Подделка электронной почты была у нас с самого начала Интернета, но новые системы безопасности значительно усложняют ее.
Определение спуфинга электронной почты
Подмена электронной почты - это подделка электронной почты, поэтому похоже, что она пришла от кого-то, а не от кого-то. Осенью 1993 года, когда я учился на втором курсе Северо-Западного университета, я научился подделывать электронную почту. Старшеклассник в моем общежитии показал мне. В то время мы читали нашу электронную почту, подключаясь к мэйнфрейму кампуса по telnet, а затем используя вяз, предшественник Mutt.
«Послушайте, - сказал он, - вы просто измените заголовок «От» на то, что вам нравится. Не - не - никогда не делайте этого по-настоящему, иначе у нас обоих будут проблемы». Я никогда не делал.
В течение нескольких десятилетий подмена электронной почты была такой простой задачей, и только в последние годы меры безопасности для решения этой проблемы были приняты с опозданием. Такие клуджи, как SPF, DKIM и DMARC, делают спуфинг электронной почты более сложным, чем раньше, но эти пластыри не применяются повсеместно, и для мошенников, спамеров и фишеров остаются обходные пути.
Хуже того, попытка перенести безопасность на электронную почту сбивает с толку некоторых из самых умных специалистов по безопасности нашего поколения, большинство из которых предпочли бы выбросить электронную почту и начать все с нуля. Электронная почта изначально небезопасна, потому что все пользователи электронной почты в начале 1970-х были либо академическими исследователями, либо военными, и поэтому считались заслуживающими доверия. Поскольку электронная почта так глубоко укоренилась в нашей жизни, попытки искоренить ее и заменить ее чем-то безопасным по своей конструкции - это крушение ветряных мельниц.
Подделка в киберпространстве намного проще. Подделать собственноручные подписи сложно. Опытные преступники предлагали (и продолжают предлагать) эту услугу, но входной барьер высок, как и риск быть пойманным. Рукописное письмо или даже машинописное письмо с узнаваемой вами подписью - сильный сигнал о том, что отправленное сообщение является подлинным.
Такой уровень доверия не переходит в цифровую сферу, но наш мозг еще не догнал его. Электронное письмо с надежного адреса электронной почты получает тот же уровень доверия в нашем мозгу, что и рукописное письмо от любимого человека, но без подтверждения этого доверия.
Кто хочет подорвать ваше доверие? Так много людей.
Кто подделывает электронную почту?
"Я, твой генеральный директор, настоящим прошу тебя передать мизерную сумму в 14 миллионов долларов нашему новому поставщику вещиц, чумакаллитов и штуковин. В качестве феодального жеста доброй воли я дал кровную присягу перед тем, как Небесный Змей съест вон там. огненная сфера. Пожалуйста, мой добрый вычислитель чисел, сделай так".
Я шучу, но поддельные электронные письма, подобные этому, засоряют кладбище доброжелательных карьеристов компании, пытающихся угодить своему боссу. Правдоподобное электронное письмо от вашего генерального директора, в котором говорится о переводе денег на международном уровне: для многих отделов кредиторской задолженности это не только ежедневное, но, возможно, ежечасное событие.
Как, черт возьми, может мир бизнеса продолжать вращаться, если ничему в вашем почтовом ящике нельзя доверять? Что ж, мы над этим работаем.
Как остановить спуфинг электронной почты: SPF, DKIM и DMARC
SPF (Sender Policy Framework) был первой зарождающейся попыткой прикрыть зияющую рану самым маленьким пластырем, который они продают. Вы знаете, эти крохотные крошечные, размером примерно дюйм в длину и четверть дюйма в ширину? Это SPF.
Впервые предложенный в 2004 году, SPF не превратился в запрос на комментарии (RFC) до 2014 года. SPF работает, позволяя администратору домена публиковать IP-адреса, которым разрешено отправлять электронную почту для этого домена, что позволяет принимающему почтовому серверу проверять DNS перед тем, как принять или отклонить любое данное электронное письмо.
Этого крохотного пластыря оказалось недостаточно, поэтому был применен немного более толстый кусок марли: DKIM (DomainKeys Identified Mail), который криптографически подписывает исходящую электронную почту на сервере. Владельцы доменов публикуют открытый ключ в своей службе доменных имен (DNS), позволяя принимающим почтовым серверам искать и криптографически проверять подписи DKIM. DKIM не стал стандартом до 2011 года.
