12:14
25/10/2011

Dziś na jedynce GW bardzo ciekawy artykuł. Maciej Ostaszewski i Tomasz Grynkiewicz opisują w nim, jak inspirowani badaniem, które opisywaliśmy we wrześniu, zarejestrowali kilka domen łudząco podobnych do rządowych. Efekt: 40 przejętych e-maili…

Służby w kropce

Dziennikarze Gazety zarejestrowali kilka domen podobnych do oryginalnych domen polskich instytucji rządowych, np. abwgov.pl (imitujące abw.gov.pl). Jeśli ktoś wysyłał e-maila i zapomniał o kropce przed “gov”, poczta wpadała na serwery dziennikarzy.

Prywatne zdjęcia

Prywatne zdjęcia z pomyłką w adresie, fot. Gazeta.pl

Od 16-tego września do dziś, w skrzynkach wylądowało 40 e-maili, w tym m.in. szkic umowy ABW, życiorys oraz nazwiska agentów CBA, a także korespondencja kierowana przez obywateli do urzędów. Przy czym cieżko powiedzieć ile z wiadomości jest wynikiem pomyłki urzędnika państwowego, a ile to pomyłka obywatela chcącego się skontaktować z urzędem. W artykule jasno ukazano tylko 1 pomyłkę po stronie urzędnika — był nim pracownik ABW. Kilka screenshotów z e-maili jakie otrzymali Grynkiewicz i Ostaszewski znajdziecie tutaj.

Cybersquatting i Typosquatting

Rejestracja domen podobnych do oryginalnych nosi nazwę cybersquattingu / typosquattingu. W lutym tego roku pisaliśmy o tym, jak ktoś wyprzedził ministra i przejął domeny obozów koncentracyjnych, z kolei rok temu analizie poddaliśmy najpopularniejsze polskie domeny i ich “sprytne” podróbki, np. wwwallegro.pl zamiast www.allegro.pl.

Z kolei samo zjawisko “przejmowania” poczty w Polsce pewnie nieźle możnaby zobrazować na podstawie domeny gmail.pl, która przez długi czas należała do kółka literatów — założę się, że ich serwery pocztowe odbijały dziesiątki e-maili dziennie ;)

Jak walczyć z tym problemem?

Należałoby się zastanowić, czy w ogóle typosquatting polskich domen rządowych należy rozpatrywać w kategorii zagrożenia informatycznego? Korespondencja e-mailowa urzędników jest przecież z definicji “jawna” — nic niejawnego nie powinno być wysyłane zwykłym e-mailem (tak mówi polskie prawo i tak twierdzi ABW, co nie zmienia faktu, że za pomocą e-maila w Polsce można dostać ciekawą pracę…). Niestety, za przestrzeganie powyższej reguły, jak i weryfikację poprawniości adresu odbiorcy odpowiada człowiek. A człowiek popełnia błędy… I to nie tylko literówki w adresie, ale również błędy złej oceny tego co powinno, a co nie powinno być przesyłane przez urzędowe skrzynki (i to jest większy problem).

Z problemem wycieku informacji przez e-maila można poradzić sobie poprzez szyfrowanie korespondencji (np. przez PGP/GPG) — ale spróbujcie wytłumaczyć przysłowiowej pani Halince różnicę pomiędzy kluczami prywatnym i publicznym i nauczyć podpisywania/szyfrowania w kwadrans…

No właśnie, podpisywanie poczty. Bardzo jestem ciekawy, jakie rezulaty osiągnęliby dziennikarze Wyborczej, gdyby ze swoich typosquatterskich domen wysłali różnego rodzaju zapytania/polecenia służobowe do innych pracowników poszczególnych agencji i ministerstw? (por. e-mailowa afera Kempy). Wojewódzki wraz z Figurskim codziennie rano pokazują, że wystarczy “anonimowy” telefon, żeby nieźle zamieszać w ministerstwach i urzędach… Patrząc na nieustających w swoich staraniach phisherów, korzystających z podobnych sztuczek w swoich atakach, obstawiam, że efekty byłyby bardzo interesujące…

Bo problemem jest człowiek

Człowiek czasem zaspany, czasem nie przykładający się do swojej pracy i prawie na pewno omylny. Jak zapewnić bezpieczeństwo swojej firmie i chronić ją przed zagrożeniami ze strony pracowników i ich zaniedbań/pomyłek? Jutro będę o tym mówił na konferencji SECURE 2011, gdzie zademonstruję ataki informatyczne wykorzystujące ludzkie słabości.

