Je elektronska pošta varna? Ni? Seveda ni
Kdo si je še pred leti znal predstavljati, da bo internet doživel tak razmah, kot ga je … Zagotovo nihče in ravno zato, ker je bil sistem delan za potrebe takrat zelo zaprtih sistemov vojske in univerz, nihče ni razmišljal o informacijski varnosti.
Je elektronska pošta varna? Ni? Seveda ni. Številne nevarnosti prežijo na povprečnega uporabnika. Nič koliko je celo primerov, ko so najrazličnejšim fintam nasedli tudi varnostni strokovnjaki, ki se poklicno ukvarjajo prav s tem, da skušajo elektronsko pošto narediti čim bolj varno.
Tri večje skupine nevarnosti:
- Varnost pošiljanja in prejemanja oz. ali je pošiljatelj res to, za kar se izdaja.
- Varnost vsebine – ali je vsebina, ki je bila poslana, res prišla od pošiljatelja do prejemnika nespremenjena.
- Varnost uporabnikov – ali je vsebina sporočila varna za uporabo. To slednjo skupino bi lahko razdelili še na dve:
- pošta s priponkami, ki vsebujejo škodljivo kodo
- neželeno pošta in poskusi prevar.
Ponarejanje naslovnika
Pred dobrimi štiridesetimi leti nihče ni imel razloga, da bi snoval tehnologijo, ki bi bila varna za uporabo. In zato ta tehnologija marsikje še danes ni varna. Elektronska pošta je skozi desetletja sicer pridobila nekaj mehanizmov, ki povečujejo varnost, ampak še vedno to ni to. Tehnološka podstat protokolov je še vedno ista kot leta 1971.
Ponarediti elektronski naslov pošiljatelja je danes še vedno trivialno opravilo in marsikateri poštni strežnik ga bo sprejel kot suho zlato in ga dostavil v poštni predal.
Tudi sami lahko poskusite … Emkei’s Mailer je spletni programček, v katerega vpišete podatke, si izmislite pošiljatelja in pošljete. Res je, da bo večina poštnih strežnikov to pošto razvrstila med spam ali pa jo celo zavrnila, pa vendar še vedno obstaja ne prav majhna verjetnost, da je nekdo na nekem prastarem strežniku, ki nima nastavljenih sodobnih antispam filtrov in bo to padlo direktno vaši tajnici (reciva, da ste direktor) v poštni predal. In ta nekdo se predstavlja kot direktor, ki tajnici naroči, naj plača 10.000 evrov na nek račun. Jap, to so povsem realni scenariji in taki prevari se reče “CEO prevara”. Kar nekaj slovenskih podjetij je že nasedlo in so ostala brez denarja.
Vdor v poštni sistem, iz prve roke
Pred nekaj leti so v Anni poklicali iz proizvodnega podjetja. Direktor je povedal, da sumijo, da so jim vdrli v poštni strežnik.
Njihovi poštni predali so temeljili na nevzdrževanem linux sistemu in POP3 servisu. Ko so enkrat pričeli z analizo, se je izkazalo, da so bila njihova gesla enostavna, največkat kar ime ali priimek prejemnika, z dodatkom kakšne številke na koncu. Skratka, nič lažjega za hekerja s pravim slovarjem slovenskih imen in priimkov. Jasno, skrivanje za slovenščino, češ, da je nihče ne pozna, ni več prava taktika. Heker najbrž ni potreboval več kot kakšen teden, pa je imel na pladnju uporabniška imena in gesla za vse uporabnike v podjetju. Tudi v direktorjev predal so lahko pogledali, prav tako predal tistega, ki je bil odgovoren za plačila.
Long story short: nadrobno so preučili notranja razmerja med zaposlenimi in se razgledali tudi po verigi dobaviteljev in kupcev. Poskus molže denarja se je lahko pričel.
Najprej je heker z elektronskega naslova prodaje poslal obvestilo enemu večjih kupcev v Združenem kraljestvu, v katerem obvešča kupca, da je bila številka računa spremenjena in naj poslej nakazujejo na drug račun. Jasno, seveda, heker je imel pripravljen čisto pravi račun na banki. Najverjetneje je šlo še za en zlorabljen račun, ki ga je imel v oblasti.
K sreči se je že tukaj zataknilo, ker je kupec bil dovolj priseben in je raje vzel telefon v roke in se prepričal na lastna ušesa, če sprememba računa res drži. V tem podjetju so takoj posumili, da se dogaja nekaj čudnega. K sreči so takoj poklicali strokovnjake podjetja Anni.
CEO prevare
Podobni, a morda manj sofisticirani, pa prav nič manj uspešni napadi, se že nekaj let vrstijo tudi v Sloveniji. “Direktor” naroči nekomu, ki je odgovoren za plačilni promet, naj takoj nakaže neko vsoto na XY račun v tujini.
Ljudje smo po naravi dobri in zelo radi pomagamo. Poznam primer, ko je eden takšnih zaposlenih, ki rad vsem pomaga, pridržal vrata tatu, ko je iz poslovnih prostorov odnašal velik plazemski TV zaslon v “servis”. TV je izginil za vedno.
Še posebej pa smo pozorni in ustrežljivi, če tak “ukaz” pride s strani nadrejenega. Ni malo tajnic in drugih, ki so nasedli CEO prevari, tudi v Sloveniji. O tem se premalo govori.
Več o tem preberite na anni.si.
Več o njihovih rešitvah pa lahko dobite na spletni strani http://sistem.anni.si, lahko pa pokličete kar vodjo skupine za IT rešitve na 041 659 314. Hitro se bodo odzvali.
Prijavi napako v članku