Что произойдет, если входящее электронное письмо не пройдет проверку SPF и DKIM или оба они не пройдут? Пожмите плечами смайлики здесь. Войдите в DMARC (Domain-based Message Authentication, Reporting and Conformance), хакерский кладезь гигантского пластыря, который в основном выполняет свою работу, но этот гигантский топор по-прежнему выглядит довольно коряво. DMARC на самом деле ничего не исправляет, но поднимает на ноги ходячих раненых воинов электронной почты.
DMARC позволяет владельцу домена публиковать в своем DNS то, что он хочет получить с поддельной электронной почтой, и, что особенно важно, создает механизм отчетности для получения почтовых серверов, чтобы сообщить владельцам домена, когда они получают поддельную электронную почту. Типичное развертывание DMARC начинается только с отчета («p = none»), затем запрашивает, что поддельное письмо помечается как спам («p = quarantine»), и, наконец, объявляет всему миру, что поддельное письмо должно быть возвращено обратно в адрес отправителя. лицо ("p = отклонить").
Как подделать электронную почту
Несмотря на всю эту добросовестную работу по защите электронной почты - а это, надо отметить, значительно снизило количество подделок электронной почты - у умных злоумышленников по-прежнему есть много технических лазеек, которые нужно использовать.
Не удается подделать электронное письмо от [email protected], потому что в AcmeCorp.com DMARC установлен на «p = reject»? Вместо этого подделайте электронное письмо от AcneCorp.com. Домен не обязательно должен существовать. Если да, применяется ли DMARC к этому припаркованному домену? Возможно, нет.
Или, черт возьми, просто создайте одноразовую учетную запись Gmail, [email protected]. Беспечный читатель или кто-то спешащий могут не подумать дважды.
Это предполагает повсеместное внедрение - а также правильную настройку и развертывание - SPF, DKIM и DMARC, что далеко от реальности, в которой мы живем сегодня.
Спуфинг электронной почты тривиально прост, а технические навыки, необходимые для участия в такого рода атаках, чрезвычайно низки и потенциально чрезвычайно прибыльны. Пока мы не выясним, как выбросить всю стопку электронных писем в мусор, поджечь и заменить ее чем-то безопасным по замыслу, мы будем тратить огромное количество времени и денег на защиту наших предприятий, наших правительств и наших общество от этой разочаровывающей слабости.
Определение спуфинга электронной почты
Подмена электронной почты - это подделка электронной почты, поэтому похоже, что она пришла от кого-то, а не от кого-то. Осенью 1993 года, когда я учился на втором курсе Северо-Западного университета, я научился подделывать электронную почту. Старшеклассник в моем общежитии показал мне. В то время мы читали нашу электронную почту, подключаясь к мэйнфрейму кампуса по telnet, а затем используя вяз, предшественник Mutt.
«Послушайте, - сказал он, - вы просто измените заголовок «От» на то, что вам нравится. Не - не - никогда не делайте этого по-настоящему, иначе у нас обоих будут проблемы». Я никогда не делал.
В течение нескольких десятилетий подмена электронной почты была такой простой задачей, и только в последние годы меры безопасности для решения этой проблемы были приняты с опозданием. Такие клуджи, как SPF, DKIM и DMARC, делают спуфинг электронной почты более сложным, чем раньше, но эти пластыри не применяются повсеместно, и для мошенников, спамеров и фишеров остаются обходные пути.
Хуже того, попытка перенести безопасность на электронную почту сбивает с толку некоторых из самых умных специалистов по безопасности нашего поколения, большинство из которых предпочли бы выбросить электронную почту и начать все с нуля. Электронная почта изначально небезопасна, потому что все пользователи электронной почты в начале 1970-х были либо академическими исследователями, либо военными, и поэтому считались заслуживающими доверия. Поскольку электронная почта так глубоко укоренилась в нашей жизни, попытки искоренить ее и заменить ее чем-то безопасным по своей конструкции - это крушение ветряных мельниц.
Подделка в киберпространстве намного проще. Подделать собственноручные подписи сложно. Опытные преступники предлагали (и продолжают предлагать) эту услугу, но входной барьер высок, как и риск быть пойманным. Рукописное письмо или даже машинописное письмо с узнаваемой вами подписью - сильный сигнал о том, что отправленное сообщение является подлинным.
Такой уровень доверия не переходит в цифровую сферу, но наш мозг еще не догнал его. Электронное письмо с надежного адреса электронной почты получает тот же уровень доверия в нашем мозгу, что и рукописное письмо от любимого человека, но без подтверждения этого доверия.
