Здравствуйте!
В предыдущих публикациях мы поговорили о возможностях системы противодействовать спаму. Сегодня хочу затронуть вопросы безопасности, а также рассказать о том, что нового появилось в системе за прошедшее время.
Вкратце напомню, как это работает. Пользователю почтового ресурса предоставляется не только почтовый адрес, например, user@site.ru, но и некоторое адресное пространство, в пределах которого можно создавать любые адреса, которые я назвал динамическими.
В приведённом на рисунке примере текущий динамический адрес 1.user@site.ru можно изменить на любой другой когда угодно. Этот адрес принимает сообщения от всех, в том числе через форму обратной связи (ФОС).
Современные техники первого контакта с неизвестным пользователем не совершенны. Предлагаю сейчас не поднимать вопрос о социальных сетях и мессенджерах, на которые переориентировалась определённая часть пользователей для организации полноценной обратной связи с ними в надежде избавиться от спама и фишинга. Там также спамят… в разумных пределах, в противном случае, начнётся отток аудитории из этих сетей и мессенджеров. Мы также не будем говорить о квесте при регистрации в них с привязкой к мобильному телефону (фактически «интернету по паспорту»), передаче персональной информации третьим лицам и унизительном ожидании приглашения после того, как попросился в друзья к кому-либо.
Поговорим об электронной почте, которая есть у каждого пользователя. Так вот, если пишем на email, представленный на сайте в открытом виде, мы понимаем, что почтовый ящик получателя заспамлен, и нет гарантии, что наше сообщение будет прочитано. Мы даже не знаем достоверно, что сообщение получено, т.к. оно может оказаться в папке «спам», или удалено спам-фильтром безвозвратно.
Интернет-ресурсы, использующие ФОС, хотя бы сообщают о том, что отправленное сообщение получено, но мы также понимаем, что вероятность попадания данного сообщения в инбокс далеко не 100%, т.к. оно переправляется формой на обычный почтовый ящик…
Этим недостатком пользуются: мошенники, нерадивые исполнители, руководители и чиновники, охотники за идеями, поставщики. У них всегда есть возможность «прикрыться» проблемой спама.
Поскольку в системе «динамический email» папка «спам» отсутствует, отправитель может быть уверен, что его сообщение попало в инбокс получателя, разумеется, если нет сообщения об ошибке доставки. Получателю об этом также известно, и его «молчание» становится более чем красноречивым.
Моё субъективное мнение: вопрос о присвоении юридического статуса электронной почте, уже давно обсуждаемый, так и останется открытым до тех пор, пока в почтовых клиентах пользователей есть папка «спам».
Владельцы сайтов наверняка сталкивались с подобными предложениями:
Динамический email легко справляется с такой проблемой. Чтобы сохранить репутацию достаточно ответить на полученное через ФОС сообщение с несуществующего адреса, например, с адреса do_not_reply_to.user@site.ru, как бы намекнув, что тема не интересна. Если тема интересна, следует ответить с динамического адреса, не оставляя злоумышленнику даже шанса узнать «главный email организации».
Из интервью главы Group-IB Ильи Сачкова фонду «Росконгресс» (ПРАЙМ):
Проблема фишинга для пользователя усугубляется сумасшедшим потоком входящей информации, с обработкой которой человеческий мозг не всегда успевает справляться. Как заметил доктор Курбатов на деловом завтраке в Давосе, мозгу для перехода из режима восприятия информации в режим её обработки требуется около 23 минут.
Другими словами, если обычный человек за 8 часов получит 21 входящее сообщение с интервалом в 23 минуты, у него не будет возможности обработать и систематизировать эту информацию.
Бесспорным слабым местом электронной почты (и не только её) является совпадение email с логином для входа. Ещё одна проблема — любой почтовый сервер предполагает возможность подключения по протоколу POP3, в котором предусмотрено только две команды для авторизации USER и PASS, т.е. логин и пароль. Ни о какой двухфакторной авторизации не может быть и речи. Если злоумышленник знает чей-то email, он автоматически обладает информацией о почтовом сервере и логине. Дальше – дело техники.
