Gazeta.pl > Technologie >  Opinie

Problem zaufania

Janusz A. Urbanowicz
13.09.2011 15:55
A A A Drukuj
nagłówki poczty elektronicznej Rys. Janusz A. Urbanowicz
Ktoś podszył się pod posłankę Kempę i pocztą elektroniczną wysłał w jej imieniu informację o rezygnacji z kandydowania do Sejmu. Jednak gdyby nie polityczny aspekt całego zdarzenia, nie zwrócilibyśmy na nie uwagi - z takimi mailami mamy do czynienia bardzo często, prawie przestaliśmy je zauważać.
Są dwa proste sposoby wysyłania e-mailowych fałszywek: włamanie do skrzynki albo ręczne spreparowanie fałszywki i wysłanie jej serwerowi pocztowemu.

Fakty są takie: do Polskiej Agencji Prasowej ktoś wysłał wiadomość e-mail wyglądającą tak, jakby wysłała ją posłanka Beata Kempa. Wiadomość zawierała oświadczenie o rezygnacji z kandydowania do Sejmu, jako ważna politycznie, została szybciutko przepublikowana przez PAP, po czym rozpętała się medialno-polityczna burza, bo wiadomość była fałszerstwem. Jak podaje Wyborcza, w mailu były dane biura posłanki w Sycowie i prawdopodobnie z tego adresu została wysłana. Ale to nie znaczy, że z tej skrzynki.

Są dwie proste drogi, żeby wysłać takiego e-maila. Prostsza, dla przeciętnego użytkownika to zgadnięcie hasła do cudzej skrzynki. Poczta sejmowa ma webmaila, publicznie dostępną aplikację pozwalającą na przeglądanie sejmowej skrzynki za pomocą przeglądarki, po zalogowaniu się nazwą użytkownika i hasłem. Wystarczy trochę szczęścia i hucpy. Jedno z biur poselskich Beaty Kempy korzysta z konta pocztowego na Wirtualnej Polse, chronionego analogicznym mechanizmem. Dostęp do cudzej skrzynki jest przestępstwem zagrożonym karą więzienia.

Przestępcy wysyłający spam i wyłudzający hasła rutynowo posługują się fałszowaniem wiadomości.

Druga metoda wymaga trochę wiedzy technicznej, wejścia w świat czarno-zielonych ekranów. Jednak nie trzeba do tego jakiejś wiedzy tajemnej, podsyłanie sobie fałszywek było kiedyś sztandarową zabawą studentów pierwszych lat studiów technicznych, którzy nauczyli się właśnie jak "od środka" działa poczta. Przy stosowaniu tej metody samo wysłanie fałszywki nie wymaga wysokich umiejętności, wiedzy i umiejętności wymaga spreparowanie jej tak, aby nie różniła się od oryginałów, przygotowanie odpowiednich podpisów i nagłówków, także tych niewidzialnych dla zwykłego użytkownika. Bardzo trudne (ale nie niemożliwe) jest też wysłanie wiadomości w sposób całkowicie uniemozliwiający zidentyfikowanie skąd ona naprawdę pochodzi.

Z mailami wysyłanymi drugą metodą mamy do czynienia na codzień - tak postępują spammerzy i phisherzy - przestępcy wyłudzający hasła do banków. Sieciowi bandyci fałszują maile w nadziei że je przeczytamy i zainteresujemy się przesłaną ofertą, albo na zalinkowanej stronie, w celu "weryfikacji danych” podamy login i hasło.

Podszywanie się za pomocą elektronicznych środków komunikacji to podstawowa metoda popełniania internetowych przestępstw, nazywana inżynierią społeczną (social engineering).

Przed fałszerstwami dokonywanymi tą metodą częściowo chronią nas systemy antyspamowe - częściej zdarza się, że fałszywka zostanie odsiana jako reklama. Aby tak się nie stało, nalezy ją starannie przygotować, łatwiej też sfałszować wiadomość z niewielkiego serwera pocztowego, niż z wielkiego serwisu mającego miliony użytkowników i stosującego specjalistyczną ochronę poczty wysyłanej.

Ale tak naprawdę problem lezy gdzie indziej. Taką wiadomość może wysłać każdy, więc redaktor dyżurny w PAP nie powinien publikować jej bez niezależnej weryfikacji. Chociaż to też nie dziwi. Wielokrotnie opisywane były przypadki skutecznego podszywania się za pomocą mediów elektronicznych: więzienie w amerykańskim stanie Tennessee zwoniło więźnia po otrzymaniu faksem takiego - sfałszowanego - polecenia od rzekomego "sędziego". Podobnie, kolektyw Anonymous spenetrował sieć zajmującej się bezpieczeństwem firmy HBGary Federal po podszyciu się pod szefa i wysłaniu prośby o zmianę hasła.

Nie wyewoluowaliśmy do nieufności. Dopóki systemy komputerowego bezpieczeństwa nie dopasują się do tego faktu, takie rzeczy będą się zdarzać. Dlatego lepiej ostrożnie podchodzić do wszystkich informacji, których nie możemy potwierdzić twarzą w twarz. Albo chociaż przez telefon, którym zadzwoniliśmy na znany wcześniej numer.

 

Janusz A. Urbanowicz jest członkiem zespołu Technologii, oraz niezależnym konsultantem w dziedzinie technologii internetowych i bezpieczeństwa. Prowadzi bloga pod tytułem Fnord.pl.

Zobacz więcej na temat:

Podziel się

  • 2
  • 1

  • Ocena:

    • słabe
    • nic specjalnego
    • dobre
    • bardzo dobre
    • znakomite

    10 głosów

Skomentuj:

Zaloguj się. Jeśli nie posiadasz konta zarejestruj się.

Komentarze (17)

  • master4k

    Oceniono 1 raz 1

    Cugier-Kotkę też ktoś kiedyś pobił.

  • przemkopalemka

    0

    czarno zielone ekrany - jestem gotowy wysłać maila z adresu komorowski@prezydent.pl. Do tego nie trzeba być "hakierem", tylko wiedzić jak działa np. mailer w php. Ogólnie zabawa dla dzieciaków co polują na źle zrobione księgi gości (Wrażliwe na <script>alert(666);</script>). Inna sprawa, że debile z PAP nie byli w stanie przejrzeć nagłówków - przecież od razu widać, że mail pochodzi z innego adresu niż powinien...

  • sselrats

    0

    To nie jest sprawa braku niufnosci tylko braku inteligencji.

  • zygmund

    0

    Kiedyś żeby to zrobić wystarczyło wejść w opcje Outlook Expressa lub innego programu pocztowego i wpisać dowolny adres zamiast swojego i tyle ,na tej samej zasadzie jak można było wysłać zwykły papierowy list na poczcie wpisując adres nadawcy np. Bill Gates. Hasło na prawdę jest potrzebne tylko, żeby czytać maile ze skrzynki, nie żeby je nadawać.

    Dziś niektóre serwery SMTP sprawdzają, czy host z którego jest transmitowana wiadomość w ogóle może przekazywać wiadomości z domeny e-mailowej nadawcy. Ale nie wszystkie.

  • zeus_gromowladny

    0

    > Hasło na prawdę jest potrzebne tylko, żeby czytać maile ze skrzynki, nie żeby je nadawać.

    Lata dziewięćdziesiąte dzwoniły i pytały o ciebie.

  • kgbltd

    0

    Lamerzy w PAPie i głupki w gazetach łykną wszystko. Jestem przerażony poziomem dziennikarstwa. Jesli wszystkie śledztwa dziennikarskie są na takim poziomie to niech jak najszybciej te gazety upadną.

    Amen

  • qbakwiatkowski

    0

    Od kilku tygodni bacznie sledze serwis gazeta.pl i muszę przyznać, że jestem zszokowany ogromną ilością literówek i błędów które pojawiają się w zawartych tutaj tekstach. Takie sytuacje nie powinny mieć miejsca. Droga redakcjo! Czy nie zauważacie podkreślonych wyrazów podczas tworzenia artykułu? Proszę o odpowiedz jeśli ktoś w ogóle zauważy ten wpis ;)

  • iwanme

    0

    Metoda trzecia: Wejść na stronkę, wypisać odpowiednie pola w formularzu i wysłać.

    Tak naprawdę dobre spreparowanie wiadomości email wcale nie jest takie banalne, oczywiście nie mówimy tu o tym co było z Kempą, bo takie coś ze zmianą adresu nadawcy może każde dziecko zrobić.

