
Na koniec jeszcze jedna uwaga dotycząca bezpieczeństwa poczty. Kilka lat temu został mi skradziony telefon. Telefon ten miał wbudowanego klienta e-mail, który przechowywał hasło w postaci czystego tekstu. Nowy posiadacz telefonu był w stanie zmienić moje hasło dostępowe do skrzynki, pytanie zabezpieczające i odpowiedź. A do tego na jeden z nadchodzących listów odpowiedział dość niekulturalnym komentarzem. Dzisiaj stracić telefon też jest łatwo - nie wiem czy łatwo jest uzyskać hasło do skrzynki, ale pobawić się czyimś telefonem z aktywnym odbieraniem poczty się da. Także zapewne wysłać wiadomość, jeśli skrzynka jest skonfigurowana. Na to też trzeba uważać.
16 września 2010 14:36:11
Pod koniec poruszyłeś ciekawą kwestię, nad którą ostatnio się zastanawiałem - o tym, jak niebezpieczne mogą być te wielofunkcyjne 'smartphony'.
Sprawdziłem swoje aplikacje, to tylko dzięki dostępowi do mojego telefonu ktoś od ręki uzyskuje dostęp do moich dwóch kont mailowych, konta allegro (kupienie czegokolwiek to kilka kliknięć - kilkanaście sekund), dropboksa, komunikatorów i dwóch społecznościówek.
Już nawet nie wspominam o przypomnieniach haseł, które z wszystkich stron, na których jestem zarejestrowany, lecą na jedno z tych kont mailowych.
Niestety ciężko wyznaczyć tę granicę pomiędzy bezpieczeństwem, a wygodą...
16 września 2010 16:06:44
@hodak: Dość dobrym pomysłem może być zabezpieczenie telefonu - hasłem i szyfrowaniem pamięci. Symbian (w serii E) pozwala na wymuszenie wpisywania kodu po pewnym czasie bezczynności, szyfrowanie pamięci (więc nie da się zrzucić łatwo SMS-ów na przykład na komputer) wewnętrznej oraz kart. Windows Mobile szyfruje karty pamięci i też pozwala na zabezpieczenie hasłem. Android chyba potrafi blokować się wzorem.
A do tego dochodzi zdalne wymazywanie i blokowanie telefonu, np. SMS-em z ustalonym hasłem (Symbian) czy przez stronę internetową (Microsoft My Phone).
Ale tak, wpisywanie hasła przy każdym prawie skorzystaniu z telefonu jest wkurzające. Wygoda...
16 września 2010 17:46:10
@Ktos: Hm, no są to jakieś pomysły, dzięki. Będę musiał się zainteresować tematem zabezpieczenia Androida, bo ostatnio przeraziło mnie jak łatwo udało mi się kupić na allegro komputer za ponad 1000zł ze swojego telefonu. Następnym razem dwa razy się zastanowię, zanim nacisnę "zapamiętaj hasło" ;)