Для важных случаев можно применить особую авторизацию на почтовом ресурсе и забыть о таких опасностях, как распыление паролей и брутфорс. Это также осложнит проведение MITM атак.
Пример: user@site.ru — основной адрес, 1.user@site.ru — динамический, my_pin.user@site.ru — для авторизации. В итоге, получаем своего рода двухфакторную авторизацию и дополнительный механизм предупреждения о попытках взлома. Завладеть почтовым ящиком с такой защитой крайне сложно, несмотря на возможность использования более простых паролей.
Для критически важных случаев можно даже использовать динамическую авторизацию, работающую по принципу автомобильной сигнализации с обратной связью, т.е. новый логин для каждого последующего сеанса связи при неизменном пароле. Чем не рабочий вариант? Если у пациента диагностирована мания преследования, это не значит, что за ним не следят.
Рассылки опасны тем, что их сообщения содержат много ссылок на ресурсы, а также возможностью проведения атаки от имени какого-либо бренда, например, Всемирной Организации Здравоохранения. Сегодня многие понимают, что бездумное кликанье по ссылкам в полученном сообщении представляет опасность, но не все осознают, что не меньшую опасность представляет ссылка «отписаться от рассылки». По сути это тот же фишинг с некоторыми особенностями: пользователя не призывают к каким-либо действиям, он возмущён несправедливо полученным сообщением, расслаблен потенциальной возможностью исправить ситуацию (кликнув по ссылке). Результат отписки не предсказуем. Пользователя могут направить на сайт-клон. Он остаётся незащищённым от кражи или продажи персональных данных. Установить источник утечки и наказать «обидчика» практически не возможно. Грустно.
Динамический email и здесь исправляет ситуацию: по ссылкам кликать не нужно, виновник утечки вычисляется по соответствию адресов отправитель-получатель, да и сама утечка персональных данных не имеет особого значения. Приятно, что виновника утечки легко наказать, превратив свой email в его базе данных в цифровой мусор простым нажатием кнопки.
Информации на эту тему много, например: Цунами ложных «минирований»: что известно и как теперь жить.
Интересная цитата из этой публикации:
Про материальные и психологические потери от таких атак говорить не приходится. Для решения проблемы нужно лишь скрыть email организации, а злоумышленника послать на ФОС.
Злоумышленник прекрасно понимает, что отправка сообщения через ФОС многократно упрощает процесс расследования случаев ложных обращений. Процесс блокировки обращений к ФОС, что с анонимайзеров, что с любых IP-адресов носит куда более деликатный характер, чем блокировка таких ресурсов как, startmail.com и protonmail.com, в своё время использованных для рассылки сообщений о «минировании». С mail.ru также производились атаки, но блокировок данного ресурса по какой-то причине не производилось. Почему бы Министерству Образования не внедрить такую систему с единым центром анализа входящей информации? Стоимость её реализации в десятки раз (если не в сотни) меньше, чем финансовые потери от лжеминирований только за прошлый год.
Эти представители флоры и фауны являются головной болью для VIP и любых публичных персон. Приятным и интересным на 100% для всех быть не реально, а «художника может обидеть каждый». Пользователь динамического email исключительно самостоятельно регулирует свою «открытость» миру. Чтобы оставаться на связи только для старых друзей на неопределённое время достаточно: закрыть ФОС на приём, закрыть основной адрес на приём и изменить динамический адрес. После такой процедуры можно спокойно забраться в свой домик и заняться делами не отвлекаясь на всякие «мелочи». Пользователь сам решает какую табличку повесить «на дверь» «Не беспокоить!» или «Не будить до весны!».
Система подготовлена к кибервойнам, т.е. к атакам на ресурсы или государство в целом. В случае атаки администратору или алгоритму почтового ресурса достаточно закрыть на приём все основные адреса и, возможно, по мере развития ситуации принудительно изменять динамические адреса пользователей случайным образом, уведомляя их об этом, например, с помощью СМС. Поскольку блокировка атакующих происходит до загрузки сообщений на сервер, добиться перегрузки каналов передачи данных и аппаратных мощностей входящим трафиком представляется маловероятным. На мой взгляд, современные системы фильтрации спама прошли пик своего развития, их следует заменять на системы блокировки спама. Эта тема будет становиться всё более и более актуальной по мере развития 5G и распространения IoT. Старая добрая поговорка: «HDD не резиновый».