Кто хочет подорвать ваше доверие? Так много людей.
Кто подделывает электронную почту?
"Я, твой генеральный директор, настоящим прошу тебя передать мизерную сумму в 14 миллионов долларов нашему новому поставщику вещиц, чумакаллитов и штуковин. В качестве феодального жеста доброй воли я дал кровную присягу перед тем, как Небесный Змей съест вон там. огненная сфера. Пожалуйста, мой добрый вычислитель чисел, сделай так".
Я шучу, но поддельные электронные письма, подобные этому, засоряют кладбище доброжелательных карьеристов компании, пытающихся угодить своему боссу. Правдоподобное электронное письмо от вашего генерального директора, в котором говорится о переводе денег на международном уровне: для многих отделов кредиторской задолженности это не только ежедневное, но, возможно, ежечасное событие.
Как, черт возьми, может мир бизнеса продолжать вращаться, если ничему в вашем почтовом ящике нельзя доверять? Что ж, мы над этим работаем.
Как остановить спуфинг электронной почты: SPF, DKIM и DMARC
SPF (Sender Policy Framework) был первой зарождающейся попыткой прикрыть зияющую рану самым маленьким пластырем, который они продают. Вы знаете, эти крохотные крошечные, размером примерно дюйм в длину и четверть дюйма в ширину? Это SPF.
Впервые предложенный в 2004 году, SPF не превратился в запрос на комментарии (RFC) до 2014 года. SPF работает, позволяя администратору домена публиковать IP-адреса, которым разрешено отправлять электронную почту для этого домена, что позволяет принимающему почтовому серверу проверять DNS перед тем, как принять или отклонить любое данное электронное письмо.
Этого крохотного пластыря оказалось недостаточно, поэтому был применен немного более толстый кусок марли: DKIM (DomainKeys Identified Mail), который криптографически подписывает исходящую электронную почту на сервере. Владельцы доменов публикуют открытый ключ в своей службе доменных имен (DNS), позволяя принимающим почтовым серверам искать и криптографически проверять подписи DKIM. DKIM не стал стандартом до 2011 года.
Что произойдет, если входящее электронное письмо не пройдет проверку SPF и DKIM или оба они не пройдут? Пожмите плечами смайлики здесь. Войдите в DMARC (Domain-based Message Authentication, Reporting and Conformance), хакерский кладезь гигантского пластыря, который в основном выполняет свою работу, но этот гигантский топор по-прежнему выглядит довольно коряво. DMARC на самом деле ничего не исправляет, но поднимает на ноги ходячих раненых воинов электронной почты.
DMARC позволяет владельцу домена публиковать в своем DNS то, что он хочет получить с поддельной электронной почтой, и, что особенно важно, создает механизм отчетности для получения почтовых серверов, чтобы сообщить владельцам домена, когда они получают поддельную электронную почту. Типичное развертывание DMARC начинается только с отчета («p = none»), затем запрашивает, что поддельное письмо помечается как спам («p = quarantine»), и, наконец, объявляет всему миру, что поддельное письмо должно быть возвращено обратно в адрес отправителя. лицо ("p = отклонить").
Как подделать электронную почту
Несмотря на всю эту добросовестную работу по защите электронной почты - а это, надо отметить, значительно снизило количество подделок электронной почты - у умных злоумышленников по-прежнему есть много технических лазеек, которые нужно использовать.
Не удается подделать электронное письмо от [email protected], потому что в AcmeCorp.com DMARC установлен на «p = reject»? Вместо этого подделайте электронное письмо от AcneCorp.com. Домен не обязательно должен существовать. Если да, применяется ли DMARC к этому припаркованному домену? Возможно, нет.
Или, черт возьми, просто создайте одноразовую учетную запись Gmail, [email protected]. Беспечный читатель или кто-то спешащий могут не подумать дважды.
Это предполагает повсеместное внедрение - а также правильную настройку и развертывание - SPF, DKIM и DMARC, что далеко от реальности, в которой мы живем сегодня.
Спуфинг электронной почты тривиально прост, а технические навыки, необходимые для участия в такого рода атаках, чрезвычайно низки и потенциально чрезвычайно прибыльны. Пока мы не выясним, как выбросить всю стопку электронных писем в мусор, поджечь и заменить ее чем-то безопасным по замыслу, мы будем тратить огромное количество времени и денег на защиту наших предприятий, наших правительств и наших общество от этой разочаровывающей слабости.
