Hlavní navigace

Postřehy z bezpečnosti: jak mohou státy číst vaše emaily

Martin Čmelík

V tomto díle pravidelných pondělních Postřehů se podíváme na metody, které mohou státy a organizace používat pro vynucení nešifrované komunikace mezi mailovými servery, na nového Tor Messengera, kritickou chybu v Xenu, 13 milionů uniklých hesel, identifikace osob pomocí WiFi a spoustu dalšího.

V dnešní době se stále spoléháme na to, že mailové servery si přeposílají zprávy primárně přes STARTTLS (šifrovaně) a naše emaily jsou tak alespoň částečně chráněny proti změnám a cizím očím. Již velkou řadu let existuje několik možností jak zajistit bezpečnost mailové komunikace, ale společnosti je adoptují velice pomalu a i dnes je to podle statistik Google pouhých 63 % přijatých emailů předaných pomocí šifrovaného kanálu. A to je dobré zmínit, že nedávno to bylo ještě méně, protože Yahoo a Outlook nastavily STARTTLS na všech serverech teprve nedávno.

Problémem SMTP protokolu je, že se s šifrováním původně nepočítalo a bylo k němu dolepeno pomocí rozšíření STARTTLS. To však není jediný problém. STARTTLS obvykle funguje v režimu fail-open, takže pokud se během ustavování šifrované komunikace cokoliv pokazí, tak se raději email pošle v prostém textu (ano, na většině serverů je možné to změnit, ale nikdo to nedělá).

Toho podle nové studie (Neither Snow Nor Rain Nor MITM… An Empirical Analysis of Email Delivery Security) hojně využívají některé státy, ale ve své podstatě to může stejně zneužít každý kdo má své zařízení na cestě mezi vámi, nebo komunikujícími mailovými servery. Ať už se jedná o odebírání podpory STARTTLS z odpovědi serveru, DNS hijacking, kdy podle DNS serverů poskytovatele Internetu je mailový server pro Gmail.com hostován v jejich síti, až po manipulaci se STARTTLS komunikaci, aby došlo k fail-open režimu a mail mohl být tak poslán nešifrovaně.

Něco málo statistik vám dá jasně najevo jak rozšířené to je.

Odebrání rozšíření STARTTLS z odpovědi serveru:

Tunisia               96.13%
Iraq                  25.61%
Papua New Guinea      25.00%
Nepal                 24.29%
Kenya                 24.13%
Uganda                23.28%
Lesotho               20.25%
Sierra Leone          13.41%
New Caledonia         10.13%
Zambia                 9.98%

Modifikace DNS záznamů:

Slovakia     0.08%
Romania      0.04%
Bulgaria     0.03%
India        0.02%
Israel       0.01%
Switzerland  0.01%
Poland       0.01%
Ukraine      0.01%

O šifrování se musíte starat vy sami. Zkuste štěstí s PGP/GPG, či rozšířenejší S/MIME. Podrobně a stylem krok-za-krokem se o možnostech píše ve článku na Arstechnice.

Chcete vědět jestli i váš mailový server podporuje STARTTLS a jestli jsou parametry TLS správně nastaveny? Zkuste jednoduchou a velmi užitečnou službu StartTLS.info.

Naše postřehy

Vývojáři projektu Tor ve čtvrtek vydali beta verzi Tor Messengera. Jedná se klasický komunikační program s podporou několika protokolů (AOL, MSN, GTalk, Twitter, Facebook, XMPP, IRC, ICQ, …). Messenger (Win/Lin/Mac) je založen na programu Instantbird (Mozilla), který se vývojářům Toru nejvíce zamlouval a doplnili do něj podporu OTR (Off-the-Record) protokolu. Tor Messenger je tedy komunikační program komunikující přes síť Tor a vynucující používání protokolu OTR pro bezpečné zasílání zpráv. Nic, co byste nedokázali i se standardními klienty jako Pidgin nebo Adium, ale plánují toho víc (šifrovanou teamovou komunikaci, sdílení souborů, …) a na zásadnější věci si budeme muset počkat. Například nativní podpora ZRTP pro bezpečné volání by se více než hodila a ještě víc pro konferenční hovory.

Společnost 000Webhost.com nabízí zdarma hosting pro vaše webové stránky. Na hlavní stránce se pyšní, že jsou lepší než kdejaké placené hostingy. Nicméně vzhledem k tomu, že používali na serverech velmi starou verzi PHP a databáze údajů o 13 milionech uživatelů, která unikla, neměla ani hashovaná hesla, tak o tom zcela pochybuji. Proto platí mít ke každému účtu jiné heslo. Nikdy nevíte v čem to ti šikulové ukládají na ostatních serverech a kdo se k datům dostane. Používejte KeePass a pro ještě jednodušší ovládání použijte jeden z mnoha integračních doplňků. Můžete tak mít ke každé službě unikátní, klidně 100 znakové heslo, které si nemusíte pamatovat.

Vypadá to, že známý italský Hacking Team, který byl nedávno sám nabourán a 400 GB firemních dat, kódu a 0day exploitů bylo ke stažení, je zpátky ve hře a svým zákazníkům poslali email zmiňující, že mají systém pro dešifrování dat pomocí svých nástrojů, který “změní celou hru”.

Existuje pár metod, jak dešifrovat vaše data, které vám bez optání zašifroval malware známý jako ransomware. Jednou z nejpopulárnějších služeb je Ransomware Decryptor od společnosti Kaspersky. Po zatčení dvou Holanďanů napojených na ransomware CoinVault a Bitcryptor se dostali k více než 14 tisícům klíčů schopných dešifrovat data nešťastníků. Jedná se o nemalý business. Například lidé za nejznámějším crypto-ransomwarem CryptoWall si podle odhadů jen za minulý rok přišli na 325 milionů dolarů. Dokonce i FBI radí nešťastníkům, ať raději zaplatí výkupné.

Xen projekt právě opravil několik bezpečnostních chyb, avšak jedna je stará sedm let a je možné díky ní vyskočit do prostředí hypervizora a tím pádem ovládnout všechny ostatní virtuální systémy na daném stroji. Chyba existuje od Xen verze 3.4 a postihuje celou platformu x86. Je to podobně závažné jako chyba VENOM, která postihovala KVM. Útočník může číst obsah paměti ostatních strojů, modifikovat ji, či měnit celé prostředí Xenu.

Vědci z MIT vynalezli přístroj (RF Capture), který je schopný rozlišit osoby za stěnou nebo jinými překážkami. Funguje to na principu vysílání, přijímání a analyzování WiFi signálů. Můžete pomocí odrazu od těla identifikovat, kde v prostoru se osoba nachází, jestli se pohybuje, a protože následný obraz, který je výstupem, je poměrně unikátní každému jedinci, tak můžete i identifikovat o koho se jedná (s určitou přesností). Uplatnění vědci očekávají především v chytrých domácnostech a při záchranných operacích. Vše je pěkně vysvětlené na YouTube.

Několik zaměstnanců Symantecu bylo (podle zpráv) vyhozeno z důvodu neoprávněného vydávání SSL certifikátů (Thawte) umožňující (mimo jiné) podvrhovat webové služby Google. To nebyl nijak chytrý tah, protože je známé, že Chrome pokaždé ověřuje certifikáty služeb Google a pokaždé, když někdo podvrhuje certifikáty, tak je rychle odhalen. Symantec to  nejdříve označil jako “testovací certifikáty”, kdy nikdo prý nebyl ohrožen a mělo jich být jen 23. Nyní se však ukázalo, že se jedná minimálně o 164 certifikátů k 76 doménám a 2458 certifikátů k neexistujícím doménám, které nikdy neměly právo být vydané CA Thawte. Google jim dal nabídku, která se neodmítá. Buď bude Symantec veřejně publikovat, jaké certifikáty vydává, nebo uživatelé Chrome budou dostávat varovné hlášení pokaždé, když bude SSL certifikát vydaný jejich autoritou. Jen do nich. Pokud byste chtěli vědět, zda vaše CA dodržuje všechna doporučení, přečtěte si Trust Service Principles and Criteria for Certification Authorities.

Ve zkratce

Pro pobavení

„Your password contains invalid characters.“ No, your startup contains incompetent engineers.

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

2. 11. 2015 14:09

kudrna (neregistrovaný)

Jenže ten druhý server může s tou zprávou taky dělat cokoliv, stejně jako ten člověk. Navíc ani nemáš zajištěno, že ten server bude jen jeden. Od té chvíle co ta zpráva dojde na druhou stranu už nijak neovlivníš kam dál půjde, kdo si jí přečte nebo jestli jí dokonce změní. Takže tvoje důvěra je dost slepá, protože tomu druhému serveru můžeš věřit nanejvýš úplně stejně jako adresátovi, že tu zprávu nepředá dál. Když cokoliv posíláš někomu přes nešifrovaný mail, tak si musíš uvědomit, že ta zpráva…

2. 11. 2015 13:42

MilanK (neregistrovaný)

S tím moc nesouhlasím. Ano, čím blíže posunete šifrování a dešifrování k odesilateli a příjemci, tím obecně lépe. Ale TLS komunikace mezi dvěma dobře nastavenými MTA může z pohledu útočníka představovat stejně dobré zabezpečení, jako end-to-end šifrování. Můj server se dopředu může dozvědět, že e-mail posílá jinému důvěryhodnému serveru. Dokonce je ta důvěra silnější, než důvěra v to, že koncový uživatel zprávu nepřepošle nešifrovanou někomu jinému, nenechá v tiskárně nebo nepropůjčí notebook se…

Měšec.cz: Komu musí od ledna zvýšit mzdu?

Komu musí od ledna zvýšit mzdu?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru