joi, 25 octombrie 2012

Neglijenţa companiilor poate face falsificarea mesajelor de email mai uşoară pentru infractori


Spoofing-ul mesajelor de email, sau falsificarea datelor expeditorului în scopul iniţierii unui atac bazat pe inginerie socială, nu este o noutate pentru nimeni, utilizatorii mai experimentaţi putând detecta imediat o astfel de situaţie prin analiza câmpurilor speciale declarative ale mesajelor. Conform unei analize demarată din întâmplare de un matematician din Statele Unite, soarta utilizatorilor ar putea fi mult mai dificilă, iar cea a atacatorilor, mult mai uşoară, din cauza neglijenţei multor companii.
Povestea a început atunci când Zachary Harris a primit un mesaj de recrutare din partea unei companii care lucra pentru Google. Deoarece matematicianul nu se considera a fi o persoană cu un profil profesional suficient de relevant pentru gigantul Internetului, acesta a presupus că mesajul este un posibil început al încercări de scam şi a trecut la analiza atentă a acestuia. Mesajul, care în final era legitim, i-a atras atenţia însă asupra algoritmilor slabi de criptare folosiţi de Google pentru semnarea mesajelor trimise sau redirecţionate de serverele sale de email.
DomainKeys Identified Mail este o cheie cu ajutorul căreia serverele de email semnează mesajele pe care le procesează, aceasta fiind una dintre dovezile importante pentru analiza legitimităţii unui mesaj.În cazul Google, compania folosea o cheie pe 512 biţi, suficient de sigură acum 10 - 15 ani, însă care poate fi decriptată în zilele noastre, cu ajutorul unui sistem de calcul puternic dar accesibil oricui apelează la soluţiile comerciale cloud, în circa 72 de ore. Un exemplu ar fi Amazon Web Service, unde închirierea unei puteri de calcul cloud suficiente pentru această sarcină costă doar 75 de dolari.
Zachary Harris, amatorul care a descoperit că specialiştii dormZachary Harris, amatorul care a descoperit că specialiştii dorm

Pentru a atrage atenţia asupra acestei probleme, Zachary Harris a făcut exact acest lucru şi a trimis un mesaj pentru Larry Page, în care l-a impersonat pe Sergey Brin, în care a plasat şi o legătură Web către o pagină Web inexistentă pentru a monitoriza atenţia atrasă de mesaj. Zachary Harris nu a primit niciodată un răspuns, însă două zile mai târziu, Google folosea o ceie de criptare nouă pe 2048 de biţi.
Matematicianul a trecut şi la analiza altor servicii celebre, găsind semne de neglijenţa similară în cazul unor nume celebre precum PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com şi HSBC. Unele dintre acestea, precum PayPal sau LinkedIn, folosesc chei de 768 biţi, ceva mai dificile dar nu imposibil de decriptat, în timp ce Yahoo, eBay, Amazon sau Twitter folosesc chei pe 512 biţi.
De la descoperirea acestei probleme, care s-a petrecut în luna august, o parte din companiile afectate care au fost contactate de Harris şi-au remediat problema, în timp ce alţii au ignorat-o. Google a admis că a fost o deficienţa gravă şi a anunţat remedierea problemei pentru toate domeniile sale, în timp ce Michael Orlando, analist în cadrul Community Emergency Response Teams, a anunţat că organizaţia va publica în curând un comunicat oficial prin care să avertizeze companiile de această problemă. Mai ales că rezolvarea este extrem de simplă, necesitând doar generarea unor noi chei de criptare, plasarea lor în cadrul înregistrărilor DNS şi revocarea vechilor chei nesigure.

Niciun comentariu:

Trimiteți un comentariu