Подделка электронной почты. Как защититься от обмана
Михаил Золотарев
🕛 25.03.2008, 16:24
В последние годы электронная почта превратилась из просто одного из способов связи в критически важный бизнес-инструмент. Если вам нужно быстро разослать важную информацию в филиалы или деловым партнерам, то решение очевидно - электронная почта. Но можно ли при этом доверять получаемой информации, учитывая то, что именно электронная почта является главным источником вирусной опасности?Блажен, кто верует
В современном Интернете, где вирусов больше, чем полезных программ, а хакеры - «жители», на которых уже давно никто не обращает особого внимания, опасения по поводу достоверности получаемой информации вполне обоснованы.
Но если для подмены содержимого вашего веб-сайта, необходимо произвести некоторые более-менее сложные операции (взлом «движка», манипуляции с системой доменных имен), то для подмены содержимого почтовых сообщений достаточно иметь компьютер, подключенный к Интернету, и две минуты свободного времени. То есть, написать кому-то «юморное» письмо от вашего имени может любой «просвещенный» тинэйджер. В свое время, на Западе популярной шуткой была отправка праздничных поздравлений с официального «электронного» адреса Президента США.
Системы электронной почты и стандарт передачи сообщений по них, созданные в 1982 году, изначально разрабатывались без учета необходимости защиты почтовых ящиков от нежелательной корреспонденции. Эти стандарты с незначительными дополнениями дожили до сегодняшних дней. Но вся «фишка» в том, что 25 лет назад хакерами называли специалистов экстра-класса, а не компьютерных жуликов и террористов. В те светлые годы, когда все было «игрушечным» и безопасным, а вершиной «злобности» ранних компьютерных вирусов были причудливые видеоэффекты на экране монитора, о защите от злоупотреблений никто особо не беспокоился.
К сожалению, а для кого-то, может, и к счастью, сегодня подделки не ограничиваются безобидным юмором, уже известны случаи использования фальсифицированных писем в корпоративных войнах, о которых мы писали раннее.
Кому это выгодно или «одни едут, другие везут»
Удивительно, что за 25 лет несложную, по техническим меркам, проблему подделки электронной почты не решили раз и навсегда.
А попытки улучшить используемый стандарт были, и продолжают предприниматься по сей день, причем предлагаемые технологии способны обеспечить хороший результат при незначительных дополнениях к существующей инфраструктуре. В частности, это система доменных ключей DKIM, совместная разработка компаний «Yahoo!» и Cisco Systems, используемая такими крупными сервисами, как «Yahoo! Mail», «Google Mail», и многими другими прогрессивными компаниями и интернет-провайдерами. Не удивительно, что наиболее активно внедрять улучшения стремятся владельцы почтовых систем, то есть те, кто больше всего страдает от подделки писем и ее последствий, о которых мы поговорим далее.
В то же время, крупные производители программного обеспечения предпочитают симулировать слабоумие и не замечать проблему, что называется, в упор, затягивая процесс интеграции защиты от подделки почты в свои продукты. Как следствие, у системных администраторов отсутствует возможность использования данной технологии, что значительно затрудняет ее распространение в масштабах всей сети Интернет. Только редкие «головастики» справляются с внедрением защиты своих организаций от подделки почты, но, к сожалению, этого недостаточно.
Чтобы понять причины такого пассивного поведения «серверных гигантов», поcмотрим, какие последствия имеет проблема подделки писем в сети Интернет.
Возможность отправки «поддельной» почты широко используется для:
- рассылки спама;
- распространения почтовых вирусов;
- рассылки мошеннических писем.
Если последнее - обыкновенный «развод», то спам и вирусы имеют прямое отношение к индустрии программного обеспечения. По данным IDC (www.idc.com), рынок одних только антивирусов в 2002 году составлял 2,2 млрд. долларов, а в 2007 уже достиг отметки 4,4 млрд. долларов, демонстрируя тенденцию к дальнейшему росту. А рынок антиспам-продуктов вообще растет, как на дрожжах, потому как явных лидеров здесь нет и идет активная борьба за «место в десятке».
К тому же, к счастью интернет-мошенников, популяризация широкополосного доступа и слабая защита конечных узлов открыли им дорогу к сотням тысяч постоянно действующих компьютеров, подключенных к Интернету по высокоскоростным соединениям. Используя уязвимости в системе сетевой защиты (обычно путем инфицирования домашних компьютеров пользователей “троянами” или вирусами), спамеры устанавливают на домашние ПК программы для несанкционированной отправки почты, превращая их в своего рода почтовые серверы-зомби.