Как без неё! Тема экологической безопасности волнует каждого. Приведу лишь пару цитат:
Если потери от спама и фишинга в мире исчисляются десятками миллиардов долларов, то по закону сохранения кто-то должен на этом зарабатывать. Порассуждал на эту тему и пришел к выводу, что проще и правильнее сказать, кому спам не выгоден, и тем самым избежать риска наговорить на «пожизненный цик с гвоздями».
Благодарю за внимание. Предпринимателей поздравляю с праздником, а Хабр – с днём рождения!
Также заранее благодарю всех уважаемых читателей, кто ответит на вопрос в конце публикации.
В предыдущих публикациях мы поговорили о возможностях системы противодействовать спаму. Сегодня хочу затронуть вопросы безопасности, а также рассказать о том, что нового появилось в системе за прошедшее время.
Вкратце напомню, как это работает. Пользователю почтового ресурса предоставляется не только почтовый адрес, например, user@site.ru, но и некоторое адресное пространство, в пределах которого можно создавать любые адреса, которые я назвал динамическими.
В приведённом на рисунке примере текущий динамический адрес 1.user@site.ru можно изменить на любой другой когда угодно. Этот адрес принимает сообщения от всех, в том числе через форму обратной связи (ФОС).
Чуть подробнее о системе
При использовании системы пользователь получает свободу действий:
С точки зрения изобретателя получаем идеальный спам-фильтр, т.е. устройства нет, но функции его выполняются.
Ещё более подробно тема представлена в статьях habr.com/ru/post/317038/ и habr.com/ru/post/347606/
- открыть/закрыть основной адрес user@site.ru на приём;
- открыть/закрыть ФОС на приём, отрегулировать сложность КАПЧИ;
- изменить динамический адрес, например, 1.user@site.ru на abc.user@site.ru, т.е. «удалить старый» почтовый ящик и «создать новый» никому не известный ящик, сохранив приём сообщений от проверенных контрагентов согласно «белому списку»;
- «разорвать отношения» с кем угодно в любое время, удалив соответствующую запись из «белого списка», а также внести кого угодно в «черный список».
С точки зрения изобретателя получаем идеальный спам-фильтр, т.е. устройства нет, но функции его выполняются.
Ещё более подробно тема представлена в статьях habr.com/ru/post/317038/ и habr.com/ru/post/347606/
Мошенничество
Современные техники первого контакта с неизвестным пользователем не совершенны. Предлагаю сейчас не поднимать вопрос о социальных сетях и мессенджерах, на которые переориентировалась определённая часть пользователей для организации полноценной обратной связи с ними в надежде избавиться от спама и фишинга. Там также спамят… в разумных пределах, в противном случае, начнётся отток аудитории из этих сетей и мессенджеров. Мы также не будем говорить о квесте при регистрации в них с привязкой к мобильному телефону (фактически «интернету по паспорту»), передаче персональной информации третьим лицам и унизительном ожидании приглашения после того, как попросился в друзья к кому-либо.
Поговорим об электронной почте, которая есть у каждого пользователя. Так вот, если пишем на email, представленный на сайте в открытом виде, мы понимаем, что почтовый ящик получателя заспамлен, и нет гарантии, что наше сообщение будет прочитано. Мы даже не знаем достоверно, что сообщение получено, т.к. оно может оказаться в папке «спам», или удалено спам-фильтром безвозвратно.
Интернет-ресурсы, использующие ФОС, хотя бы сообщают о том, что отправленное сообщение получено, но мы также понимаем, что вероятность попадания данного сообщения в инбокс далеко не 100%, т.к. оно переправляется формой на обычный почтовый ящик…
Этим недостатком пользуются: мошенники, нерадивые исполнители, руководители и чиновники, охотники за идеями, поставщики. У них всегда есть возможность «прикрыться» проблемой спама.
