Postřehy z bezpečnosti: jak mohou státy číst vaše emaily

Martin Čmelík 2. 11. 2015

V tomto díle pravidelných pondělních Postřehů se podíváme na metody, které mohou státy a organizace používat pro vynucení nešifrované komunikace mezi mailovými servery, na nového Tor Messengera, kritickou chybu v Xenu, 13 milionů uniklých hesel, identifikace osob pomocí WiFi a spoustu dalšího.

V dnešní době se stále spoléháme na to, že mailové servery si přeposílají zprávy primárně přes STARTTLS (šifrovaně) a naše emaily jsou tak alespoň částečně chráněny proti změnám a cizím očím. Již velkou řadu let existuje několik možností jak zajistit bezpečnost mailové komunikace, ale společnosti je adoptují velice pomalu a i dnes je to podle statistik Google pouhých 63 % přijatých emailů předaných pomocí šifrovaného kanálu. A to je dobré zmínit, že nedávno to bylo ještě méně, protože Yahoo a Outlook nastavily STARTTLS na všech serverech teprve nedávno.

Problémem SMTP protokolu je, že se s šifrováním původně nepočítalo a bylo k němu dolepeno pomocí rozšíření STARTTLS. To však není jediný problém. STARTTLS obvykle funguje v režimu fail-open, takže pokud se během ustavování šifrované komunikace cokoliv pokazí, tak se raději email pošle v prostém textu (ano, na většině serverů je možné to změnit, ale nikdo to nedělá).

Toho podle nové studie (Neither Snow Nor Rain Nor MITM… An Empirical Analysis of Email Delivery Security) hojně využívají některé státy, ale ve své podstatě to může stejně zneužít každý kdo má své zařízení na cestě mezi vámi, nebo komunikujícími mailovými servery. Ať už se jedná o odebírání podpory STARTTLS z odpovědi serveru, DNS hijacking, kdy podle DNS serverů poskytovatele Internetu je mailový server pro Gmail.com hostován v jejich síti, až po manipulaci se STARTTLS komunikaci, aby došlo k fail-open režimu a mail mohl být tak poslán nešifrovaně.

Něco málo statistik vám dá jasně najevo jak rozšířené to je.

Odebrání rozšíření STARTTLS z odpovědi serveru:

Tunisia               96.13%
Iraq                  25.61%
Papua New Guinea      25.00%
Nepal                 24.29%
Kenya                 24.13%
Uganda                23.28%
Lesotho               20.25%
Sierra Leone          13.41%
New Caledonia         10.13%
Zambia                 9.98%

Modifikace DNS záznamů:

Slovakia     0.08%
Romania      0.04%
Bulgaria     0.03%
India        0.02%
Israel       0.01%
Switzerland  0.01%
Poland       0.01%
Ukraine      0.01%

O šifrování se musíte starat vy sami. Zkuste štěstí s PGP/GPG, či rozšířenejší S/MIME. Podrobně a stylem krok-za-krokem se o možnostech píše ve článku na Arstechnice.

Chcete vědět jestli i váš mailový server podporuje STARTTLS a jestli jsou parametry TLS správně nastaveny? Zkuste jednoduchou a velmi užitečnou službu StartTLS.info.

Naše postřehy

Vývojáři projektu Tor ve čtvrtek vydali beta verzi Tor Messengera. Jedná se klasický komunikační program s podporou několika protokolů (AOL, MSN, GTalk, Twitter, Facebook, XMPP, IRC, ICQ, …). Messenger (Win/Lin/Mac) je založen na programu Instantbird (Mozilla), který se vývojářům Toru nejvíce zamlouval a doplnili do něj podporu OTR (Off-the-Record) protokolu. Tor Messenger je tedy komunikační program komunikující přes síť Tor a vynucující používání protokolu OTR pro bezpečné zasílání zpráv. Nic, co byste nedokázali i se standardními klienty jako Pidgin nebo Adium, ale plánují toho víc (šifrovanou teamovou komunikaci, sdílení souborů, …) a na zásadnější věci si budeme muset počkat. Například nativní podpora ZRTP pro bezpečné volání by se více než hodila a ještě víc pro konferenční hovory.

Společnost 000Webhost.com nabízí zdarma hosting pro vaše webové stránky. Na hlavní stránce se pyšní, že jsou lepší než kdejaké placené hostingy. Nicméně vzhledem k tomu, že používali na serverech velmi starou verzi PHP a databáze údajů o 13 milionech uživatelů, která unikla, neměla ani hashovaná hesla, tak o tom zcela pochybuji. Proto platí mít ke každému účtu jiné heslo. Nikdy nevíte v čem to ti šikulové ukládají na ostatních serverech a kdo se k datům dostane. Používejte KeePass a pro ještě jednodušší ovládání použijte jeden z mnoha integračních doplňků. Můžete tak mít ke každé službě unikátní, klidně 100 znakové heslo, které si nemusíte pamatovat.

Vypadá to, že známý italský Hacking Team, který byl nedávno sám nabourán a 400 GB firemních dat, kódu a 0day exploitů bylo ke stažení, je zpátky ve hře a svým zákazníkům poslali email zmiňující, že mají systém pro dešifrování dat pomocí svých nástrojů, který “změní celou hru”.

Existuje pár metod, jak dešifrovat vaše data, které vám bez optání zašifroval malware známý jako ransomware. Jednou z nejpopulárnějších služeb je Ransomware Decryptor od společnosti Kaspersky. Po zatčení dvou Holanďanů napojených na ransomware CoinVault a Bitcryptor se dostali k více než 14 tisícům klíčů schopných dešifrovat data nešťastníků. Jedná se o nemalý business. Například lidé za nejznámějším crypto-ransomwarem CryptoWall si podle odhadů jen za minulý rok přišli na 325 milionů dolarů. Dokonce i FBI radí nešťastníkům, ať raději zaplatí výkupné.

Xen projekt právě opravil několik bezpečnostních chyb, avšak jedna je stará sedm let a je možné díky ní vyskočit do prostředí hypervizora a tím pádem ovládnout všechny ostatní virtuální systémy na daném stroji. Chyba existuje od Xen verze 3.4 a postihuje celou platformu x86. Je to podobně závažné jako chyba VENOM, která postihovala KVM. Útočník může číst obsah paměti ostatních strojů, modifikovat ji, či měnit celé prostředí Xenu.

Vědci z MIT vynalezli přístroj (RF Capture), který je schopný rozlišit osoby za stěnou nebo jinými překážkami. Funguje to na principu vysílání, přijímání a analyzování WiFi signálů. Můžete pomocí odrazu od těla identifikovat, kde v prostoru se osoba nachází, jestli se pohybuje, a protože následný obraz, který je výstupem, je poměrně unikátní každému jedinci, tak můžete i identifikovat o koho se jedná (s určitou přesností). Uplatnění vědci očekávají především v chytrých domácnostech a při záchranných operacích. Vše je pěkně vysvětlené na YouTube.

Několik zaměstnanců Symantecu bylo (podle zpráv) vyhozeno z důvodu neoprávněného vydávání SSL certifikátů (Thawte) umožňující (mimo jiné) podvrhovat webové služby Google. To nebyl nijak chytrý tah, protože je známé, že Chrome pokaždé ověřuje certifikáty služeb Google a pokaždé, když někdo podvrhuje certifikáty, tak je rychle odhalen. Symantec to  nejdříve označil jako “testovací certifikáty”, kdy nikdo prý nebyl ohrožen a mělo jich být jen 23. Nyní se však ukázalo, že se jedná minimálně o 164 certifikátů k 76 doménám a 2458 certifikátů k neexistujícím doménám, které nikdy neměly právo být vydané CA Thawte. Google jim dal nabídku, která se neodmítá. Buď bude Symantec veřejně publikovat, jaké certifikáty vydává, nebo uživatelé Chrome budou dostávat varovné hlášení pokaždé, když bude SSL certifikát vydaný jejich autoritou. Jen do nich. Pokud byste chtěli vědět, zda vaše CA dodržuje všechna doporučení, přečtěte si Trust Service Principles and Criteria for Certification Authorities.

widgety

Ve zkratce

Pro pobavení

„Your password contains invalid characters.“ No, your startup contains incompetent engineers.

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Vitalia.cz: Očkování proti chřipce u dětí: ČR nemá pravidla

Očkování proti chřipce u dětí: ČR nemá pravidla

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Vánoce v září? Kaufland si legraci nedělá

Vánoce v září? Kaufland si legraci nedělá

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...