  • konsulhonorowypernambuco

    0

    Oczywistą oczywistością jest, że to z m a s o w a n y atak sił inspirowanych przez PO. A najprościej można wytłumaczyć to socjotechnicznie. Kempy nie znoszą w okręgu kieleckim PiS i tam moim zdaniem siedzi sobie swistak i zawija maile w sreberka.

  • rojberek

    0

    Nie podniecajcie się czymś, co potrafi zrobić każdy dzieciak który choć raz skorzystał z internetu.

  • sybirak2

    0

    Po co wszystkie tłumaczenia? Prawda wydaje się prostsza: Beata Kempa wpłaciła kaucję za
    Starucha i tym tochę przesadziła. Została za to upomniana, więc się obraziłą na PiS i wysłała tego maila. Za to obrugano ją, jak należy, i nakazano wiadomość odwołać. Kempa odwołuje swą wiadomość poprzez skandal polityczny. Ot po prostu metoda pislamu,

  • asmok6

    0

    Co za bzdury. Trudniejsza metoda? Wpisać cudzy adres jako adres nadawcy przy konfiguracji programu pocztowego jest trudniejsze niż włamanie się komuś na pocztę?
    Ten świat schodzi na psy jeśli dla przeciętnego usera wejście w menu w programie jest trudniejsze niż zgadywanie haseł.

    • pyth0n

      0

      @asmok6
      Otóż nie do końca. Większość serwerów ma wdrożone "POP before SMTP", czyli do wysłania poczty też trzeba się zalogować. Serwery bez tej polityki znane są jako "Open Relay" i są na czarnych listach większości serwisów pocztowych jako potencjalne źródło spamu. Dodatkowo sprawdzane jest, czy login zgadza się z adresem w polu "from".

      Weryfikacja taka NIE jest przeprowadzana na serwerze odbiorcy (tj tym, który obsługuję domenę odbiorcy). Takie dostarczenie nazywa się "local delivery" i jest zawsze możliwe. Czyli jeżeli zapniesz się na serwer SMTP w PAPie, to możesz wysłać dowolnego maila do dowolnego użytkownika w domenie PAPu bez weryfikacji konta. Ale tu może (czytaj - powinien) cię wyłapać filtr SPF albo podobny.

  • pyth0n

    0

    A najśmieszniejsze jest to:
    a) Istnieje kilka systemów umożliwiających weryfikację, czy adres IP nadawcy maila ma w ogóle prawo nadawać maile jako pochodzące z domeny XXX. Jednym z nich jest SPF ( pl.wikipedia.org/wiki/Sender_Policy_Framework )
    b) Serwery Sejmu mają ustawione poprawne wpisy SPF (czyli można zweryfikować uprawnienia komputera nadawcy)
    c) PAP też korzysta z systemu SPF. Miało całą infrastrukturę niezbędną do wykrycia fałszerstwa.

    Z tego wynika, że
    a) administrator w Sejmie dopełnił wszelkich obowiązków i proszę się od niego odpipiliptać.
    b) administrator w PAP tylko częściowo wdrożył SPF, bo tylko na nadawanie. Przy poprawnym wdrożeniu na odbieranie fałszywka w ogóle nie dotarłaby do skrzynki PAP.

  • Gość: gość

    0

    to i tak wina tuska i ruska;)

  • tonik777

    0

    Proszę zwrócić uwagę, że równie łatwo (a może nawet łatwiej) można wysłać zwykły (klasyczny) list podszywając się pod kogoś.

  • deflery

    0

    ja ngdy i nic nie zalatwiam przez internet. Poprostu nie mam zaufania . Moze to zabrzmi dziwnie, ale wole swoich danych nie ujawniac w omputerze. Zrezta w tych czasach czlowiek iczego nie uniknie, bo idac do roznych urzedow podajemy swoje dane, czy tezpokazujemy swoj dowod, a pracownik jest tylko pracownikiem i nigdy nie wiemy kto za tym biurkiem siedzi. Pozostaje tylko jedno, przestac o tym myslec.

Aby ocenić zaloguj się lub zarejestrujX

Najczęściej czytane

Najczęściej szukane

    Polecamy

    Polygamia.pl - gry na PC, PS3, X360, iPhone, PS Vita

    Ściągnij.pl - wszystkie pliki w jednym miejscu

    Diablo 3 - wszystko o grze

    Max Payne 3 - wszystko o grze

    Jesteśmy już na Facebooku! Lubisz nas?

    Lotto