Компания
1 017,18
рейтинг
5 марта 2013 в 13:46

Разное → Просто о безопасности почты

У этого поста две цели. Первая: слегка приоткрыть завесу над правилами игры, которых придерживается крупная почтовая служба в вопросах безопасности. Мы хотим, чтобы меры, которые мы принимаем для защиты пользователей, стали понятней сообществу. Пост написан на основе опыта Почты Mail.Ru, но рекомендации универсальны и применимы к любому почтовому сервису.

Вторая цель — рассказать о том, как защитить ящик. Мы пройдемся по базовым моментам и напомним те пункты в «плане безопасности», о которых редко задумываются. Может быть, сведения из этой статьи пригодятся вам, а возможно — вашему беспечному другу, родителям или коллеге. Возможно, нам даже удастся сделать так, чтобы звонков «У меня, кажется, ящик взломали, ты же программист, сделай что-нибудь!!!11» стало чуть меньше.

В любом случае, если по прочтении кто-то сделает пару изменений в настройках своего ящика электронной почты — это и будет лучшим результатом, на который могут рассчитывать авторы. А если вы все это уже знаете, то мы можем только порадоваться.

Мы расскажем о том, как взламывают ящики, кому и зачем это может понадобиться, и опишем, как предотвратить взлом (а также что делать и куды бечь, если все плохое уже случилось).

Зачем взламывают электронную почту

Почему именно ваш почтовый ящик может представлять для кого-то ценность? Очень часто пользователи пренебрегают элементарными мерами предосторожности просто потому, что не могут ответить на этот вопрос. Разумеется, обычно конечная цель взлома — получить какую-либо финансовую прибыль. Но от кого взломщик может получить деньги? Существует несколько вариантов развития событий.

Учетные записи могут быть перепроданы оптом


Чаще всего скупкой почтовых ящиков в больших объемах занимаются спамеры. Взломанные ящики используют для массовых рассылок сообщений вроде «Элитные копии швейцарских часов». Большинство взломов совершается именно с этой целью.

Деньги можно извлечь из самого ящика...


Даже если основной целью взломщика является перепродажа ящика, сразу после получения доступа он все равно просматривает содержащуюся в ящике информацию на предмет чего-то более-менее ценного. Это могут быть, например, учетные записи соцсетей, хостингов, банков, электронных денег, игровые аккаунты. Если в ящике нет данных о самих паролях, атакующий может запросить восстановление пароля на ящик. Также атакующий обязательно проверит, не подходит ли ваш почтовый пароль к учетным записям на других ресурсах.

…или получить от владельца аккаунта


Вы можете стать жертвой шантажа — вам предложат выкупить доступ к ящику или к вашей учетной записи в соцсети. Предметом шантажа может быть также личная информация (переписка, фото, сканы документов), которая содержится в ящике. Иногда для сбора денег владельцев взломанных аккаунтов используются сервисы приема платных sms. К сожалению, не все sms-агрегаторы достаточно щепетильны в этом вопросе.

… или от другого заинтересованного лица


Взлом может быть заказным. Доступ может понадобиться вашему конкуренту или бывшему партнеру, сотруднику, ревнивому супругу. Сразу заметим, что взломы по заказу составляют очень маленькую долю от общего объема.

Из этого можно сделать простой вывод — любой почтовый ящик имеет ценность для взломщика.

Как взламывают почту

В интернете можно найти объявления о взломе почтовых ящиков по заказу. Цены варьируются от десятка до нескольких сотен долларов. В большинстве случаев жертвой становится сам заказчик, которого обманывают тем или иным способом или шантажируют обещанием рассказать жертве о попытке взлома. Если все-таки дело доходит до взлома, то обычно в бой идет социальная инженерия и, реже, подбор пароля и секретного вопроса.

Но обычно взломы делаются массово и с использованием ботнетов. У атакующего нет цели взломать конкретный ящик; у него есть задача взломать как можно больше ящиков — например, имеющих определенный простой пароль. Ситуаций по-настоящему серьезного взлома, когда против жертвы использовались бы, например, 0-day-уязвимости безопасности в каком-либо браузере, нам пока не встречалось.

Ниже собраны основные методы получения доступа к чужому ящику и способы защиты от них.

Проблема #1: троянская программа на компьютере




Практически любой троянец среди прочей информации уводит и пароли от электронной почты. По различным данным, до 30% компьютеров ежегодно подвергаются заражению. Использование Linux, MacOS X, любых других операционных систем или различных телефонных и планшетных платформ не гарантирует отсутствия вредоносных программ.

Решение: используйте антивирусное ПО


При этом помните, что сначала появляется вредоносная программа, потом ею кто-то заражается, и только спустя некоторое время она попадает в антивирусные базы. Таким образом, антивирус не гарантирует 100% защиты. Однако это не означает, что антивирусными программами не надо пользоваться. Достаточно не мешать антивирусу регулярно обновлять базу, и большинство угроз он не пропустит.