К чему мы это все говорим? К тому, что на сегодняшний день «дырявая» почта для вирусов и спама - как провода для электричества. Если начать активно их «обрезать», то многие вирусы просто не смогут распространяться, а количество спама уменьшится в десятки, если не сотни, раз. Более того, во многом пропадет даже смысл заражать компьютеры вирусами, ведь, не секрет, что в большинстве случаев это делают как раз таки с целью рассылки спама. Как следствие - практически мгновенная стагнация «защитного» рынка. Конечно же, «силы зла» так просто не падут и обязательно найдут новый способ для массового распространения вирусов и, что главное, спама (ближайшая жертва - ICQ, или «аська»), но, чтобы наверстать упущенное, понадобятся годы кропотливого «труда».
Сами понимаете, никто не хочет резать курицу, несущую золотые яйца, поэтому все заявления производителей «средств защиты» о борьбе с хакерами и кибер-преступностью - не более, чем самореклама. Конечно, у них ничего бы не получилось, не будь на то воли «Большого Билли». Но и здесь все «хорошо»: каждая новая версия операционной системы становится «все более безопасной, надежной и приспособленной к Интернет», принося своим создателям приличные «барыши». А без угроз безопасности старых версий, новую мало кто купит.
При решении любой проблемы, будь то борьба с коррупцией, или с почтовыми вирусами и спамом можно использовать два подхода - системный (структуризация связей и устранение первоисточников проблемы) и ситуативный (ориентация на ближайший положительный результат). Последнее, фактически, означает борьбу с проявлениями проблемы, а не с первоисточниками. Согласитесь, для борьбы с коррупцией гораздо эффективнее было бы просто упразднить большинство бюрократических процедур, а не устраивать показательную борьбу со взяточниками. А для борьбы с распространением спама и вирусов достаточно эффективной мерой была бы, в первую очередь, борьба с подделкой писем, а не с уже полученным «фальсификатом» на компьютере (сервере) получателя.
Но в бизнесе главное - это достижение, в первую очередь, финансовых результатов. Деньги, ведь, платят за защиту конкретного компьютера или сервера, а не за устранение проблемы на глобальном уровне (не с кого «содрать»). А покуда провайдеры не готовы платить кругленькую «дань» (попытки сотрудничать, конечно же, предпринимаются), финансовое бремя ложится на плечи рядовых пользователей «всемирной паутины». После очередных вирусных эпидемий они просто вынуждены покупать антивирусы, а с увеличением обьема и сложности распознавания спам-сообщений, еще и программное обеспечение борющееся со спамом. Поэтому, заинтересованность антивирусных компаний в постоянном росте обьема и «качества» вирусов и спама вполне очевидна, что дает повод многим наблюдателям вполне обоснованно подозревать, что разработчики антивирусов принимают участие в разработке новых типов вирусов. В конце-концов, лучшим антивирусом будет признан тот, который в максимально короткий срок сможет отреагировать на появление нового типа вируса. Но это - только подозрения некоторых экспертов, «за руку» еще никого не поймали.
Как бы там ни было, на сегодняшний день несовершенство существующих «почтовых» технологий жизненно необходимо для дальнейшего технологического развития спама и вирусов, да и рынка платных операционных систем в целом, поэтому, рассчитывать на решение проблемы подделки электронной почты в ближайшее время скорее всего не стоит.
Цифровая подпись, или защити себя сам
Если решить проблему подделки почтовых сообщений глобально не получается, то унывать не стоит - можно пойти другим путем, и решить ее конкретно для вашего почтового ящика, с помощью цифровой подписи - информации, дополнительно присоединяемой к сообщению, позволяющей получателю проверить неизменность данных и достоверно идентифицировать отправителя (подписчика).
То есть, теперь, чтобы подделать письмо от вашего имени, нужно будет подделать вашу цифровую подпись, а это задача нетривиальная. Безусловно, возможность бесконтрольной рассылки вирусов и спама, используя ваш почтовый адрес, сохраняется. Однако, если вы возьмете за правило подписывать все свои сообщения цифровой подписью, получатели ваших писем без проблем распознают «подделку» - она будет, скорее всего, вообще без подписи, либо с недействительной подписью. Самая же замечательная особенность цифровой подписи заключается в том, что если получатель по каким-либо причинам не может, или не хочет проверять достоверность получаемой информации, само сообщение все равно можно будет прочитать без каких-либо проблем.
Для создания и проверки цифровой подписи используются закрытый и открытый ключи - некоторые числа очень большой длины. Закрытый ключ доступен только вам и используется при создании подписи, а открытый ключ нужен для проверки достоверности этой подписи. Поэтому, все системы цифровой подписи предполагают, так или иначе, обмен открытыми ключами пользователей перед проверкой. Причем, особенно важно, пользователей перед проверкой. Причем, особенно важно, чтобы информацию об открытом ключе нельзя было подделать (иначе, вся защита теряет смысл).
Наиболее популярные стандарты цифровой подписи для почтовых сообщений - это PGP и S/MIME. Стандарт PGP предполагает постоянный обмен открытыми ключами через Интернет. Такой подход не слишком безопасен и удобен, поэтому, в S/MIME открытый ключ передается вместе с цифровой подписью в виде сертификата - цифрового документа, подтверждающего соответствие между указанным открытым ключом и информацией о его владельце (в данном случае, вашим адресом электронной почты). Достоверность сертификата подтверждается центром сертификации ключей.
Цифровая подпись в Украине
Поговорим о деятельности центров сертификации ключей в Украине. На сегодняшний день в Украине действует несколько центров сертификации ключей, предоставляющих пользователям услугу цифровой подписи в разных формах.
Одна из таких форм - документооборот, регламентируется Законом «О цифровой подписи»; речь идет о приравнивании правого статуса цифровой подписи к собственноручной подписи (печати), для признания которой действительной необходима аккредитация центра сертификации ключей государственными органами. Не удивительно, что за услуги такого рода центров нужно хорошо платить.
Другая форма предоставления услуг цифровой подписи - это интернет-технологии, в частности, это защита сообщений электронной почты. Деятельность центров сертификации ключей, ориентированных на интернет-технологии, основана на изменениях к Закону Украины «О лицензировании отдельных видов хозяйственной деятельности», согласно которым, услуга электронной цифровой подписи лицензированию не подлежит. Кроме того, Закон «О телекоммуникациях» гарантирует пользователям право на безопасность в сети, в том числе защиту от искажения и подмены информации, а механизм такой защиты для сообщений электронной почты - цифровая подпись, для функционирования которой используется центр сертификации.
Если услуги цифровой подписи для документооборота развиваются достаточно активно, то центров сертификации, ориентированных на интернет-технологии, используемые всем прогрессивным человечеством (SSL, S/MIME, object signing), практически нет, подавляющее большинство предложений - это продажа услуг зарубежных центров. Причина такого неутешительного положения вещей - в законодательстве, ведь тот факт, что услуга цифровой подписи лицензированию не подлежит, не означает, что лицензированию не подлежат остальные услуги в сфере криптографической защиты информации. Чтобы быть конкрентноспособным, украинский центр сертификации ключей должен использовать всемирно признанные криптографические алгоритмы и программное обеспечение, а не алгоритмы, утвержденные ГОСТами, как этого требуют при лицензировании. Поэтому в Украине крайне затруднительно создать конкурентноспособный центр сертификации ключей, использующий всемирно признанные технологии, и, при этом, действующий в рамках законодательства. Это при том, что аналогичные центры сертификации уже успешно действуют практически во всех европейский странах, даже в соседней Польше.
Из по-настоящему украинских центров сертификации следует отметить, прежде всего, за попытку создания позитивного имиджа Украины, как современного высокотехнологичного государства, центры Union Trust Network - полный перечень криптографических услуг, услуги платные (кроме тестовых, ограниченных по длине ключей и сроку действия сертификатов); Удостоверяющий Центр им. Штирлица - цифровая подпись сообщений электронной почты, услуги полностью бесплатные без ограничений. Зайдя на сайт последнего, можно получить все, что необходимо для внедрения защиты от подделки почтовых сообщений с помощью цифровой подписи - сертификат, и детальные инструкции по настройке и использованию цифровой подписи в популярных почтовых программах.
В завершение, хочется выразить надежду, что в ближайшем будущем появится возможность законно предоставлять полный спектр услуг центра сертификации ключей для украинского сегмента сети Интернет, используя всемирно признанное программное обеспечение, без бюрократической волокиты, и на принципах свободной рыночной конкуренции.