Ataki te, mimo że wycelowane w człowieka, pozwalają w konsekwencji na przejęcie kontroli nad siecią komputerową firmy, w której pracuje ofiara — coraz częściej wykorzystujemy je podczas testów penetracyjnych …i niestety, z coraz większym powodzeniem. Dlatego warto, oprócz przykładania uwagi do kropek w nazwach domen, przypomnieć sobie czym jest socjotechnika, zwłaszcza w ujęciu informatycznym.

Przeczytaj także:

44 komentarzy

Dodaj komentarz
  1. A nawet nie wiedziałem, że gmail.pl nie należy już do Grupy Młodych Artystów i Literatów – swoją drogą ładnie to sobie wymyślili przez co jako jedni z nielicznych na świecie nie mamy krajowej domeny Gmaila. Dziwne, że się pozbyli tej domeny – Google pewnie dałoby parę groszy. Ciekawe czy czasem właśnie dostawca hostingu nie wypowiedział umowy :)

    • Gmail.pl należy już jakiś czas do Google:
      “TECHNICAL CONTACT:
      company: DNS Admin
      Google Inc.
      street: 1600 Amphitheatre Parkway
      city: 94043 Mountain View
      location: US
      phone: +1.6503300100
      fax: +1.6506188571
      last modified: 2010.02.24”

    • Parę lat wstecz było o tym głośno w sieci. Pozwy, oskarżenia, walka o własność. Jeżeli jesteś zainteresowany tematem to polecam przeszukać Googla : )

    • @Bartek A widzisz, tego mi się nie chciało sprawdzać :P Ciekaw jestem dlaczego nie podepną tej domeny do usług. Chociaż z drugiej strony już się przyzwyczaiłem do posiadania gmail.com w mailu – to takie światowe ;)
      @darko Takich spraw było sporo chociażby sławna z microsoft.pl notabene przegrana przez jej polskiego właściciela.

    • Chyba jednak nie wiesz większej ilości rzeczy. Poszukaj historii domeny gmail.de – pierwszy lepszy przykład naszych sąsiadów.
      Poza tym dostawca hostingu to sobie może co najwyżej czekać na nakaz od odpowiednich organów. A że wszystko było zgodnie z prawem – organy nie miały nic do powiedzenia.

  2. Co ciekawe, co najmniej jeden mail z informacjami niejawnymi (wg artykułu zawierał nazwiska kilkudziesięciu agentów CBA) był wysłany serwera darmówek wp.pl.

  3. Najlepszy mail to ten z przepisem na “razowy chleb dyniowo-bananowy” :]

    • Niech pierwszy rzuci kamieniem ten, ktory nigdy z firmowego adresu nie zalatwial zadnej sprawy prywatnej ;)

    • Ale gdzie reszta przepisu, ja się pytam?

    • Rzucam kamieniem : ))
      Zawsze korzystam z prywatnego adresu : )) Firmowy jak już mam jest tylko aliasem do prywatnego w którym mam katalog z mailami firmowymi i odpowiedni filtr : ))

    • Oj, to kiepska polityka bezpieczeństwa w firmie ;) chyba ze jestes freelancerem.

    • @Piotr, ja nie używałem nigdy firmowej poczty do prywatnych celów. Ale też teraz z mejlami w komórce to znacznie prostsze niż, dajmy na to, 10 lat temu.

  4. Mały błąd:
    “polecenia służobowe”

  5. Tam gdzie liczy się bezpieczeństwo muszą być tylko dedykowane rozwiązania, tak żeby pani Halinka nie musiała się uczyć o kluczach.
    Koszt byłby duży, ale i tak na urzędy marnuje się tyle kasy, że wielkiej różnicy by to nie robiło.

    • A dlaczego mieliby się bać? Chyba nie jest prawnie zakazane rejestrowanie danej domeny bo jeżeliby było to rejestratorzy tejże również mogliby się obawiać. Jeżeli ktoś chciałby w tym przypadku pajacować to musiałby przed sądem dowieść złych intencji dziennikarzy GW.

    • @kosmosik: Co Ty tak chojraczysz? A zagrożenie dla bezpieczeństwa i obronności kraju przywoływane choćby w przypadku przedsiębiorcy wykrecnumer.pl?! A np. otrzymywanie wiadomości dla nich nieprzeznaczonych z uśude? Na kogo innego ABW już by wymyśliło §, ale tutaj być może cieszą się z walorów edukacyjnych dla wider society na temat typosquattingu, a być może boją się cyklu kontrnarracji Michnika, jak to Służby zagrażają wolności słowa.

    • i tak media opiszą ich jako hakerów, którzy włamali się na rządowe strony i postawią pytania : jak to tak może być, że na rządowe strony tak łatwo się włamać Po wczorajszej audycji radiowej o hakerze który napisał program, który włamał się do google i spowodował, że na brzydkie hasło wyskakiwała strona ś.p. prezydenta Polski nie wierzę w edukację społeczeństwa. Nie przez dziennikarzy, których informatyka na studiach kończyła się na powerpoincie, a zaliczenie na 3 to dla nich sukces.

  6. Gazeta Wybiórcza musi mieć dobre kontakty z ABW, że się nie boi pisać, żę rejestrowała domenę abwgov.pl

  7. Gdyby zrobił tak przeciętny Kowalski, już dawno by siedział. No ale dziennikarzom wszystko wolno. Następnym razem, gdy zostanę przyłapany na przechodzeniu w miejscu niedozwolonym powiem, że jestem dziennikarzem i przeprowadzam badania dot. częstości zatrzymywania przez policję za takie właśnie przechodzenie.

    • Ale wiecie, że wywalanie wszelakich apostrofów i cudzysłowów z komentarza to już drobna paranoja?

      /facepalm

    • Pewnie był jakiś 0day na apostrof injection :P
      Ale tak poważnie to faktycznie jest problem bo nie można napisać nic z przymrużeniem oka nie używając emotek.

  8. Strach pomyslec jakie efekty bylyby gdybysmy dolozyli do tego spoofing i aktywne mailowanie.

  9. Bo jest prosty sposób na ten problem: istotne dokumenty przekazuje się z pomocą systemu zarządzania dokumentami a nie emailem… nawet prosty system tego typu nie pozwala niczego wysłać niechcący gdzie indziej…

    • A istnieje *prosty* (nie złożony w warstwach chociażby zarządzania dostępem) system typu DMS/CMS? Jaki to?

  10. to wcale nie musi być DMS za milion, ja uzywam opensource który instalowałem i konfigurowąłem kilka godzin… służy własnie do wymiany plików z partnerami

  11. dodam jeszcze, że wartość inwestycji w to coś (nie koniecznie DMS) powinna być adekwatna do ryzyka, więc jeśli ktoś codziennie ryzykuje setki tysięcy złotych jedną literówką w mailu i zastanawia się czy wydać np. kilkadziesiąt tysięcy by pozbyć się lub zminimalizować ryzyko to raczej ma problem pozainformatyczny…

    • Jarku ale taka niestety jest mentalność, że szuka się oszczędności w tym na czym się nie zna. Takiemu prezesowi jest wszystko jedno bo wydrukowane maile przynosi mu pani sekretarka. Ale jak już ta pani sekretarka się pierdzielnie i wyśle kontrakt warty miliony do konkurencji to wtedy jest złość i pytanie jak to się mogło stać.
      Z innej strony patrząc to często ludzie (przedsiębiorcy) nie doceniają inwestycji w e-tematy bo “to wszystko tyle kosztuje”. Przykład: strona www 1000 zł + hosting 300 zł + domena 123 zł = “*Panie tysiącpincet za jakąś stronę? A na cholerę mnie to? Ja mam emajla w onecie (firma.budowlana23545@onet.eu*). Panie europejski adres i to za darmo. A stronę to mi też założyli na zumi mam i na pkt jeszcze. Wszystko za darmo a pan chcesz tu półtora tysiąca*” (*adres mailowy zmyślony)

    • Się mnie klikło “Dodaj” a nie dokończyłem.
      W każdym razie firma miesięcznie ma obrót 50-100 tys. zł ale wydać na porządny marketing i wizerunek to już ciężko.

    • houek, w fimie o *obrocie* rzędu 50-100 tys. PLN miesięcznie też byś każdą złotówkę trzy razy obejrzał przed wydaniem. Chyba że to firma jednoosobowa.

    • Moją rolą jest wykonać analizę, pokazać źródło problemu i wskazać możliwe scenariusze rozwoju z ich ryzykami. Nie ja zarządzam analizowanymi firmami, moim obowiązkiem jako eksperta, jest powiedzieć klientowi, że jazda bez skasowanego biletu kosztuje 100zł a ryzyko wpadki to raz na sto razy. To czy będzie on kasował te bilety na pewno nie jest moim problemem… Ze swojej strony mogę tylko powiedzieć, że poziom wielu rodzimych menedżerów jest raczej buraczany… ale to ich problem nie mój, mamy wolny rynek…

  12. //edit
    Po szybkim teście oznajmiam, że domena gmail.pl DZIAŁA JAK NATURA CHCIAŁA! Czyli wysyłka na adres@gmail.pl trafia na konto adres@gmail.com – no jak chcą to potrafią :P

    • Szkoda, że @yahoo.pl / @yahoo.com nie są tak wymienne, jak te gmailowe… maile @yahoo.com nie dochodzą na @yahoo.pl i vice versa :/

  13. a nie zalatwiloby sprawy jakakolwiek usluga szyfrowania poczty na bramce ? nawet jako IBE a nie PKI ?

    • Na jakiej bramce, skoro część tych maili przyszła z darmówek typu wp.pl czy tlen.pl?

  14. a co ma szyfrowanie poczty do błędnego jej adresowania? Jak już wspomniano posługiwanie się kluczem publicznym i prywatnym oraz szyfrowanie zamiast podpisywania to problem organizacyjny w zasadzie nie do przejścia… pomijam, że rozwiązanie wyjątkowo mało ergonomiczne…

    • to ma do siebie, że przynajmniej nie wyślesz do nieznajomego jakiegoś ważnego dokumentu, tylko niezrozumiały dla niej/niego ciąg bitów zaszyfrowanego komunikatu

    • ok, ale jeśli cudzy serwer nie zwraca błędów to nawet nie dowiesz się że wysłałeś w złe miejsce… celem jest skuteczna komunikacja a nie nieodczytywalna dla nieuprawnionych – to nie to samo

  15. Ad vocem tej całej dyskusji (i artykułu) o świadomości i nieświadomości ludzi o zagrożeniach płynących z ignorancji choćby związanych z nierezerwowaniem sobie podobnych e-maili warto poczytać świeży artykuł w Polityce z prof. Lawrence’em Lessigiem ( http://www.polityka.pl/rynek/ekonomia/1520618,1,piraci-blogerzy-i-e-11-wrzesnia—prof-lessig-dla-polityki.read ) o przyszłości internetu oraz zagrożeniach związanych z szukaniem pretekstu do ograniczenia wolności w internecie. Kupowanie adresów e-mail może być w przyszłości jednym z małych kamyczków wykorzystanych kiedyś prze kogoś… Nagle za kilka lat usłyszymy, że zdarzenie z tymi mailami było jednak straszne (dzisiaj ABW ma inną opinię) i jest to jeden z argumentów za cenzurą…

  16. Polecam http://www.yotube.com :D

  17. Bardzo ciekawy głos w kwestii praw autorskich, ważne jest to -Ustalmy to raz na zawsze. Jesteśmy przeciwni piractwu, czyli ściąganiu z sieci muzyki oraz filmów bez płacenia ich twórcom, o ile oni tej opłaty się domagają. Natomiast uważamy, że prawo autorskie wymaga zasadniczej zmiany w tych częściach, które dotyczą prywatnego, niekomercyjnego, hobbystycznego użytkowania utworów. Więcej pod adresem http://www.polityka.pl/rynek/ekonomia/1520618,1,piraci-blogerzy-i-e-11-wrzesnia—prof-lessig-dla-polityki.read#ixzz1bxBkQjib

    Moim zdaniem w prawie autorskim złe jest zawłaszczania go przez korporacje (to one wywalczyły 70 lat na ochronę a nie twórcy…).

    Wracając do internetu i e-poczty: nadal uważam, że problemem jest dopuszczalna nadal anonimowość. Gdyby istniał obowiązek np. publikowania nazwy właściciela na pierwszej stronie np. strony http://www.mfgov.pl zapewne działaby rzymskie (Seneka): czego nie zabrania prawo zabrania wstyd.

  18. Hmm, piszecie, że szyfrowanie może rozwiązać problem. Ja z kolei zastanowiłem się, czy są inne wyjścia, które problem mogą zminimalizować. Podlinkuję do swojego bloga: http://viv.vot.pl/238/uwazaj-do-kogo-mailujesz

  19. Gazeta Wyborcza reklamuje ten artykuł na money.pl overlayem w prawym dolnym narożniku – może to po prostu kryptoakcja promująca istotność pracy ABW?

  20. […] Ponieważ ze względu na podpisane umowy NDA nie możemy się podzielić konkretnymi sytuacjami u naszych klientów, odwołam się do publicznie znanych przypadków — por. fałszywy e-mail załatwił mu pracę w TVP, czy też podrobili e-maila posłanki lub o sposobie na czytanie rządowych e-maili. […]

  21. Ciekawy artykuł. Dzięki za informacje na temat domen, które podszywają się pod inne znane i konieczność zwracania uwagi na detale. Mając większą świadomość na temat takich zagrożeń, również laicy (jak ja :)) w dziedzinie komputerów mogą być bezpieczniejsi w sieci.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: