HARD CORE SECURITY LAB

Dane logowania do naszego konta poczty e-mail mogą zostać przechwycone przez potencjalnego intruza na wiele sposobów. Być może padliśmy ofiarą ataku phishingowego i nawet nie zdajemy sobie z tego sprawy? Być może skorzystaliśmy z publicznego komputera zainfekowanego trojanem wykradającym hasła? W jaki sposób możemy więc sprawdzić, czy nasza skrzynka odbiorcza nie jest przypadkiem regularnie przegląda przez włamywacza?

Większość nowoczesnych serwisów jest obecnie wyposażona w funkcje pozwalające nam na wykrycie działalności osób trzecich uzyskujących nielegalny dostęp do naszego konta. Niewielu internautów korzysta jednak z takich możliwości. Zobaczmy jak wygląda to na przykładzie popularnego Gmaila.

Przede wszystkim warto wspomnieć, że Gmail jest wyposażony w funkcję wykrywania intruzów uzyskujących bez naszej wiedzy dostęp do naszego konta. Mechanizm ten korzysta z funkcji geolokalizacyjnych i stara się wykryć logowania pochodzące z nietypowych dla danego użytkownika lokacji. Przykładowo, jeśli zawsze logujemy się z terytorium Polski, to alert może wyzwolić przypadek logowania zarejestrowany z terytorium USA. Skuteczność tego mechanizmu może być jednak różna. Zajmijmy się więc informacjami dostępnymi w ramach funkcji informowania o ostatniej aktywności użytkownika, która to jest dostępna w ramach wielu różnych webowych systemów pocztowych.

Szczegółowe informacje o ostatniej aktywności odnajdziemy w dolnej części serwisu Gmail:
Spójrzmy na postać szczegółowych informacji o ostatniej aktywności konta pocztowego:
Widzimy, że większość sesji została nawiązana z terytorium Polski. Co więcej, zarejestrowane adresy zgadzają się z naszym publicznym adresem IP. Wygląda więc na to, że wszystkie zarejestrowane wejścia z terytorium Polski zostały wykonane przez nas samych. Niepokoi jedynie sesja nawiązana całkiem niedawno (poprzez przeglądarkę internetową) z terytorium Szwecji.

Oczywiście to, że mechanizmy geolokalizacyjne wskazują na Szwecję, nie znaczy wcale że logowanie nastąpiło z komputera fizycznie tam się znajdującego. Wystarczy tylko, że logowanie nastąpiło za pośrednictwem serwera pośredniczącego lub też np. Tora. Jeśli jednak jesteśmy pewni, że sami w ostatnim czasie nie korzystaliśmy z tego typu rozwiązań, oznacza to, że ktoś uzyskuje nielegalny dostęp do naszego konta.

Analizując zapisane adresy IP warto skorzystać z narzędzi takich jak www.domaintools.com, dzięki którym poznamy szczegóły na temat danego adresu oraz operatora, który nim zarządza. Może się bowiem zdarzyć, że wszystkie zapisy będą wskazywać na Polskę, jednak pochodzić będą z wielu różnych adresów IP. W takim wypadku musimy dokładnie prześledzić każdy z adresów, np.:
Analiza informacji na temat danego adresu pozwala nam więc na określenie ISP (w tym wypadku TP), usługi (Neostrada) oraz przybliżonej lokalizacji. Jeśli więc odkryjemy sesje nawiązywane z terytorium Polski, jednak z sieci operatorów, z których usług nigdy nie korzystamy, również oznacza to najprawdopodobniej naruszenie bezpieczeństwa naszego konta.

Dodatkowych wskazówek może nam dostarczyć kolumna Typ dostępu. Jeśli bowiem korzystamy wyłącznie z dostępu poprzez przeglądarkę, a w ostatnim czasie miały miejsce dostępy poprzez np. protokół POP3, to również taki fakt powinien wzbudzić nasze podejrzenia.

Niektóre przypadki sesji zarejestrowanych z zagranicy mogą być wynikiem działania zewnętrznych serwisów i usług, które w jakiś sposób skojarzyliśmy z naszym kontem Gmail. Tego typu fałszywe alarmy pozwoli nam jednak wyłowić właśnie dokładna analiza adresów IP za pomocą usługi www.domaintools.com.

Warto podkreślić, że w powyższym przykładzie, mimo nietypowego dostępu z terytorium Szwecji, mechanizm automatycznego ostrzegania przed intruzami nie wszczął alarmu. Wygląda więc na to, że nic nie zastąpi własnoręcznego monitorowania ostatniej aktywności konta. W przypadku jakichkolwiek wątpliwości, należy niezwłocznie zmienić hasło dostępowe na frazę odpowiednio skomplikowaną i nie używaną w ramach innych serwisów. Nie możemy również zapomnieć o mechanizmie pytania pomocniczego, który to często służy włamywaczom do uzyskiwania nieuprawnionego dostępu.

Po wprowadzeniu odpowiednich zmian, należy nadal monitorować ostatnią aktywność konta. Możliwe bowiem, że wyciek hasła nastąpił w wyniku działania keyloggera obecnego w naszym systemie, dzięki czemu intruz będzie mógł poznać również nasze nowe hasło. Warto również zachować oraz udokumentować wszelkie informacje, które wzbudziły nasze wątpliwości, na wypadek gdybyśmy zdecydowali się o całej sprawie powiadomić organy śledcze.

Praktycznie wszystkie nowoczesne systemy pocztowe oferują podobne funkcje, a jednak niewielu internautów z nich korzysta. Zachęcam więc wszystkich do systematycznego sprawdzania ostatniej aktywności własnych kont.