вторник, 31 июля 2012 г.

Письма в редакцию. О взломе почты.

Как это не парадоксально, но одним из самых популярных сообщений в моем блоге (т.е сообщений, собравших максимум просмотров) является моя заметка, посвященная тому, какие методы используют взломщики электронной почты (ссылка). 

Мне периодически даже приходят сообщения с предложением либо взломать чью-то почту, либо разместить у себя в блоге рекламу сервиса по взлому электронной почты :)  Такие сообщения, естественно остаются без ответа.  Но бывает и по-другому.

Вот какое сообщение я недавно получил от одного из пользователей (письмо публикую специально по двум причинам, во-первых для обсуждения поднятых вопросов публично, во-вторых потому, что отправитель сообщения видимо указал не правильный адрес электронной почты и поэтому направить ему свой ответ я не смог):

Добрый день, Александр.С интересом прочитал вашу заметку о взломе почты. Вы, правда, описываете, один частный случай. А бывают и другие частные случаи.
Мне необходимо завести электронную почту для работы с платежными системами (PerfectMoney, Payza и т. д.) на стационарном компьютере (с проводным подключением интернета VPN).
При изучении этого вопроса (выбора наиболее защищенной почты) обнаружил не только Ваш блог, но и огромное количество ресурсов, предлагающих "взлом" за небольшие деньги (сопоставимые со стоимостью переустановки операционной системы - !) большинства web-почт:
http://nova.rambler.ru/search?query=взлом+электронной+почтыЯ понимаю, что часть таких предложений - заведомое мошенничество, когда после выплаты аванса заказчик получает письмо якобы со "взломанного" ящика, отправляет оставшуюся сумму платежа, но никакого пароля уже в обмен не получает. Но есть и множества таких, которые предлагают в качестве доказательства полученного доступа снимок экрана почтового ящика "жертвы" или данные из почтового ящика (часть контактов из адресной книги, текст "контрольного" письма и т. п.) 
Судя по этим фактам, небольшому количеству нареканий на такие сервисы и частые взломы почтовых ящиков моих знакомых, которые вдумчиво относились к соблюдению норм безопасности, сложилось представление, что сегодня получить доступ к любой web-почте стало настолько же несложно, как и переустановить windows.
Подтверждением подозрения стала ситуация у знакомого, счёт которого в международной платежной системе обнулили, запросив смену пароля. Каким образом обошли очень сложные ответы на 2 секретных вопроса и как узнали пароль к почте - остается непонятным (в почту вошли с первого раза судя по login log), так как человек пользуется виртуальной клавиатурой и лицензионным антивирусом ежедневно сканирует всю систему; cache, cookies броузера (FireFox 14) вычищает после каждого сеанса связи с почтовым сервером и платежной системой. Пользуется динамическим IP и делает winsock reset.после каждой сессии. Пароль к почте, разумеется, нигде на носителях не хранится и очень нетривиальный. Варианты "социальной инженерии", фишинга и пр. методы на малоопытного пользователя тоже не подходят...
В связи с этим прошу Вас как специалиста посоветовать (в форме ответа на 4 вопроса для облегчения задачи и экономии времени):
1). К какому из видов электронной почты более сложно получить несанкционированный доступ ("взломать"), т. е. какая более защищенная:
предоставляемая провайдером
web-почта (gmail.commail.comyahoo.com и т. п.)
почта, предоставленная хост-провайдером для сайта.
2). Уменьшает ли возможность перехвата пароля такая процедура: пароль копируется в буфер, лишь после этого устанавливается соединение с интернетом, запускается броузер и пароль вставляется из памяти (после чего память сразу заполняется каким-то содержимым).
3). Правильно ли я понимаю, что виртуальная клавиатура - более надёжная защита, чем та, что встроена в саму платёжную систему.
4). Имеет ли смысл использовать различные proxy-серверы при каждом новом соединении?
Заранее вам благодарен, желаю успехов,
Олег.
А вот собственно мой ответ:

Олег, здравствуйте !

