CNews: Какиеугрозы с точки зрения безопасности электронной почты наиболее актуальны?

ДмитрийАкиндинов: Прежде всего, этоугрозы связанные с утечкой конфиденциальной информации, когда содержание письмастановится доступно третьим лицам, для которых оно не предназначалось. Втораягруппа рисков связана с тем, что сейчас почтовый аккаунт превратился в средствоаутентификации в различных онлайн службах, поэтому, заполучив пароль и «угнав»учетную запись, злоумышленник получает возможность авторизоваться в социальныхсетях и других сервисах, зарегистрированных на данный почтовый ящик. С точкизрения рядового пользователя, который не связан с передачей конфиденциальнойинформации, данный вид угроз наиболее значителен.

CNews: Какиеметоды чаще всего используют злоумышленники, как они предпочитают действоватьтехнически?

ДмитрийАкиндинов: Самый простой способпредполагает использование методов социальной инженерии, то есть отправки писемс поддельных адресов с целью обмануть пользователя. В пример можно привести спамс так называемыми «нигерийскими» письмами и «сомалийские» вирусы. Протокол SMTP, который с самогоначала используется в электронной почте, не предполагает проверки соответствияреального отправителя указанному в заголовках письма адресу, поэтому подделка адресаотправителя – один самых простых приемов, к которым могут прибегнуть мошенники.

Более сложный подход предполагает отправку писем сактивным содержимым, которое способно вызывать определенные действия на сторонеклиента, осуществляющего обработку электронной почты. Например, это может бытьприложение, маскирующееся под скринсейвер, которое после установкикомпрометирует компьютер. Активные «скрипты», которые незаметно дляпользователя будут совершать изменения на машине, могут быть встроены в любойдокумент pdf или Microsoft Word.

Отдельно следует отметить письма с HTML-содержимым. Даннаятехнология позволяет выполнять дополнительные команды при показе, исполнятьскрипты и получать информацию из сети, что активно используетсязлоумышленниками. В самом простом варианте в письмо можно встроить ссылку на картинку,показ которой отслеживается на сервере, на который ссылка указывает. Данныйприем используется спамерами и сетевыми маркетологами, чтобы установить,является ли данный адрес активным, а также для учета общей статистики показовписем рассылки. Картинка при этом пользователю может быть совсем незаметна, нозапрос на внешний сервер почтовой программой будет все равно сделан.

CNews: Какпостроено шифрование данных в электронной почте?

ДмитрийАкиндинов: Первоначальноэлектронная почта задумывалась как средство отправки текстовых сообщений,однако со временем пришло понимание, что вместе с текстом удобно пересылатьдополнительные материалы (картинки, видео и т.п.). Для этого файл вложениянеобходимо было перекодировать в текст и вставить его в сообщение, а при приемедекодировать обратно. Поначалу для этого использовались внешние программы (UUEncode, BinHex), потом эти функциибыли встроены в почтовые клиенты: «продвинутый» клиент в тексте сообщения умеетопределить изначально «бинарные» вставки и показать их без дополнительныхдействий пользователя. Такими бинарными вложениями могли быть и шифрованныеданные, созданные внешними программами. Одной из первых широко используемых программбыла PGP Фила Циммермана. Это средство шифрования было разработано специальнодля использования в электронной почте: зашифрованный результат представлялся ввиде текста, который можно было вставить в любое место сообщения. При просмотретакого сообщения зашифрованный текст расшифровывается автоматически, еслипочтовая программа с модулем PGP имеет доступ к ключу шифрования.

Текстовое представление электронных писемстандартизовано для передачи мультимедийных данных в формате MIME. Этот форматпозволяет компоновать электронное письмо из отдельных частей, которые могут задаватьальтернативное представление текста письма, вложения, календарные приглашения ипрочее. Специальное представление определено и для частей, которые содержаткриптографическую информацию: зашифрованные данные или данные с электроннойподписью. Оно описано в стандарте S/MIME.

Собственно для шифрования почты используются стандартныеблочные шифры (DES, AES,соответствующие алгоритмы, предусмотренные российскими ГОСТами), которыепредполагают применение как симметричного шифрования (передатчик и получательизначально имеют доступ к одному и тому же ключу шифрования), так и асимметричногошифрования (отправитель для шифрования и получатель для расшифровки используютразные, но связанные между собой ключи). При этом для шифрования данныхсимметричным алгоритмом используется одноразовый случайный ключ, который в своюочередь приложен к данным зашифрованным асимметричным алгоритмом. Это среди прочегопозволяет адресовать одни и те же зашифрованные данные нескольким получателямсразу.

Использование шифрования в почте сегодняпредполагает, что каждая учетная запись электронной почты оснащена двумяключами. Публичный ключ находится в открытом доступе, и позволяет всем желающимотправить зашифрованное сообщение владельцу этого публичного ключа. Частныйключ доступен только владельцу аккаунта, он предназначен для декодирования зашифрованныхсообщений (а также для электронной подписи отправляемых сообщений). Для чтенияписьма одноразовый ключ извлекается с помощью асимметричных алгоритмов и уже спомощью этого ключа симметричный алгоритм шифрования используется дляизвлечения собственно зашифрованных данных.

На сегодняшний день наибольшее распространениеполучили технологии шифрования PGP и S/MIME. Они используютодинаковые подходы с комбинацией симметричных и асимметричных алгоритмовшифрования, но предлагают разные способы распространения публичных ключей.

CNews: В мае2018 года европейские исследователи обнаружили новую уязвимость в протоколах PGP и S/MIME, в связи с чем они рекомендовали вообщеотказаться от использования данных протоколов, пока уязвимость не будетзакрыта. В чем именно заключается проблема?

ДмитрийАкиндинов: Как я уже упоминал,помимо текстового сообщения, письма электронной почты могут содержать различныеданные, например, вложенные файлы или же текст письма может быть представлен сиспользованием HTML-форматирования. Для текстовой и мультимедийной информации существуютразные типы MIME-контейнеров. Уязвимость, которая была обнаружена, связана не с протоколамишифрования как таковыми, а с тем, как эти технологии реализованы в почтовыхпрограммах в части работы с расширенным, нетекстовым контентом. Как правило,почтовые клиенты перед тем, как показать зашифрованную часть автоматически декодируютвсе тело письма – так, как этопредполагалось делать при использовании средств PGP.

Как мы уже обсудили, в HTML-контент можно встроить ссылку на внешний ресурс,при этом пользователь даже не заметит обращения своей почтовой программы по этойссылке. В свою очередь, злоумышленник через ссылку, особым образом вставленнуюв письмо, может получить информацию об остальных частях письма, в том числе изашифрованных, которые злоумышленник вложил в то же письмо. Каким образомпроисходит кража первоначального зашифрованного письма, находится за рамкамиисследования.

Подводя итог, схема выглядит следующим образом.Вначале злоумышленник крадет зашифрованное письмо, адресованное пользователю,без возможности его прочитать, а далее «скармливает» это письмо по частямпользователю, встраивая его в исполняемую ссылку или Java-script, и смотрит, каким образом текст будетрасшифрован. При этом, со стороны пользователя не требуется каких-то активныхдействий, достаточно просто открыть письмо, не производя дополнительныеманипуляции (например, открывая файлы-вложения или переходя по ссылкам).

CNews:Получается, что устранением проблемы должны заниматься разработчики почтовых программ?

ДмитрийАкиндинов: Конечно, но и самипользователи должны более внимательно относиться к тому, какие сообщения оничитают. Стоит обратить внимание, что атака производится не на самизашифрованные данные, а на почтовую программу, которую злоумышленник пытаетсязаставить расшифровать ранее украденные данные. И необходимым компонентом такойатаки является «обратный канал», по которому уязвимая почтовая программа можетпередать данные злоумышленнику. На сегодняшний день не найдено надежногоспособа организовать такой канал в простом текстовом сообщение, а использованиеHTML такие возможности предоставляет.Правильным подходом будет полностью отключить HTML и обращения к внешним ссылкам и читать перепискув обычном текстовом представлении. Конечно, ссылку можно вставить и в обычныйтекст, но тогда пользователь сможет прочитать «тело» ссылки и наверняка обратитвнимание, что она содержит в себе текст одного из его предыдущих сообщения.

Кроме того, необходимо отслеживать новые версиипочтовых клиентов, где этот баг уже закрыт. Насколько я знаю, сейчастестируется сборка Thunderbird, в которой данная уязвимость устранена.

CNews: Как врешениях CommuniGate реализована защита от подобныхинцидентов?

ДмитрийАкиндинов: С самых первых версий решениеCommuniGate Pro включает в себя веб-клиент, вследствие чего мы особенно чувствительны к такогорода уязвимостям. Например, при отображении в браузере письма со ссылкой навнешний ресурс, к злоумышленникам может попасть адрес страницы нашего веб-клиента,а с ним – идентификатор сессии, с помощью которого доступ к переписке можнобудет получить с любого IP-адреса в случае, если отключены другие механизмызащиты (а их – но не все сразу! – иногда приходится отключать при работе,например, через прокси-сервер).

Чтобы избежать подобного несанкционированногодоступа мы предусмотрели механизм защиты, который проверяет, с каких IP-адресов приходятобращения, и отсекает запрос с адресов, которые не совпадают с первоначальнымадресом начала сессии. Конечно же используются cookie и другие механизмы.

Кроме того, наше решение предусматриваетфильтрацию HTML-контента, чтобы предотвратить показ подобного содержимого. Еслипользователь хочет увидеть такой материал, он должен сначала скачать данные ксебе на жесткий диск, а потом самостоятельно открыть файл. Таким образом,чтение содержимого происходит за рамками сессии, поэтому угроза нивелируется.

CNews: Можетели вы привести примеры, когда злоумышленникам через уязвимость во встроенномконтенте удавалось украсть конфиденциальную информацию и нанести крупный ущерб?

ДмитрийАкиндинов: Мне о подобных случаяхне известно, однако следует помнить, что лишь немногие инциденты безопасностистановятся достоянием общественности, так как бизнес старается не афишироватьподобные утечки. Кроме того, в сфере информационной безопасности лучше всегдаперестраховываться, поэтому я рекомендую всерьез отнестись к рекомендациям поповоду новой уязвимости в почтовых клиентах. Следует помнить, что одногошифрования недостаточно, также необходимо соблюдать «рабочую гигиену», то естьне открывать подозрительные письма, скептически относиться к письмам овыигрышах в лотерею и т.д. Помимо этого, я бы советовал отказаться отиспользования HTML-контента в деловой переписке. Элементы HTML не несут дополнительного смысла, а часто даже, наоборот, отвлекают отнепосредственного содержания письма. Скажем, зачем мне в деловом письме нуженголубой текст на розовом фоне или анимированные картинки?