100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №2 "Входящим сообщениям электронной почты можно доверять"23.10.2008 13:02
Подобный материал:
1   2   3   4   5   6   7   8   9   ...   69

Миф №2 "Входящим сообщениям электронной почты можно доверять"23.10.2008 13:02


Послать сообщение от имени другого адресата является детской игрой. Почтовые протоколы (SMTP, POP3, IMAP) разрабатывались без учета требований безопасности и это приходится расхлебывать до сих пор, сталкиваясь с огромным ворохом различных проблем, начиная от отсутствия конфиденциальности и заканчивая подменой адресатов. Чтобы сразу перейти к доказательствам приведу несколько примеров, иллюстрирующих, что доверять сообщениям электронной почты никак нельзя; даже от вызывающих доверие источников.

25 августа 2000 года служба распределения пресс-релизов Internet Wire получила сообщение от компании Emulex Corp., в котором говорилось, что исполнительный директор этой компании ушел в отставку. Служба Internet Wire, не проверив корректность данного сообщения, распространила его среди своих подписчиков. Некоторые другие службы также распространили данное сообщение, которое на самом деле являлось подделкой. В результате курс акций компании Emulex упал на 61% (со $113 до $43), чем не преминул воспользоваться злоумышленник, создавший ложный пресс-релиз.

Комиссия по ценным бумагам (SEC) возбудила дело против 15-летнего юнца, обманувшего множество опытных биржевых брокеров. Схема мошенничества была проста до гениальности - мошенник покупал небольшие пакеты акций по низкой цене, а потом рассылал всем игрокам рынка сообщения по электронной почте о грядущем росте акций, что увеличивало спрос на них и резко поднимало спрос на них и, как следствие, цену. В результате проведения всего 11 сделок злоумышленник заработал 272826 долларов США.

В России размеры мошенничества пока не настолько большие, но число таких прецедентов постоянно растет. Например, в октябре 2004 года многие пользователи Рунета получили сообщение, что стали победителями совместной акции системы e-port и интернет-магазина 21век.ру и могут получить мобильный телефон Samsung SGH-D410. В адресе отправителя стояло support@e-port.ru, в то время как физически все письма отсылались с адреса e-port@newmail.ru (мошенники это объясняли проблемами с основной почтой).

Еще один пример, с которым автор столкнулся лично. В марте 2003 я года получил письмо от имени политической партии "Единая Россия", в котором был призыв создавать партийные ячейки на каждом предприятии. "Единая Россия" сразу же отмежевалась от данной рассылки, назвав ее "черным PR". Анализ заголовка письма также показывает, что истинным отправителем являются множество взломанных узлов рядовых пользователей Интернет (таким же путем обычно рассылается и спам). В первом случае письмо мне пришло из-за границы:

Received: from pcp01342052pcs.wilog301.pa.comcast.net (pcp01342052pcs.wilog301.pa.comcast.net [68.81.115.56])

by ruff.infosec.ru (Postfix) with SMTP id 22236BC21

for ; Wed, 26 Mar 2003 01:08:44 +0300 (MSK)

From: russia.edin@magelan.ru

To: Luka

Reply-To: info@mos-partya.ru

Subject: "ЕДИНСТВО и ОТЕЧЕСТВО" - Единая Россия"


Во втором случае оно пришло из сети Релком:


Received: from relcom.ru (unknown [62.5.208.114])

by ruff.infosec.ru (Postfix) with SMTP id 7256BBC39

for ; Wed, 26 Mar 2003 18:05:39 +0300 (MSK)

From: edinstvo@a3studio.ru

To: Luka

Reply-To: info@mos-partya.ru

Subject: "ЕДИНСТВО и ОТЕЧЕСТВО" - Единая Россия"


Аналогичный инцидент произошел и с партией "Яблоко". 6 июня 2003 года (как раз в разгаре предвыборной борьбы) я получил следующее письмо:


Received: from 145.89.45.56 (SCOM056.scom.fcj.hvu.nl [145.89.45.56])

by ruff.infosec.ru (Postfix) with SMTP id 1D76FBC17

for ; Fri, 6 Jun 2003 02:37:40 +0400 (MSD)

From: info@yabloko.ru

To: xxx@xxx.xx

Subject: Яблоко против грязных PR технологий!


а за день до парламентских выборов, что нарушает российское законодательство, и могло стать причиной снятия партии "Яблоко" с выборов, - еще одно:

Received: from 68.82.134.111 (pcp01509495pcs.malvrn01.pa.comcast.net [68.82.134.111])

by ruff.infosec.ru (Postfix) with SMTP id 9092BBBE7

for ; Sat, 6 Dec 2003 07:55:31 +0300 (MSK)

From: mitrohin@yabloko.ru

To: xxx@xxx.xx

Subject: Партия "Яблоко"


И, наконец, один из последних нашумевших случаев связан с мошенничеством с Сургутнефтегазом. В конце апреля 2007 года на фоне падения рынка котировки акций Сургутнефтегаза демонстрировали рост. Все оказалось очень «просто». До сих пор неустановленные авторы от имени инвестиционной компании «Тройка Диалог» разослали письмо, в котором прогнозировали слияние «Сургутнефтегаза» с «Роснефтью». Акции выросли, а в «Тройке-Диалог» и нефтяной компании отвергли все обвинения в рассылке. Всего два месяца спустя, 4 июля от имени «Сургутнефтегаза» была разослана совершенно иная спамерская рассылка – об аресте гендиректора нефтяной компании, что, по мнению аналитиков, должно было привести к обвалу акций.

Можно видеть, что электронные сообщения фальсифицируются давно и во всех сферах общественной, политической и финансовой жизни. И безоговорочно доверять входящей электронной почте, даже отосланной якобы вызывающим доверие абонентом, нельзя.

Исключение составляют те сообщения e-mail, которые прошли процедуру аутентификации. На сегодняшний день существуют различные методы проверки подлинности электронной почты - Sender Policy Framework, Sender-ID, Certified Server Validation, Domain-Keys Identified Mail, Bounce-Address Tag Validation и т.п. И хотя они нашли свое применение в различных продуктах и сервисах (например, Yahoo, Gmail, IronPort E-mail Security Appliance и др.), но, к сожалению, широко они пока не используются. Остается только надеяться, что описанные выше опасности станут тем побудительным мотивом, который позволит активно задуматься о всесторонней защите электронной почты.