Проблема #2: подбор пароля




Речь идет не только о коротких паролях или паролях из одних цифр. В интернете можно найти базы популярных паролей, куда входят практически все пароли, состоящие из идущих подряд на клавиатуре (qwerty) или легко чередующихся символов (1q2w3e). То же можно сказать и о паролях, состоящих из даты рождения в любом формате, даже если она дополнена каким-либо символом или инициалами. Разумеется, наиболее распространенные словарные пароли тоже известны – их подбирают буквально по словарю. Набор русского словарного слова в латинской раскладке — тоже не гарантия неуязвимости. Такие пароли тоже легко подбираются по словарю. Не забывайте, что если вы зарегистрированы в соцсетях, то вашу дату рождения или телефон может узнать практически любой желающий. Номер автомашины и данные различных документов тоже достаточно легко «пробиваются», если речь идет о заказном взломе.

Решение: избегайте простых паролей


К выбору пароля необходимо отнестись со всей серьезностью, от него зависит степень защищенности вашего ящика. Выберите достаточно длинный пароль, состоящий из больших и маленьких букв, цифр и символов. Чем больше пароль похож на случайную последовательность, тем лучше. Но русские слова в английской раскладке — это не то, что надо.

Сейчас модно использовать вместо пароля ключевую фразу из нескольких слов. Это неплохая практика, но избегайте известных крылатых выражений. Ключевая фраза не должна быть на слуху, лучше, если она будет уникальной, а еще лучше — бессмысленной.

Рекомендуем регулярно менять пароли. Это эффективно, потому что если вы где-то уже использовали «почтовый» пароль на другом сайте (чего мы делать категорически не советуем), и у незащищенного сайта утекла база, ваш почтовый аккаунт оказывается под угрозой.

Кроме того, это затруднит подбор (брутфорс) пароля в том случае, если на ящик идет целенаправленная атака, и поможет защититься от случайных утечек пароля — например, когда пароль использовался с чужого зараженного компьютера.

Смену паролей логично проводить в связи с такими жизненными событиями как развод, увольнение, потеря телефона или записной книжки, поимка и устранение троянца.

Однако частая смена паролей может приводить к их ослаблению: пользователь либо начинает выбирать легкие пароли, либо записывает их в легкодоступном месте, либо делает следующий пароль похожим на предыдущий. Не поддавайтесь соблазну и не ленитесь при выдумывании пароля — пароль к почте должен оставаться сложным.

Почта Mail.Ru, со своей стороны, реализует защиту паролей в виде антибрутфорса — многофакторной системы, которая отсеивает попытки автоматического входа в ящик.

Проблема #3: подбор ответа на секретный вопрос




Использование ответов на секретный вопрос — не очень хорошая, с точки зрения безопасности, практика. Но часто это единственный способ восстановить доступ к ящику для пользователя, который заходит в почту очень редко и не указал о себе какой-либо реальной информации. Поэтому мы и другие бесплатные почтовые службы не отказываются от этого.

Если ваше любимое блюдо — пельмени, любимая книга — «Гарри Поттер», фамилию бабушки можно узнать из списка родственников в соцсети, а имя любимого котика подписано в верхнем посте под его фотографией, вы находитесь буквально в полушаге от того, чтобы совершить большую ошибку.

Решение: избегайте простых ответов


Все, что было сказано о паролях, касается и ответов на секретные вопросы.

Единственное отличие секретного вопроса заключается в том, что вместе с ответом, как правило, запрашивается CAPTCHA (проверочный код, который надо распознать и ввести), и есть более строгое ограничение на число попыток ввода. Это несколько затрудняет брутфорс (подбор) машинными методами. В остальном ответ на секретный вопрос равнозначен паролю, и выбирать его стоит так же тщательно.

Проблема #4: социальная инженерия, фишинг


Социальная инженерия — это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств, эксплуатирующая человеческий фактор. Одна из разновидностей социнженерии — фишинг. Типичный пример — заставить пользователя ввести пароль на чужом сайте, замаскированном под дизайн страницы авторизации, например:



Это не единственный вариант. Также достаточно часто мы сталкиваемся с социальной инженерией, направленной на то, чтобы «извлечь» из пользователя данные, необходимые для восстановления пароля или доступа к ящику. Например, паспортные данные пытаются запросить под видом получения выигрыша в лотерею. Ответ на секретный вопрос могут выпытать в обычной беседе в соцсетях («У тебя есть кот? Какой симпатяга! А как его зовут?»). Все объясняет классическая шутка с Баша:

Коннект: Слушай, мож мы родственники?
ALEXA: думаешь???
Коннект: Ну, может дальние. Какая девичья фамилия была у твоей матери?
ALEXA: *енко
Коннект: О, у тебя 8 новых писем )
ALEXA: в смысле???


Фишинг может быть направлен не только на получение доступа к учетной записи. Фишинговое письмо может сообщать о блокировке аккаунта и требовать отправки SMS на короткий номер, который, разумеется, окажется платным.



По утверждению самих фишеров, на атаки с помощью социальной инженерии клюет порядка 80% женщин и 60% мужчин.

