HARD CORE SECURITY LAB

Stało się! Ktoś bez mojej wiedzy i zgody loguje się na moje konto poczty elektronicznej. W jaki sposób intruzowi udało się poznać moje hasło? Tego nie wiem. Na szczęście wiem, co w takiej sytuacji należy zrobić. Otóż, jak praktycznie każdy wie, należy jak najszybciej zmienić hasło. Uff, udało się, teraz jestem już bezpieczny...

Nic bardziej mylnego. Nawet jeśli w takiej sytuacji zmienisz hasło, intruz może nadal w przyszłości uzyskiwać dostęp do twojego konta oraz całej korespondencji. Zmiana hasła to dopiero początek!

Jako że na co dzień używam Gmaila, wszystkie poniższe wskazówki omówię na przykładzie właśnie tego popularnego systemu poczty elektronicznej. Oczywiście podobne kroki mają zastosowanie również w przypadku konkurencyjnych usług pocztowych.

Pierwszym krokiem jest oczywiście wykrycie działalności intruza. W przypadku Gmaila, w tym celu należy na bieżąco monitorować informacje gromadzone w ramach funkcji Ostatnia aktywność konta:

Ktoś zalogował się wczoraj na moje konto z terytorium USA?

Warto również przypomnieć, że Gmail został niedawno wyposażony w funkcję ostrzegania przed nietypową aktywnością konta, która być może ostrzeże nas w przypadku wykrycia intruza.

Skoro wiemy już, że ktoś bez naszej wiedzy uzyskuje dostęp do naszego konta, musimy podjąć natychmiastowe działania. Oczywiście wszyscy wiemy, że musimy w tym momencie ustawić nowe, silne hasło. Na tym jednak nie koniec!

Otóż doświadczony intruz natychmiast po uzyskaniu dostępu do docelowego systemu lub konta, będzie się starał przede wszystkim zapewnić sobie dostęp do interesujących go danych również po ewentualnym wykryciu włamania i oczywistej na taką okoliczność zmianie poświadczeń broniących dostępu do konta. Właśnie dlatego, oprócz zmiany hasła, musimy zająć się wykryciem i usunięciem ewentualnych furtek pozostawionych przez intruza.

Jeden z najlepszych sposobów na to, by intruz mógł mimo zmiany hasła dostępowego nadal czytać naszą korespondencję, stanowi skonfigurowanie przekazywania wiadomości (ang. email forwarding) na inny adres. W przypadku Gmaila musimy więc koniecznie odwiedzić sekcję Ustawienia -> Przekazywanie i POP/IMAP i dokładnie przyjrzeć się jej konfiguracji:

Nie chcemy przecież, by nasze wiadomości były odbierane w domenie hacks.ru?

Intruz może również wpaść na pomysł takiego skonfigurowania opcji odzyskiwania hasła, by w przyszłości mógł on ponownie przejąć kontrolą nad naszym kontem. Musimy więc sprawdzić sekcję Ustawienia -> Konta i importowanie -> Ustawienia konta Google -> Zmień opcje odzyskiwania hasła i dokładnie przyjrzeć się konfiguracji wszystkich możliwości odzyskiwania hasła:

Ten pomocniczy adres zdecydowanie nam w niczym nie pomoże...

Na szczególna uwagę zasługuje tutaj pytanie pomocnicze. Otóż być może nie uległo ono zmianie, jednak intruz mógł zmienić przecież odpowiedź! Warto więc skonfigurować te opcję zupełnie od nowa.

To chyba tyle, jeśli chodzi o podstawowe ustawienia samego konta pocztowego. Jednak w dzisiejszym świecie setek współpracujących aplikacji webowych nie możemy również zapomnieć o tym aspekcie bezpieczeństwa. Intruz mógł bowiem skonfigurować sobie również dostęp do zawartości naszego konta za pośrednictwem jakiegoś innego serwisu lub aplikacji webowej. Dotyczy to nie tylko serwisów poczty e-mail, ale praktycznie wszystkich innych usług i aplikacji internetowych. Dobrym pomysłem będzie więc co jakiś czas przejrzenie wszystkich zewnętrznych aplikacji, którym zezwalamy na dostęp do wszystkich używanych przez nas serwisów internetowych.

Jak więc mogliśmy się przekonać, zabezpieczenia własnego konta po wizycie intruza jest procesem wykraczającym daleko poza samą tylko zmianę hasła. Zasada ta tyczy się właściwie wszystkich serwisów i systemów komputerowych. W pierwszej kolejności należy odciąć intruzowi bieżący dostęp do naszego systemu lub konta, a potem zrobić wszystko, by uniemożliwić mu powrót. Jeśli macie jakiekolwiek doświadczenia w walce z backdoorami pozostawionymi przez włamywaczy, zachęcam do podzielenia się swymi doświadczeniami!