HARD CORE SECURITY LAB

Internetowi intruzi znają całą masę skutecznych sposobów na przejmowanie kontroli nad cudzymi kontami poczty elektronicznej. Mogą to być przykładowo ataki phishingowe, zgadywanie odpowiedzi na pytania pomocnicze, podsłuchiwanie haseł transmitowanych w postaci nieszyfrowanej oraz rozmaite inne proste podstępy. Wszystkie te metody wymagają jednak albo jakiejś interakcji z samym użytkownikiem usługi, albo też bazują na tym, że nie zachował on elementarnych zasad bezpieczeństwa. Dziś natomiast chciałbym ostrzec wszystkich czytelników HCSL przed inną, stosunkowo mało znaną i do tego całkiem skuteczną metodą przejmowania kontroli nad cudzymi kontami poczty elektronicznej.

Metoda, którą dziś chcę omówić, pozwalała przykładowo w ostatnim czasie na uzyskanie całkowitej kontroli nad tysiącami kont poczty w popularnym microsoftowym serwisie Hotmail. Spójrzmy na dostępny tutaj mechanizm resetowania hasła w powyższej usłudze.

Na pierwszy rzut oka wszystko wydaje się być w jak najlepszym porządku. Mamy możliwość skorzystania z mechanizmu resetowania hasła z wykorzystaniem zapasowego adresu e-mail zdefiniowanego na etapie zakładania naszego konta, a sam pomocniczy adres nie zostaje wyświetlony. Generalnie rzecz biorąc tego typu funkcja resetowania haseł jest uznawana za dość bezpieczną. Z pewnością jest w praktyce o wiele bezpieczniejsza od mechanizmu pytań pomocniczych (Panieńskie nazwisko matki?), niestety jest tak do czasu, gdy intruz może poznać pełne brzmienie adresów pomocniczych należących do poszczególnych użytkowników...

Jak się okazuje, w przypadku Hotmaila, w celu odkrycia całego adresu pomocniczego należącego do konkretnego użytkownika wystarczyło tylko... wyświetlić źródło powyższej strony! Obecnie błąd ten został już naprawiony, zastanówmy się jednak, na co tego typu sytuacja w praktyce pozwalała?

Na pierwszy rzut oka wydaje się, że powyższa przypadłość Hotmaila pozwalała jedynie na poznanie innego adresu e-mailowego należącego do konkretnego użytkownika. Nadal nie widać więc żadnego realnego zagrożenia dla samego konta w usłudze Hotmail? Nic bardziej mylnego. W praktyce wielu użytkowników serwisów pocztowych na etapie rejestracji konta jako adres pomocniczy podaje jakiś adres wymyślony (np. nie_podam_ci_mojego_maila@gmail.com) lub też jakiś własny, lecz jedynie okazjonalnie (lub nawet w ogóle już nie używany) używany adres. Bardzo często użytkownik korzystając potem z nowego adresu zapomina całkowicie o starym, który z powodu długiej nieaktywności zostaje po jakimś czasie (np. 6 miesięcy)  po prostu usunięty.

W efekcie potencjalny intruz może zresetować hasło użytkownika z wykorzystaniem nieistniejącego adresu e-mail, czyli np. nie_podam_ci_mojego_maila@gmail.com. Jak tego dokonać? Wystarczy tylko założyć takie właśnie konto w usłudze Gmail i skorzystać z funkcji resetowania hasła... W tym momencie intruz uzyskuje kontrolę nad kontem pocztowym, a prawowity użytkownik usługi nie ma zielonego pojęcia dlaczego stało się tak, że nie może się zalogować na własne konto.

Z pewnością tego typu problem nie dotyczył jedynie Hotmaila i podobne sytuacje mogą mieć nadal miejsce w przypadku innych usług, zachęcam więc do sprawdzenia, czy przypadkiem usługa pocztowa (być może również usługi internetowe innego typu?) z której korzystacie, również w jakiś sposób nie ujawnia zapasowych adresów e-mail pozwalających na zmianę hasła dostępowego. Warto również sprawdzić, czy podane przez nas adresy zapasowe na pewno istnieją i czy to na pewno my mamy nad nimi kontrolę!

Wszystko to jasno obrazuje, że nawet osoby przywiązujące dużą wagę do bezpieczeństwa, mogą paść ofiarą udanych ataków. Niestety nigdy nie jesteśmy w stanie przewidzieć wszystkich potencjalnych scenariuszy ataków, zazwyczaj nie możemy również sami zapobiec zagrożeniom związanym z lukami obecnymi w wykorzystywanych przez nas usługach oraz serwisach internetowych... jak więc bronić się przed tego typu zagrożeniami?