Решение: не разговаривайте с незнакомцами


Будьте очень критичны к той информации, которую вам сообщают незнакомые люди, и еще более критичны к той информации, которую вы сообщаете им. Особенно если вас торопят.

Если нам стало известно, что ваш аккаунт взломали, он несанкционированно используется, и мы захотим вам об этом сообщить, мы не будем просить сотрудника какой-либо службы написать вам письмо. Мы сделаем примерно так:



Не переходите по ссылкам от незнакомцев, будьте внимательны к тому, от кого пришла ссылка и куда она вас привела. Не поленитесь посмотреть в адресную строку браузера, прежде чем вводить какие-либо данные. Неожиданные эффекты, такие как запрос логина/пароля при открытии письма от незнакомого отправителя, также должны насторожить.

Атаки проводятся не только на владельца ящика: сотрудники службы поддержки также постоянно находятся под прессингом. Атакующий пытается «восстановить» якобы утерянный доступ к чужому ящику. Иногда можно прочитать очень интересные и затейливые истории, достойные латиноамериканских сериалов, с описанием любовных многоугольников и детективных ситуаций, поясняющие, почему необходимо отдать автору пароль от чужого ящика.

У сотрудников поддержки есть строгие инструкции по восстановлению паролей, поэтому, если такая необходимость возникла, не старайтесь их разжалобить; лучше предоставьте как можно больше объективной информации, которая подтвердит, что именно вы являетесь владельцем ящика.

Проблема #5: взлом других сайтов


Это одна из самых серьезных проблем. Часто при регистрации на каком-либо форуме, торрент-трекеров или сайте пользователь указывает адрес электронной почты и пароль, идентичный паролю к почтовому ящику или мало отличающийся от него. Уровень защиты форумов и торрент-трекеров, как правило, невысок. Кроме того, многие из них строятся на одних и тех же популярных движках. При обнаружении какой-либо уязвимости безопасности в таком движке одновременно могут быть взломаны тысячи сайтов.

Решение: не используйте один пароль для нескольких аккаунтов


Это первое, что проверит злоумышленник. Например, при нашумевшем взломе LinkedIn пострадал ряд пользователей, использовавших тот же пароль на других сайтах. Поэтому для разных сайтов – разные пароли. Всегда. Если изобретать уникальный пароль для каждого сайта кажется вам невыполнимой миссией, придумайте отдельный хотя бы для почты — ведь она является «ключом» ко многим из ваших аккаунтов на различных сервисах.

Проблема #6: спорная ситуация вокруг аккаунта


Часто одним ящиком пользуются несколько человек. Иногда друзей просят проверить почту — например, если у самого пользователя в этот момент нет доступа к интернету.

Однако стоит помнить, что человек, который пользовался ящиком некоторое время, почти всегда может восстановить к нему доступ впоследствии. Если отношения испортятся, вокруг ящика может возникнуть спор.

Решение: не пользуйтесь чужим ящиком и никого не пускайте в свой!


По этой же причине избегайте покупать у кого-либо ящики с красивыми именами. Если возникает спор о принадлежности ящика, предпочтение отдается тому, кто его регистрировал. Именно поэтому почтовые сервисы просят регистрировать ящик на себя или на компанию, а не на родственников, не на сотрудников и не на персонажей комиксов.

Проблема #7: сниффинг


Сниффинг — это прослушивание сетевого трафика. Достаточно легко «сниффится» трафик, идущий по беспроводным сетям — как через Wi-Fi, так и через спутниковый канал. Когда вы подключаетесь к интернету по Wi-Fi, злоумышленник может через свой девайс прослушивать весь трафик, поскольку физически данные передаются посредством радиоволн.

Решение: используйте криптографию


Многие сервисы сейчас поддерживают протокол HTTPS, пользуйтесь этим. Например, авторизация и работа внутри Почты Mail.Ru всегда происходит по этому протоколу.

В почтовых программах обязательно включайте SSL/TLS при работе по протоколам SMTP, POP и IMAP. При этом в Почте Mail.Ru работа по протоколу IMAP возможна только по протоколу SSL/TLS. Обязательно реагируйте на все предупреждения о несоответствии сертификатов, особенно если пользуетесь беспроводной сетью или из незнакомого места — иначе вся криптография не имеет смысла.

Что делаем мы

Самым слабым звеном в безопасности любого массового сервиса, как правило, является пользователь. Но, разумеется, проблемы бывают и со стороны сервиса. Громкие взломы последних месяцев, когда в сеть попадали базы учетных записей крупнейших служб (вспомним тот же LinkedIn), об этом напоминают. Ни один сервис не избавлен от ошибок в программном обеспечении.

Меры, которые предпринимает почтовая служба или социальная сеть — это всегда баланс между функциональностью, комфортом и безопасностью. Можно запретить любые способы восстановления пароля: это будет безопасней, но тогда пользователь не сможет восстановить доступ к собственному ящику. Можно путем ограничений требовать очень стойких паролей — но в этом случае пользователи будут их забывать. Можно блокировать IP-адрес при первой попытке неудачного входа или восстановления пароля; это защитит от подбора паролей и секретных ответов, но абоненты провайдеров, применяющих динамические адреса или технологию NAT, не смогут войти в почту. Можно запретить все потенциально опасные HTML-теги в письмах при доступе через web-интерфейс, но это означает, что часть писем будет отображаться некорректно.

Поэтому мы используем компромиссные решения и комплексные алгоритмы, учитывающие совокупность факторов. Конечно же, мы не будем раскрывать детали реализации, поэтому и выдумали такую хитрую фразу. Все механизмы постоянно совершенствуются и это не отдельные изменения, а планомерный процесс. Например, опубликованная на Хабре статья, сравнивающая системы фильтрации HTML-тегов разных почтовых служб, на момент ее публикации уже была устаревшей — мы поменяли систему фильтрации буквально за день до выхода статьи и делали это уже неоднократно после ее выхода. Мы также проделали большую работу, чтобы HTTPS в Почте работал по умолчанию для всех пользователей.

Большое внимание мы уделяем и борьбе с автоматическим подбором паролей, реализуя и постоянно совершенствуя алгоритмы антибрутфорса.

У нас есть специальный департамент в службе поддержки, который ведет целенаправленную работу для обеспечения безопасности пользователей: ищет мошеннические и фишинговые сайты, сообщает о них хостинг-провайдерам и регистраторам доменов, информирует поисковые системы о поддельных ресурсах в результатах поиска и контекстной рекламе, борется с SMS-мошенниками, обменивается информацией с CERT-командами и антивирусными вендорами.

Разумеется, мы защищаем свою информационную систему не только снаружи, но и изнутри. Работа службы поддержки построена таким образом, что если кто-то из сотрудников захочет «помочь» восстановить доступ к чужому ящику, он ни при каких условиях не сможет этого сделать в одиночку. У нас нет «ядерного чемоданчика»: даже руководитель высокого ранга не сможет потерять ноутбук, с которого будут доступны персональные данные пользователя. Мы не держим пароли в открытом тексте, а храним их в виде соленых хэшей, из которых невозможно восстановить пароль.

Инструкция по применению на случай взлома: до и после

Подумайте о том, что вам, возможно, когда-нибудь понадобится восстановить ваш аккаунт, и потратьте немного времени на то, чтобы его обезопасить.

На данный момент самым эффективным является привязка мобильного телефона к ящику. Мы используем номера пользователей только для восстановления доступа к ящику и уведомления об изменении регистрационных данных, и не рассылаем на них рекламу ни в каком виде.

Чем быстрее вы узнаете о взломе — тем лучше. Мы отправим SMS в случае смены пароля или информации для его восстановления — это еще одна причина привязать телефон к почтовому ящику.

Если вы категорически не хотите вводить телефон, хотя бы убедитесь, что у вас в аккаунте есть актуальный секретный вопрос, и ответ на него действительно известен только вам.




Если вам стало известно о взломе — не паникуйте. Оцените возможные последствия. В первую очередь постарайтесь не допустить дальнейшего развития ситуации по негативному сценарию — такому, как взлом учетных записей, завязанных на этот ящик. При этом помните, что, пока взломщик сохраняет контроль над вашим ящиком, непродуманные действия могут причинить больше вреда, чем пользы. Например, при смене пароля в социальной сети уведомление об этом придет на взломанный ящик электронной почты, что может привести к взлому аккаунта в соцсети.

Ни в коем случае не поддавайтесь на шантаж, не шлите платных SMS (даже если написано, что они бесплатные), не переходите ни по каким ссылкам, не вступайте в переговоры со взломщиком. Любые переговоры не гарантируют восстановления доступа к ящику, и тем более не гарантируют того, что взлом не будет проведен повторно. А тот, кто заплатил один раз, может заплатить второй. Не становитесь дойной коровой для шантажиста!

Проверьте компьютер на вирусы, потому что пока он заражен вредоносной программой, нет никакого смысла восстанавливать доступ и менять пароль.

Попробуйте восстановить доступ к ящику


Если к ящику был привязан номер телефона, то, скорее всего, это не составит труда. Обычно взломщики не рискуют удалять привязанные телефоны, т.к. сообщение об этом приходит владельцу ящика. Кстати, в Почте Mail.Ru номер телефона невозможно удалить мгновенно без ввода подтверждающего кода из SMS.

Восстановить доступ можно также по секретному вопросу или на дополнительный ящик электронной почты, если они указаны.

Обратитесь в службу поддержки


Если телефон вы все-таки так и не привязали, а ответ на секретный вопрос внезапно улетучился из вашей памяти, обратитесь в службу поддержки. При обращении в службу поддержки обычно требуется заполнить анкету, которая должна подтвердить принадлежность ящика. Имейте в виду, что любая служба поддержки находится под постоянным прессингом атак социальной инженерии, поэтому вам придется доказывать, что именно вы являетесь владельцем ящика. Но вы почти наверняка восстановите доступ в течение нескольких минут, если сообщите как можно больше сведений, которые никто другой знать не может.

После бала


Как только вам удалось восстановить пароль и получить доступ к аккаунту, первым делом поменяйте регистрационную информацию, в первую очередь пароль, который пришел вам от службы поддержки. Измените секретный вопрос и ответ на него. И, наконец, привяжите телефон, если не был привязан.

И в заключение

Адрес службы поддержки Mail.Ru, конечно же, не mailru-suppr1@hogmail.com, а support@corp.mail.ru. Вряд ли мы вам с него напишем первыми, но обязательно ответим, если на него напишете вы по любым проблемам с ящиком, в том числе если необходимо восстановить к нему доступ. Хотя в таком случае лучше заполнить форму восстановления http://e.mail.ru/cgi-bin/passremind – в ней сразу запрашивается вся необходимая информация.

Если у вас есть предложения по усилению безопасности нашего сервиса в целом, отправьте об этом репорт на адрес security@corp.mail.ru — или напишите в комментариях к этому посту. Кстати, нам нужны специалисты по безопасности и антиспаму – присылайте свои резюме на hr@corp.mail.ru.

Если вы нашли фишинговый сайт, маскирующийся под любой из сервисов, присылайте нам сообщение по адресу antiphishing@corp.mail.ru, и мы постараемся принять меры.
Автор: @z3apa3a

Комментарии (68)

  • –4
    Кстати такой вопрос — длина пароля на ICQ до сих пор 8 символов?
    • +1
      Вопрос, на самом деле хороший, но не в тему поста, попрошу коллег из ICQ ответить.

      Быстрый поиск по define MAXICQPASSLEN показывает, что скорее всего да. И более того, если его просто увеличить, то как минимум Pidgin и Aim сломаются. Думаю, это отвечает на следующий вопрос.
      • 0
        Pidgin? враки — Icq поле пароля принимает более 10 символов (на учетке не проверял -нет icq).
        в jabber учетке pidgin — стоит пароль 10 символов — все ок.
        • +4
          Принимает — да, но использует первые 8. Посмотрите сорсы libpurple, которая входит в состав Pidgin, файлы protocols/oscar/oscar.h, protocols/oscar/familiy_icq.c.

          #define MAXICQPASSLEN 8

          if (passwdlen > MAXICQPASSLEN)
          passwdlen = MAXICQPASSLEN;

          Это не проблема Pidgin, это проблема протокола, которая унаследована вместе с ICQ и решить ее можно только изменив протокол (и поломав совместимость с существующими клиентами).

          Но знаете, я про ICQ могу сказать не больше любого другого человека, который может поискать сорсы в интернетах. Лучше задать вопрос по планам относительно протокола разработчикам ICQ.
          • +1
            Ясно, странно, что принимает, баг однако :)
    • –2
      Здравствуйте мне помог Игорь со страницей моего супруга и его почтой, мне посоветовала его подружка пароль и логин даже не изменился и через 10 минут уже все видела, вот его электронный адрес может и вам поможет mr.arkhiv@inbox.ru )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
  • +8
    Хороший и правильный пост, объясняющий главный вопрос «зачем крадут почту». Для IT-сообщества он, возможно, не так актуален, а вот прочитать его своим родственникам, не имеющим непосредственного отношения к IT я дам.
  • +8
    «на атаки с помощью социальной инженерии клюет порядка 80% женщин и 60% мужчин»
    Т.е. один из методов снизить вероятность попасться на фишинг — это смена пола.

    • +1
      Вик, мы упомянули только методы, которые не имеют побочных эффектов для юзера. Поэтому NoScript, првиязка сессии к IP и смена пола не вошли.
  • 0
    Хорошим вариантом было бы использование ответов на секретные вопросы, никак не коррелирующих с самими вопросами. Например, в девичью фамилию матери вписывать любимое блюдо. А еще лучше вписать туда такой же сложный пароль, как и ваш пароль. Только придется записывать. И не в текстовый файлик, а в зашифрованный архив, например.
    • 0
      да, тоже хотела про это написать. Оказывается, я изобрела велосипед :) У меня есть некий единственный нетривиальный пароль из букв и цифр, не использующийся ни в каких аккаунтах. Но во всех случаях, где требуется ввести ответ на секретный вопрос, я просто тупо выбираю первый вопрос, из списка, даже не читая его и ввожу ответом этот пароль.
      • +1
        Не самый правильный вариант, кстати. Если пароли все-таки в большинстве случаев хранят в виде хэешей, то ответы на секретные вопросы могут хранить и в открытом тексте. Если с какого-нибудь форума уведут базу эккаунтов, где будет ответ на секретный вопрос в открытом тексте, то есть возможность остаться без всех учеток сразу.

        Предвидя вопрос: мы секретные ответы перед хранением нормализуем, солим и хэшируем.
        • 0
          Я ни разу не встречала форума, где требовали ответ на секретный вопрос. Обычно на форумах пароль просто ресетят через почту.
          • 0
            Просто «форум», это может быть что угодно. Например, тикетная система поддержки любого сервиса, которым вы ежедневно пользуетесь.

            И по вашему решению — на самом деле это довольно популярно, отвечать на эти вопросы что-то своё, не имеющее отношение к вопросу. Наверное, даже популярнее дат.

            Oops. Кто тему поднял?..
  • +3
    Обязательно буду давать почитать родственникам, иначе устал объяснять, почему их постоянно ломают и как от этого защититься.
    • 0
      Я тоже на всякий случай сброшу ссылку. Но считаю что для технически не подкованных людей статья должна быть намного проще, с картинками-примерами и объяснением, максимально просто и понятно.
      • 0
        После первого объяснения на пальцах, они требуют технических подробностей, возможно, чтобы самим попробовать.
  • 0
    Мне вот интересно, а у mail.ru до сих пор работает фишка, что если нет логина в почту в течении 6 месяцев (вроде 6 было, если не ошибаюсь), то все данные об аккаунте удаляются и можно на тот же логин зарегистрировать новую почту? Был случай, что в стороннем сервисе забыл пароль, а он был зарегистрирован на почту mail.ru, так пришлось заново создавать ящик, в который очень редко заходил, чтобы восстановить пароль.
    • 0
      Нет, сейчас учетная запись продолжает храниться и восстановить доступ к ящику может только прежний хозяин.
      • +1
        Спасибо, за информацию. Из-за этой «особенности» всех отговаривал использовать mail.ru, в качестве почты, предлагая, в качестве альтернативы кого-угодно. Теперь буду держать нейтралитет.
      • 0
        Но письма вы при этом через полгода всё равно удаляете?
        Ваш почтовый ящик whatever@mail.ru заблокирован за неиспользование в течение 6 месяцев. Если в ближайшее время Вы не разблокируете ящик, то мы будем вынуждены удалить все его содержимое (письма, адреса, настройки и пр.) без возможности восстановления!
        • 0
          Через полгода блокируется прием новых писем, далее ящик может быть удален.
          • 0
            Тогда, получается, уведомление об этом дезинформирует пользователя.

            P.S. Да и что такое «ближайшее время» тоже не уточняется.
            • 0
              Почему? Все именно так, как в уведомлении. Ящик в настоящий момент заблокирован, но содержимое на месте, при восстановлении ящика письма останутся на месте. Со временем, если пользователь не войдет в ящик, будет удалено содержимое и настройки (но не сама учетная запись).

              «Ближайшее время» не уточняется, потому что реальное время удаления может варьироваться при необходимости.
              • 0
                А, ну вот, это я и хотел уточнить. Получается, что если пользователь не пользуется почтовым ящиком некоторое время (больше полугода, но сколько именно — не уточняется), то вы удаляете его содержимое. Лично мне кажется, что это неправильно, и как раз является достаточно серьёзным поводом советовать друзьям пользоваться другими сервисами, но не mail.ru. Но это лично моё мнение. :)

                P.S. А ещё вы не доставляете пользователям письма с backgrounddating.com (rDNS-запись есть, DKIM-подписи сейчас нет).
  • 0
    Помню как в коаксиальной сетке снифал пароли маил.ру которые тогда обычным текстом передавались. Год этак 2002-й кажется, студенческие забавы.
  • +3
    Безопасность говорите? Да ну!

    0) Прямо на главной странице почты(да ни на главное странице тоже) у вас раскрытие исходного кода с внутренним комментом:
    ~~~ Редактировать только руками ~~~
    — (Думать только головой) — Итак, подумаем головой:

    1) А поставим ка мы всем посещающим эту страницу людям кофейную тему в их почте, при помощи CSRF коих у вас мильон.
    Ну например с помощью этой картинки: image

    2) А потырим ка мы чужие авторизационные cookie: тыц

    Да, XSS, и да В GET параметрах предназначеных для(SIC!) защиты от CSRF.

    3) И наверное по причине большой безопасности в Flash cross-domain policy файлике(http://rs.mail.ru/crossdomain.xml) вы разрешаете красть чужую почту с любых сайтов.

    4) Или позволяете проводить http response splitting атаки например на af[1-9+].mail.ru/cgi-bin/readmsg через GET параметр «ct». Чужие куки тоже крадутся, да.

    5) Почта у вас за https, это круто. Но рекомендую почитать про secure флаг cookies. Достаточно средиректить пользователя на anything.mail.ru и мы получаем нужную авторизацию.

    Я мог бы продолжать бесконечно, но выделенные на вас полчаса к сожалению закончились.
    • 0
      Да, спасибо, проверим и поправим.

      Ошибки связанные с функционированием самой почты были, есть, и, как ни печально, в ближайшее время будут. Это понимают все разработчики софта. Да, мы отлавливаем их и стараемся менять и планировать новую архитектуру почты так, чтобы допускать их меньше. И раз Вы так внимательно за ними следите, то согласитесь, что стало лучше, чем было, например, год назад.

      В некоторых случаях мы завязаны на другие проекты, например для secure-флага требуется чтобы связанные проекты реализовали поддержку https. Проект files, например, реализовал поддержку https в конце февраля, так что да, мы об этом знаем и работаем.

      Как было сказано чуть выше, для пользователя есть способы защиты и от этих ошибок, но с определенными сайд-эффектами которые надо понимать. В частности, привязка сессии к IP адресу (есть в настройках безопасности) помогает во многих случаях защититься от воровства кук. Установка плагинов типа NotScript/NoJS во многих случах (в частности в Вашем примере) спасает от XSS.

      А если хотите продолжать, то, повторюсь, мы с удовольствием примем на работу специалистов по безопасности, присылайте резюме.
      • +3
        Не зла ради, а фана для. Ребят, я описал самые простые и довольно типичные для вас уязвимости, их сотни. Наймите уже аналитиков и организуйте у себя нормальное тестирование ИБ.
        И рекомендовать ставить NoScript для защиты от XSS — это смешно, простите :)

        Просто как proof of concept: угадайте, а кто таки надавил на ссылку в моём посте, и поставил таки себе кофейную тему, и отдал таки свои cookie, и не ставил таки себе NoScript(SIC!)?

        Правильно, это сотрудники Mail.ru! C почтовыми адресами corp.mail.ru:



        • 0
          Так а в чем фан?
          Да, XSS работает именно так.
          Да, можно найти ошибку в приложении. Я в таких случаях сообщаю разработчику приложений, чего и Вам порекомендовал бы. А вот найти, что ошибок нет, к сожалению, практически невозможно для более-менее крупного куска кода.
          NotScript/NoJS помимо отключения JS имеет функционал предотвращения XSS ошибок. Так же встроенный функционал имеют Chrome и Internet Explorer, в них Ваш пример тоже не работает. Это не гарантирует защиту, но это лучше, чем ничего и иногда спасает.
          Да, защита работает если она есть и не работает, если ее нет. Статья была посвящена именно этому.
          Да, корпоративные пользователи — это пользователи, даже если они разработчики. Поэтому и им статья тоже адресована.
          • +3
            Только сейчас умудрился посмотреть на ник: «3APA3A, Vladimir Dubrovin».
            Беру все свои слова обратно и самоустраняюсь :) grats from nerf and конкуренты.

            p.s. Не знаю что умудрился сделать mail.ru для того чтобы тебя перехантить, но в этом они молодцы, да.
            • +1
              Ну понятно что все мы где-то будем :) Domain Hell вон в ОтветыMail.ru, например :)
            • 0
              nerf? билликид, вэха, кибер?
              • +2
                Яндекс, Рамблер, Мэйл, Гугл, Бинг. Русцена умерла.
                • 0
                  WH, когда в крайний раз общался, был где-то в нефтянке айти-начальником. Кибер навык не растерял, но сейчас уже по эту сторону фронта, тоже начальник в уважаемой компании.
                  • 0
                    А вайпи, вайпи где? Я его последний раз в НСК видел, много много лет назад :( Говорят что мол тоже бизнесмен, вроде как толи бизнес отца возглавил, толи еще что.
                    • 0
                      А фиг знает. Я его крайний раз видел году в 2003-ем, на известном #.
  • 0
    У меня сложилось впечатление, что на mail.ru прошел целенаправленный отъем коротких ящиков, судя по не желанию разбираться и отпискам техподдержки — может быть там беда случается? Чисто мое мнение но как говорится осадочек…

    Последний трехбуквенный, ушел совсем не давно.
    Вы видели форму восстановления — вопросы когда был зарегистрирован ящик и прочее? А если ящику более 10-ти лет?
    Саппорт, не смотря на указание всего, чего только можно — с какого IP всегда заходили, последние письма такие-то от того-то, хотите пришлю и т.п. говорит — информации для восстановления доступа мало — и посылает.
    • 0
      Напишите в службу поддержки как можно больше всего — ранее использованные пароли, вопросы и ответы на секретные вопросы- все, что может вас идентифицировать, как владельца. На «красивые» емейлы постоянно идут атаки с целью угнать, в т.ч. через восстановление доступа, поэтому к ним служба поддержки относится параноидально. Последние заходы и письма мало чем помогают, нужна информация о действиях, которые были сделаны до утраты ящика. Напишите что ящику более 10 лет, если не помните точную дату — это тоже информация.
      • 0
        Написал третий раз)))
        Если вы говорите, что заходы мало чем помогают (год заходы с двух ip, потом резко с других), отправленная почта до смены учетных данных — то чем еще можно доказать владение ящиком.
        Тем более, я надеюсь, даты смены пароля у вас фиксируются, и можно уже наличием смены пароля и запроса на восстановления доступа + данные принимать решение.

        Тогда всем «арендаторам» почтовых ящиков на почтовых сервисах рекомендую пойти переписать все данные на них и впредь вести «журнал своих действий», ну и быть готовыми, к его потере, практически без надежд на восстановление.
        • 0
          Был опыт восстановления доступа к почте на Mail.ru лет 5 назад. (Ушёл по необходимости захода в ящик из комп. клуба института).

          Можно хоть всю жизнь им написать, всё равно будет стандартная отписка, что не дадим обратно доступ. Я писал про последние письма, какие папки и т.п. у меня там есть, чуть ли не правила настроенные.