Случай из практики
Мне довелось столкнуться с ситуацией: делаю заказ на сайте с положительными отзывами, 3 дня без ответа, звоню по телефону, отвечают, что всё в порядке, оплачивайте заказ. Говорю: «я не получил подтверждение на email». Отвечают: «поищите в папке спам». Я — «у меня нет папки спам». После продолжительной паузы в разговоре появились сомнения в надёжности продавца. Более внимательно поискал-почитал отзывы, подтвердилось, мошенники.
Поскольку в системе «динамический email» папка «спам» отсутствует, отправитель может быть уверен, что его сообщение попало в инбокс получателя, разумеется, если нет сообщения об ошибке доставки. Получателю об этом также известно, и его «молчание» становится более чем красноречивым.
Моё субъективное мнение: вопрос о присвоении юридического статуса электронной почте, уже давно обсуждаемый, так и останется открытым до тех пор, пока в почтовых клиентах пользователей есть папка «спам».
Недобросовестная конкуренция
Владельцы сайтов наверняка сталкивались с подобными предложениями:
Желаете забанить веб-сайт конкурента или мошенника? С нашей фирмой это легко осуществить. Применяем действенные технологии, испытанные не одним проектом. Устраняем онлайн-сайты по каким угодно ключам. Тысячи спамных беклинков. Спамим главный email организации письмами с регистрациями на сомнительных ресурсах.Любой желающий может заспамить любой email (поисковики подскажут как). Скорее всего, этот email уже где-нибудь «засвечен». Ресурсы вроде хантер.ио помогут это узнать. Если не «засвечен», это легко исправить, отправив на сайт через ФОС предложение, от которого «нельзя отказаться» или запрос типа «а есть такое же, но с перламутровыми пуговицами?». Отвечать на такое обращение или нет – большой вопрос. Опытные пользователи предпочитают не отвечать, прекрасно осознавая степень возможных материальных и репутационных потерь. Они понимают, что однажды дискредитированный электронный адрес превращается в «бомбу замедленного действия» на всё время своего существования. Налицо противоречие: дай свои контакты любому, чтобы быть на связи, но скрывай их от всех, чтобы избежать спама.
Динамический email легко справляется с такой проблемой. Чтобы сохранить репутацию достаточно ответить на полученное через ФОС сообщение с несуществующего адреса, например, с адреса do_not_reply_to.user@site.ru, как бы намекнув, что тема не интересна. Если тема интересна, следует ответить с динамического адреса, не оставляя злоумышленнику даже шанса узнать «главный email организации».
Фишинг
Из интервью главы Group-IB Ильи Сачкова фонду «Росконгресс» (ПРАЙМ):
С точки зрения самых серьезных проблем, которые пользователь может получить — по-прежнему электронная почта является главным способом доставки либо вредоносного кода, либо фишингового письмаЯ воспринимаю фразу уважаемого эксперта как признание невозможности решения проблемы имеющимися средствами. Проблему, на мой взгляд, нельзя решить, если злоумышленнику известен электронный адрес. Если знают, где находится дверь, будут пытаться её открыть. Примеров тому – множество. Это – бесконечная борьба искусственного и человеческого интеллектов и технологий. К сожалению, злоумышленники всегда будут на шаг впереди. Пока интернет-сообщество обсуждает что-то новенькое, злоумышленники успевают найти лазейки. Тема серьёзная. Недавно в новостях на Хабре прочитал:
каждый день в сервисе Gmail блокируется более 100 млн фишинговых писем
Проблема фишинга для пользователя усугубляется сумасшедшим потоком входящей информации, с обработкой которой человеческий мозг не всегда успевает справляться. Как заметил доктор Курбатов на деловом завтраке в Давосе, мозгу для перехода из режима восприятия информации в режим её обработки требуется около 23 минут.
Другими словами, если обычный человек за 8 часов получит 21 входящее сообщение с интервалом в 23 минуты, у него не будет возможности обработать и систематизировать эту информацию.
Мышление становится шаблонным, стереотипным, мозг пребывает в спячкеВ такие моменты пользователь, как раз, и может совершить ошибку, не заметив, например, разницу в один символ в адресе отправителя. Пользователь может, динамический email – нет, не говоря даже о том, что пользователю не придётся получать мусорные письма с интервалом в 23 минуты. Для того чтобы атака состоялась, нужно знать соответствие адресов отправителя и получателя, а ещё лучше, получить доступ к почтовому ящику отправителя.
Анекдот
Полночь. Особняк. Телефонный звонок. Слуга снимает трубку и слышит:
– Джордж?
– Да, Сэр!
– Что делает моя жена?
– Ваша жена спит с Вами в Вашей спальне.
– Джордж, возьми из сейфа ружьё, убей мою жену и меня!
– Минуту, Сэр… (пауза в разговоре)
– Сэр, Вашу жену я убил, но за Вами я долго гонялся по Вашему саду, но так и не смог в Вас попасть.
– Джордж, у меня нет сада!
– Сэр, куда Вы звоните?
– Джордж?
– Да, Сэр!
– Что делает моя жена?
– Ваша жена спит с Вами в Вашей спальне.
– Джордж, возьми из сейфа ружьё, убей мою жену и меня!
– Минуту, Сэр… (пауза в разговоре)
– Сэр, Вашу жену я убил, но за Вами я долго гонялся по Вашему саду, но так и не смог в Вас попасть.
– Джордж, у меня нет сада!
– Сэр, куда Вы звоните?
Распыление паролей и брутфорс
Бесспорным слабым местом электронной почты (и не только её) является совпадение email с логином для входа. Ещё одна проблема — любой почтовый сервер предполагает возможность подключения по протоколу POP3, в котором предусмотрено только две команды для авторизации USER и PASS, т.е. логин и пароль. Ни о какой двухфакторной авторизации не может быть и речи. Если злоумышленник знает чей-то email, он автоматически обладает информацией о почтовом сервере и логине. Дальше – дело техники.
Для важных случаев можно применить особую авторизацию на почтовом ресурсе и забыть о таких опасностях, как распыление паролей и брутфорс. Это также осложнит проведение MITM атак.
Пример: user@site.ru — основной адрес, 1.user@site.ru — динамический, my_pin.user@site.ru — для авторизации. В итоге, получаем своего рода двухфакторную авторизацию и дополнительный механизм предупреждения о попытках взлома. Завладеть почтовым ящиком с такой защитой крайне сложно, несмотря на возможность использования более простых паролей.
Для критически важных случаев можно даже использовать динамическую авторизацию, работающую по принципу автомобильной сигнализации с обратной связью, т.е. новый логин для каждого последующего сеанса связи при неизменном пароле. Чем не рабочий вариант? Если у пациента диагностирована мания преследования, это не значит, что за ним не следят.
Рассылки
Рассылки опасны тем, что их сообщения содержат много ссылок на ресурсы, а также возможностью проведения атаки от имени какого-либо бренда, например, Всемирной Организации Здравоохранения. Сегодня многие понимают, что бездумное кликанье по ссылкам в полученном сообщении представляет опасность, но не все осознают, что не меньшую опасность представляет ссылка «отписаться от рассылки». По сути это тот же фишинг с некоторыми особенностями: пользователя не призывают к каким-либо действиям, он возмущён несправедливо полученным сообщением, расслаблен потенциальной возможностью исправить ситуацию (кликнув по ссылке). Результат отписки не предсказуем. Пользователя могут направить на сайт-клон. Он остаётся незащищённым от кражи или продажи персональных данных. Установить источник утечки и наказать «обидчика» практически не возможно. Грустно.
Динамический email и здесь исправляет ситуацию: по ссылкам кликать не нужно, виновник утечки вычисляется по соответствию адресов отправитель-получатель, да и сама утечка персональных данных не имеет особого значения. Приятно, что виновника утечки легко наказать, превратив свой email в его базе данных в цифровой мусор простым нажатием кнопки.
Лжеминирования
Информации на эту тему много, например: Цунами ложных «минирований»: что известно и как теперь жить.
Интересная цитата из этой публикации:
Недавно в хулиганских посланиях стала появляться любопытная приписка — «Помните о УК РФ 205.6. Несообщение о преступлении». Такая статья Уголовного кодекса действительно существует и грозит штрафом в размере до ста тысяч рублей, а также лишением свободы на срок до одного годаУникальность ситуации состоит в том, что злоумышленник добивается максимального результата при минимальных затратах и риске быть обнаруженным: любой поисковик поможет составить список для атаки, достаточно набрать «школа», «ТЦ», «суд» и т.п.; на сайте практически любой организации email представлен в открытом виде; мало кто из настройщиков спам-фильтров рискнёт отправлять сообщения о минировании в папку «спам», проще переложить ответственность на кого-то другого.
Про материальные и психологические потери от таких атак говорить не приходится. Для решения проблемы нужно лишь скрыть email организации, а злоумышленника послать на ФОС.
Злоумышленник прекрасно понимает, что отправка сообщения через ФОС многократно упрощает процесс расследования случаев ложных обращений. Процесс блокировки обращений к ФОС, что с анонимайзеров, что с любых IP-адресов носит куда более деликатный характер, чем блокировка таких ресурсов как, startmail.com и protonmail.com, в своё время использованных для рассылки сообщений о «минировании». С mail.ru также производились атаки, но блокировок данного ресурса по какой-то причине не производилось. Почему бы Министерству Образования не внедрить такую систему с единым центром анализа входящей информации? Стоимость её реализации в десятки раз (если не в сотни) меньше, чем финансовые потери от лжеминирований только за прошлый год.
Тролли и хейтеры
Эти представители флоры и фауны являются головной болью для VIP и любых публичных персон. Приятным и интересным на 100% для всех быть не реально, а «художника может обидеть каждый». Пользователь динамического email исключительно самостоятельно регулирует свою «открытость» миру. Чтобы оставаться на связи только для старых друзей на неопределённое время достаточно: закрыть ФОС на приём, закрыть основной адрес на приём и изменить динамический адрес. После такой процедуры можно спокойно забраться в свой домик и заняться делами не отвлекаясь на всякие «мелочи». Пользователь сам решает какую табличку повесить «на дверь» «Не беспокоить!» или «Не будить до весны!».
Кибервойны
Система подготовлена к кибервойнам, т.е. к атакам на ресурсы или государство в целом. В случае атаки администратору или алгоритму почтового ресурса достаточно закрыть на приём все основные адреса и, возможно, по мере развития ситуации принудительно изменять динамические адреса пользователей случайным образом, уведомляя их об этом, например, с помощью СМС. Поскольку блокировка атакующих происходит до загрузки сообщений на сервер, добиться перегрузки каналов передачи данных и аппаратных мощностей входящим трафиком представляется маловероятным. На мой взгляд, современные системы фильтрации спама прошли пик своего развития, их следует заменять на системы блокировки спама. Эта тема будет становиться всё более и более актуальной по мере развития 5G и распространения IoT. Старая добрая поговорка: «HDD не резиновый».
Экология
Как без неё! Тема экологической безопасности волнует каждого. Приведу лишь пару цитат:
Более свежую информацию не стал искать, полагаю, на сегодняшний день ситуация не улучшилась.
- статистика из доклада ICF International и McAfee в апреле 2009 года: ежегодно в мире отправляется 62 трлн «мусорных» сообщений, выработка электроэнергии (более 33 млрд кВт/ч), которая на это затрачивается, оборачивается выбросом более 17 млн тонн углекислого газа
- из доклада французских экологов 2011 года: количество спама составило 73 трлн сообщений или 17800 сообщений на каждого пользователя Интернет в год
Кому выгодно
Если потери от спама и фишинга в мире исчисляются десятками миллиардов долларов, то по закону сохранения кто-то должен на этом зарабатывать. Порассуждал на эту тему и пришел к выводу, что проще и правильнее сказать, кому спам не выгоден, и тем самым избежать риска наговорить на «пожизненный цик с гвоздями».
Ответ: спам не выгоден добропорядочным пользователям
Благодарю за внимание. Предпринимателей поздравляю с праздником, а Хабр – с днём рождения!
Также заранее благодарю всех уважаемых читателей, кто ответит на вопрос в конце публикации.