Отвечаю на Ваши вопросы:

1) К какому из видов электронной почты более сложно получить несанкционированный доступ ("взломать"), т. е. какая более защищенная: предоставляемая провайдером web-почта (gmail.com, mail.com, yahoo.com и т. п.) почта, предоставленная хост-провайдером для сайта.

Не готов сравнивать провайдеров. Я бы рекомендовал Gmail по причине того, что он предоставляет возможность подключения по шифрованному каналу для получения и отправки почты.

2). Уменьшает ли возможность перехвата пароля такая процедура: пароль копируется в буфер, лишь после этого устанавливается соединение с интернетом, запускается броузер и пароль вставляется из памяти (после чего память сразу заполняется каким-то содержимым).

Никак это не решает проблему. В первую очередь надо понимать шифруется ли сам канал связи, по которому передаётся пароль доступа (особенно если вы пользуетесь, например, в дороге каким-нибудь бесплатным wifi-ем) и кукисы, которые используются после авторизации. Если вы говорите о защите от кейлоггера, то это конечно может помочь, но возможно что в вашем случае вирус просто дождется авторизации в почте и после этого запустит определённые действия (например, смену пароля)

3) Правильно ли я понимаю, что виртуальная клавиатура - более надёжная защита, чем та, что встроена в саму платёжную систему.

Нет, так как уже давно созданы вирусы которые воруют пароль, набранный на виртуальной клавиатуре, просто делая скриншоты при каждом нажатии на виртуальную клавишу.

4). Имеет ли смысл использовать различные proxy-серверы при каждом новом соединении?

Не совсем понимаю зачем Вы вообще используете прокси ? Прячетесь от кого-то ?


А что порекомендуете Олегу вы, коллеги ?

4 комментария:

  1. Не пользоваться компьютером.

    "пользуется виртуальной клавиатурой и лицензионным антивирусом ежедневно сканирует всю систему; cache, cookies броузера (FireFox 14) вычищает после каждого сеанса связи с почтовым сервером и платежной системой. Пользуется динамическим IP и делает winsock reset.после каждой сессии."

    Мне кажется, это паранойя.

    ОтветитьУдалить
  2. А, ну и Яндекс c mail.ru также дают возможность работать по https.

    ОтветитьУдалить
  3. Использовать Google Authentificator https://www.google.ru/search?ie=UTF-8&hl=ru&q=Google%20Authenticator
    Неужели я один догадался?

    Только про угрозы на мобильнике естественно не забываем.

    ОтветитьУдалить
  4. Возможно, ситуацию проясняет странное пристрастие к использованию прокси. В случае НЕиспользования - есть риск перехвата пароля (если не используется https) со стороны провайдера (если не брать в расчет сетевых атак типа MitM в локалке провайдера от кулхацкерных соседей по сегменту) или лучше сказать - цепочки операторов связи от последней мили до площадки, где живет почтовый сервис. Но это маловероятно, админам это ни к чему совершенно. А вот использование прокси, TOR, или бесплатных VPN - возрастание риска перехвата на порядки.
    Не секрет, что exit node у TOR-а мягко говоря не безопасны и многие их поднимают специально для "рыбалки". С бесплатными VPN ситуация тоже весьма рискованная (http://habrahabr.ru/post/148200/), с халявными анонимными прокси вероятно тоже.

    Автор упомянул, что способ его выхода в инет - это проводной инет с использованием VPN. Можно предположить, что раз провайдер использует VPN, то устройство локалки - это VLAN на группу, а не на пользователя, в противном случае был бы или реал ип или серый ип+нат. А раз влан на группу, возможны атаки от соседей. ARP-спуффинг + MitM, просто взлом рабочей станции со всеми вытекающими. Лично знаю преценденты, когда, например, провайдер использует pptp vpn c mschapv2 но без mppe для разгрузки оборудования. Перехват трафика не дает пароля на vpn в открытом виде но позволяет перлюстрировать любые другие передаваемы данные в случае перехвата трафика, поэтому для увода почтового пароля в этом случае достаточно реализовать ARP-спуффинг.

    ОтветитьУдалить