          В итоге помог только контакт какого-то руководителя из Мэйла. Тогда они мне поверили и вернули пароль.
      • +1
        Спасибо еще раз!
        Пойду разбирать 1300 писем спама)))
  • +2
    Попытка вернуть ящик через службу поддержки Мейла — это, пожалуй, худшее, что было в моей жизни. Отвечают разные люди, но задают одни и те же вопросы и не читают историю переписки. Раз пятнадцать пришлось повторить всё-всё-всё, прежде чем у очередного суппортёра что-то зацепилось и он начал думать. Больше никогда и ни за что. Спасибо.
  • 0
    Я сижу на Gmail, и ящик у меня — самый оберегаемый ресурс. Пароль от ящика не использую больше вообще нигде, он больше 20 знаков длиной, плюс включена двухэтапная авторизация через SMS или приложение в Андроиде.
    • 0
      Вы молодец, но все это не гарантирует, что ящик навсегда останется с Вами. Например, про обход двухфакторной аутентификации в GMail писалось буквально на днях, опять же, при наличии троянской программы на Вашем компьютере доступ у атакующего есть везде, где есть доступ у Вас.
      Не достаточно чего-то одного, все уровни защиты одинаково необходимы. Для правильной организации защиты все равно необходимо допустить возможность взлома ящика.
      • 0
        Почитал пост про обход. Забавно…

        Но, во-первых, это косяк Гугла и мы, простые смертные, вряд ли сможем что-то сделать превентивно — только найти дырку по факту и написать в Гугл, как исследователи и сделали. Остаётся надеяться, что после этого случая в компании будут получше следить за разработкой. Во-вторых, баг ведь уже закрыли! Хотя в комментах там была здравая идея для Гугла — заставить юзера указывать, для каких целей будет применяться пароль приложения. Если ещё и это введут — будет очень здорово.

        А внедрить троян в комп мало — придётся внедрить его ещё и в мой телефон, разве нет?
        • 0
          Во-первых, это одна из причин, почему нужно быть готовым к любой ситуации — в любом сервисе могут быть и внутренние проблемы, никто не избавлен от ошибок.

          Во-вторых, доступа по POP3/IMAP вполне достаточно, чтобы получить содержимое писем. Двухфакторная авторизация защитит от угона ящика, но не защитит от доступа к письмам.

          В-третьих, троянец не обязательно будет «тырить» пароли от почты, он может, например, встать как плагин к браузеру и тырить содержимое получаемых писем. А все необходимые пароли при этом Вы будете вводить сами.
          • 0
            Всё верно. Даже не знаю, что ответить… Разве что «как страшно жить» :(
            Кстати, у Гугла нигде нельзя посмотреть лог IP-адресов, с которых логинились? Так хотя бы можно было заметить левый вход по паролям приложений, поскольку домашний и рабочий IP я знаю (они статические) и тут же отозвать пароль.
            • +1
              В правом нижнем углу под надписью «Последние действия в аккаунте» ссылка «Дополнительная информация». Коли речь идет про гугл. И смотрите себе спокойно. А еще включите информирование о подозрительной активности.
              • 0
                Спасибо большое, держите плюс :)
                Информирование включил, только не совсем понимаю, что считается подозрительным, а что нет. Настройка негибкая. Был бы какой-нибудь белый список IP, допустим…
            • 0
              Ну жить в физическом мире гораздо страшнее, при этом совершенно не обязательно драматизировать или жить в страхе. Определенные риски можно просто допустить (гуляя с 1000 рублей в кошельке Вы не очень задумываетесь о краже — соответственно, если в почте нет важной информации, то можно и не беспокоиться, но для этого надо заблаговременно эту информацию оценить. Но кошелек при этом все равно лучше держать подальше), определенных рисков можно не допускать (вы не гуляете с миллионом долларов — так не храните информацию на миллион долларов в электронной почте, да и вообще ее на компьютере не храните). В определенных ситуациях надо просто знать что делать — как подключить уведомления об операциях по банковскому счету и что делать если пошли чужие списания, куда обращаться в случае утраты паспорта, что делать если украли кредитки — так же можно провести аналогии.
  • 0
    Отличный совет привязать телефон. Пошел дальше и включил двухфакторную авторизацию много лет назад. Договор на мобильный номер расторгнут. Новый мобильный номер привязан к ящику, но перевести на него авторизацию невозможно — система требует СМС со старого номера. Отключить невозможно по той же причине! Кто виноват и что делать?
    • 0
      Воспользуйтесь ссылкой https://e.mail.ru/password/restore/ — восстановление доступа к ящикам со включенной двухфакторной аутентификацией делается через запрос в службу поддержки. Если у вас имеется активный доступ к ящику, это не будет сложным.
      • 0
        Но там спрашивают такие вещи типа пароля при первой регистрации, кучу каких то сведений левых, которые нифига не просто вспомнить. Спасибо за совет, но что-то это совсем не та форма, а нормальной формы для обратной связи нет.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное