Google предупреждает о незашифрованных сообщениях

 

В предстоящие месяцы компания будет предупреждать пользователей о том, что сообщение было доставлено по незашифрованному каналу.

Введению новшества поспособствовало исследование, проведенное ИБ-специалистами Google и научными сотрудниками университетов Мичигана и Иллинойса. Группа из десяти исследователей попыталась выяснить, насколько популярны у почтовых провайдеров такие стандарты безопасности, как STARTTLS, DKIM, DMARC.

Работа под названием «Эмпирический анализ безопасности электронной почты» («Neither Snow Nor Rain Nor MITM… An Empirical Analysis of Email Delivery Security«) была опубликована в конце прошлой недели.

Исследователи купили SMTP сервер для AMS  и проанализировали 700 тыс. SMTP серверов, используемых миллионом популярных доменов из топа Alexa, и обнаружили, что 82% из них используют TLS, но только в 35% реализаций доставка по TLS корректно настроена и предполагает аутентификацию сервера. Всего 1,1% доменов поддерживают стандарт DMARC. Эксперты полагают, что такие удручающие показатели можно объяснить особенностями некоторых стран.

Тунис, Иран, Папуа — Новая Гвинея, Непал, Кения, Уганда и Лесото редко используют STARTTLS, при этом 96% сообщений, отправляемых на Gmail в Тунисе, не зашифрованы.

STARTTLS — расширение SMTP, создающее защищенный канал поверх обычного TCP-соединения (чтобы не открывать отдельный порт); при этом шифруются как сообщения, так и все метаданные. С целью исследования эксперты изучили логи SMTP на Gmail и других доменах за 16 месяцев вплоть до декабря 2014 года. Это позволило определить, какая часть сообщений не подвергается шифрованию. Оказалось, что примерно четверть сообщений, посылаемых из-за рубежа, не использует TLS.

Злоумышленник может обойти шифрование, используя особенности STARTTLS (в частности, раскрытие при отказе) и производя откат до более слабого шифра. Это вызовет ошибку хендшейка и раскроет зашифрованный текст.

«Особенности STARTTLS и отсутствие строгого механизма валидации сертификатов обусловлены потребностью в обеспечении интероперабельности при постепенном развертывании защищенных каналов передачи электронной почты. В данном случае доставка почты рассматривается как приоритетная задача. К сожалению, это подвергает пользователей риску MitM-атак, которые настолько многочисленны, что в некоторых странах им подвержены 20% электронных сообщений, посылаемых на Gmail», — говорится в исследовании.

В отчете также отмечен и положительный тренд — повышение степени безопасности электронной почты. Исследование показало, что за два года количество сообщений, передаваемых на Gmail по защищенным каналам и отосланных с других почтовых сервисов, увеличилось с 33 до 61%, как и число сообщений, использующих TLS и отправленных с Gmail другим провайдерам (с 60 до 80%).

В посвященной данному исследованию блог-записи Эли Берштейн (Elie Bursztein) из подразделения Google по борьбе с мошенничеством и абьюзами и Николас Лидзборский (Nicolas Lidzborski), отвечающий за ИБ-продукты Gmail, заявили, что их компания сотрудничает с НКО M3AAWG в деле пропаганды TLS.

Новые нотификации Google призваны обратить внимание пользователей на возможность модификации или подделки сообщений. Новшество появилось после того, как в прошлом месяце компания объявила, что вскоре начнет отказывать в доставке сообщениям, которые не прошли DMARC-проверку на аутентичность отправителя. В официальном заявлении, опубликованном на DMARC.org, Google пообещала, что к следующему лету обеспечит полную поддержку протокола DMARC.

Также Google объявила о том, что внедряет новые механизмы обеспечения безопасности, расширяя возможности режима Safe Browsing в браузере Chrome, и включит в него механизм противодействия социнженерии. В целях противодействия злоумышленникам, использующим более изощренные уловки, в будущем браузер будет предупреждать пользователя, что сайт выглядит подозрительно. Если ресурс уличен в использовании элементов социнженерии, пользователь получит предупреждение, схожее с теми, которые отображаются при наличии вредоносного кода или ловушки фишеров.

Этот подход позволит бороться с атаками, в ходе которых пользователя убеждают совершить нужное мошеннику действие — например, скачать «новую версию браузера», позвонить в платную службу техподдержки или ввести пароль на поддельной странице Gmail.

\