Безопасность электронной почты все ещё далека от идеальной
http://www.itsec.ru/newstext.php?news_id=107862
Защита информации, пересылаемой в электронной почте постоянно улучшается и сегодня безопасность сообщений e-mail намного лучше, чем пару лет назад, однако ряд серьёзных проблем этих приложений и сервисов продолжают оставаться актуальными.
Об этом рассказывает доклад, представленный адъюнкт-профессором Иллинойского университета в Урбана-Шампань, Майклом Бэйли (Michael Bailey), на конференции ACM IMC 2015 (ACM Internet Measurement Conference), которая в конце октября проходила в Токио (Япония).
Сетевые протоколы, на которых базируется Интернет, изначально не были безопасными — защитные функции добавлялись впоследствии к уже существующим системам, со всеми вытекающими последствиями. Например, команда STARTTLS, позволяющая двум почтовым серверам устанавливать защищённое соединение, начинает выполняться только после того, как они уже обменялись нешифрованными сигналами. Благодаря этому, хакер имеет возможность изменить STARTTLS так, чтобы обмен почтой продолжался без шифрования.
"Мы обнаружили, что во многих случаях при передаче электронной почты, злоумышленники преднамеренно ухудшают защиту коммуникаций между почтовыми серверами, — сообщил Бэйли. — Например, практически каждый почтовый сервер в Тунисе небезопасен. В других странах, таких как Ирак или Непал, защита каждого четвёртого сервера e-mail активно подавляется".
В работе, которой Бэйли занимался в лаборатории Coordinated Science Lab при содействии компании Google и коллег из Мичиганского университета, он искал также необходимые рычаги, чтобы побудить организации к переходу на новые протоколы безопасности. Крупные компании, такие как Google, оперативно внедряют у себя передовые технологии безопасности, но модернизация защиты многих индивидуальных сетевых серверов всецело зависит от инициативы их администраторов. "Много интересных работ в сфере безопасности посвящены моделированию не только технологии, но и организаций — того, как они принимают решение использовать её", — заявил Бэйли.
Свой доклад он рассматривает как шанс напомнить пользователям о границах приватности их электронной почты. Автор рекомендует им исходить из предпосылки, что каждое письмо email, отсылаемое без специальных мер защиты, адресовано всей сети Интернет: "Если вы хотите отправить безопасное сообщение, то должны доверять каждому компьютеру и сети, через которые оно проходит, или позаботиться о том, чтобы содержимое почты было зашифровано прежде чем оно покинет ваш компьютер".