Računalništvo, telefonija
15.02.2019 08:00

Deli z drugimi:

Share

Je elektronska pošta varna? Ni? Seveda ni

Danes si pošto pošiljamo elektronsko, in le če rečemo “po klasični pošti”, si nekako v tej verigi predstavljamo poštarja. Drugače pa so vmes žice, stikala, usmerjevalniki in strežniki. Skratka, precej kompleksen sistem, ki pa odlično deluje že od leta 1971, ko je bilo poslano prvo elektronsko poštno sporočilo med dvema računalnikoma v prostorih univerze v Cambridgu.
Je elektronska pošta varna? Ni? Seveda ni
Je elektronska pošta varna? Ni? Seveda ni

Kdo si je še pred leti znal predstavljati, da bo internet doživel tak razmah, kot ga je … Zagotovo nihče in ravno zato, ker je bil sistem delan za potrebe takrat zelo zaprtih sistemov vojske in univerz, nihče ni razmišljal o informacijski varnosti.

Je elektronska pošta varna? Ni? Seveda ni. Številne nevarnosti prežijo na povprečnega uporabnika. Nič koliko je celo primerov, ko so najrazličnejšim fintam nasedli tudi varnostni strokovnjaki, ki se poklicno ukvarjajo prav s tem, da skušajo elektronsko pošto narediti čim bolj varno.

Tri večje skupine nevarnosti:

  • Varnost pošiljanja in prejemanja oz. ali je pošiljatelj res to, za kar se izdaja.
  • Varnost vsebine – ali je vsebina, ki je bila poslana, res prišla od pošiljatelja do prejemnika nespremenjena.
  • Varnost uporabnikov – ali je vsebina sporočila varna za uporabo. To slednjo skupino bi lahko razdelili še na dve:
    • pošta s priponkami, ki vsebujejo škodljivo kodo
    • neželeno pošta in poskusi prevar.

Ponarejanje naslovnika

Pred dobrimi štiridesetimi leti nihče ni imel razloga, da bi snoval tehnologijo, ki bi bila varna za uporabo. In zato ta tehnologija marsikje še danes ni varna. Elektronska pošta je skozi desetletja sicer pridobila nekaj mehanizmov, ki povečujejo varnost, ampak še vedno to ni to. Tehnološka podstat protokolov je še vedno ista kot leta 1971.

Ponarediti elektronski naslov pošiljatelja je danes še vedno trivialno opravilo in marsikateri poštni strežnik ga bo sprejel kot suho zlato in ga dostavil v poštni predal.

Tudi sami lahko poskusite … Emkei’s Mailer je spletni programček, v katerega vpišete podatke, si izmislite pošiljatelja in pošljete. Res je, da bo večina poštnih strežnikov to pošto razvrstila med spam ali pa jo celo zavrnila, pa vendar še vedno obstaja ne prav majhna verjetnost, da je nekdo na nekem prastarem strežniku, ki nima nastavljenih sodobnih antispam filtrov in bo to padlo direktno vaši tajnici (reciva, da ste direktor) v poštni predal. In ta nekdo se predstavlja kot direktor, ki tajnici naroči, naj plača 10.000 evrov na nek račun. Jap, to so povsem realni scenariji in taki prevari se reče “CEO prevara”. Kar nekaj slovenskih podjetij je že nasedlo in so ostala brez denarja.

Vdor v poštni sistem, iz prve roke

Pred nekaj leti so v Anni poklicali iz proizvodnega podjetja. Direktor je povedal, da sumijo, da so jim vdrli v poštni strežnik.

Njihovi poštni predali so temeljili na nevzdrževanem linux sistemu in POP3 servisu. Ko so enkrat pričeli z analizo, se je izkazalo, da so bila njihova gesla enostavna, največkat kar ime ali priimek prejemnika, z dodatkom kakšne številke na koncu. Skratka, nič lažjega za hekerja s pravim slovarjem slovenskih imen in priimkov. Jasno, skrivanje za slovenščino, češ, da je nihče ne pozna, ni več prava taktika. Heker najbrž ni potreboval več kot kakšen teden, pa je imel na pladnju uporabniška imena in gesla za vse uporabnike v podjetju. Tudi v direktorjev predal so lahko pogledali, prav tako predal tistega, ki je bil odgovoren za plačila.

Long story short: nadrobno so preučili notranja razmerja med zaposlenimi in se razgledali tudi po verigi dobaviteljev in kupcev. Poskus molže denarja se je lahko pričel.

Najprej je heker z elektronskega naslova prodaje poslal obvestilo enemu večjih kupcev v Združenem kraljestvu, v katerem obvešča kupca, da je bila številka računa spremenjena in naj poslej nakazujejo na drug račun. Jasno, seveda, heker je imel pripravljen čisto pravi račun na banki. Najverjetneje je šlo še za en zlorabljen račun, ki ga je imel v oblasti.

K sreči se je že tukaj zataknilo, ker je kupec bil dovolj priseben in je raje vzel telefon v roke in se prepričal na lastna ušesa, če sprememba računa res drži. V tem podjetju so takoj posumili, da se dogaja nekaj čudnega. K sreči so takoj poklicali strokovnjake podjetja Anni.

CEO prevare

Podobni, a morda manj sofisticirani, pa prav nič manj uspešni napadi, se že nekaj let vrstijo tudi v Sloveniji. “Direktor” naroči nekomu, ki je odgovoren za plačilni promet, naj takoj nakaže neko vsoto na XY račun v tujini.

Ljudje smo po naravi dobri in zelo radi pomagamo. Poznam primer, ko je eden takšnih zaposlenih, ki rad vsem pomaga, pridržal vrata tatu, ko je iz poslovnih prostorov odnašal velik plazemski TV zaslon v “servis”. TV je izginil za vedno.

Še posebej pa smo pozorni in ustrežljivi, če tak “ukaz” pride s strani nadrejenega. Ni malo tajnic in drugih, ki so nasedli CEO prevari, tudi v Sloveniji. O tem se premalo govori.

Več o tem preberite na anni.si.

Več o njihovih rešitvah pa lahko dobite na spletni strani http://sistem.anni.si, lahko pa pokličete kar vodjo skupine za IT rešitve na 041 659 314. Hitro se bodo odzvali.


Prijavi napako v članku

Povezave

Članek je pripravljen v sodelovanju s partnerjem ANNI d.o.o.
Za več informacij so vam na voljo pri ANNI d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem ANNI d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

Kontron, d. o. o.

Ljubljanska cesta 24a, 4000 Kranj, Tel: 04 207 20 00
Vodilni evropski ponudnik komunikacijskih rešitev za digitalno preobrazbo Z več kot 70 leti izkušenj je podjetje Kontron vodilni evropski ponudnik komunikacijskih rešitev za digitalno ... Več

Tiskarna Igma-Graf, Martin Škofljanec s.p.

Brege 60, 8273 Leskovec pri Krškem, Tel: 040 744 158
Kako vam lahko reklamna majica pomaga pri promociji vašega podjetja Promocije podjetja se je potrebno lotiti na pravi način, saj potencialna stranka ne sme imeti občutka vsiljivosti ... Več
Zlati partner

Enaa / Gambit trade d.o.o.

Savska cesta 3a, 1000 Ljubljana, Tel: 01 437 63 33
Gambit trade d.o.o. je eno najstarejših in uspešnejših računalniških podjetij pri nas. S svojo inovativnostjo premikajo meje. Tako so že leta 1999 postavili tudi Enaa prvo spletno ... Več

tinaLILIPUT – grafično oblikovanje

Mariborska cesta 82, 2312 Orehova vas, Tel: 031 343 481
Grafično oblikovanje je pomembno orodje, ki izboljša komunikacijo z drugimi. Služi za posredovanje vaših idej na način, ki ni le učinkovit, ampak tudi eleganten. Preprosto povedano, ... Več