Комментарии 11
Прекрасный, хоть и поверхностный обзор сегодняшней ситуации, спасибо!
ИМХО
В статье просто перечислены факты и предположения, мнений особо не нашел
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
В статье просто перечислены факты и предположения, мнений особо не нашел
В гугловском исследования шикарная статистика по MTA: у Exchange 2013 целых 12% без учёта антиспам шлюзов.
Атака на сканер — приложение для смартфона, которое будет воспроизводить на экране последовательность штрих кодов.
Большинство сканеров штрих-кодов работают на отражение, а в этом режиме у цветного нетрансфлективного ЖК экрана очень мал контраст. А у OLED вообще такого контраста нет. Так что с приложением не взлетит. Нужно что-то на электронной бумаге делать. Или как вариант, генерировать псевдоотраженный сигнал, синхронизированный с движениями лазерного луча.
Относительно GMail складывается впечатление аналогичное ситуации, когда один вирус заражая комп удаляет с него другие вирусы: гугл хочет иметь эксклюзивную возможность читать чужие письма. А на мой взгляд, SSL для SMTP это, безусловно, неплохо, но если вас волнует безопасность переписки — нужно использовать PGP, а не SSL.
Еще буквально лет 10 назад широко распространенным методом передачи сообщений от сервера к пользователю был протокол POP3, вообще не предполагающий какого-либо шифрования данных.
rfc2595, june 1999
> Еще буквально лет 10 назад широко распространенным методом передачи сообщений от сервера к пользователю был протокол POP3, вообще не предполагающий какого-либо шифрования данных.
Я как-то не очень заметил за эти самые 10 лет появление новых протоколов на тему передачи от сервер клиенту. Да, те же POP3 и IMAP4 служат и поныне, разве что почти всегда есть SSL-версии их и поддержка StartTLS. Так что в этом смысле ничего супернового не придумано. Я сейчас не беру протоколы типа HTTP/HTTPS на веб-мордах, работу с Exchange — я говорю о распространенных среди «обычных» почтовых серверов вариантах.
С другой стороны, редкий корпоративный (да и публичный) почтовый сервер откажется от поддержки связи по нешифрованным каналам. Не возьмусь сказать точно даже за Россию, но, наверное, процентов 5 писем все же передается клиентами и серверами, у которых либо сломан. либо не работает SSL/TLS, и отказаться от поддержки нешифрованной передачи — значит оставить этих людей за бортом. Не все компании, и уж тем более не все публичные сервисы на такое пойдут. Потому что идея — идеей («мы за безопасность!» — хороший лозунг, но СОРМ снимает данные уже после шифрованных каналов, так что как бы непонятно, зачем делать не 100% нечитаемую почту), а упускать письма никто не хочет.
Я как-то не очень заметил за эти самые 10 лет появление новых протоколов на тему передачи от сервер клиенту. Да, те же POP3 и IMAP4 служат и поныне, разве что почти всегда есть SSL-версии их и поддержка StartTLS. Так что в этом смысле ничего супернового не придумано. Я сейчас не беру протоколы типа HTTP/HTTPS на веб-мордах, работу с Exchange — я говорю о распространенных среди «обычных» почтовых серверов вариантах.
С другой стороны, редкий корпоративный (да и публичный) почтовый сервер откажется от поддержки связи по нешифрованным каналам. Не возьмусь сказать точно даже за Россию, но, наверное, процентов 5 писем все же передается клиентами и серверами, у которых либо сломан. либо не работает SSL/TLS, и отказаться от поддержки нешифрованной передачи — значит оставить этих людей за бортом. Не все компании, и уж тем более не все публичные сервисы на такое пойдут. Потому что идея — идеей («мы за безопасность!» — хороший лозунг, но СОРМ снимает данные уже после шифрованных каналов, так что как бы непонятно, зачем делать не 100% нечитаемую почту), а упускать письма никто не хочет.
> Да, те же POP3 и IMAP4 служат и поныне, разве что почти всегда есть SSL-версии их и поддержка StartTLS.
Справедливости ради, «голые» POP3/IMAP наружу уже почти нигде не торчат. Все более-менее крупные сервисы предоставляют их только через SSL/StartTLS.
Справедливости ради, «голые» POP3/IMAP наружу уже почти нигде не торчат. Все более-менее крупные сервисы предоставляют их только через SSL/StartTLS.
Вот насчет «только» я не уверен. Во многих местах (особенно там, где почта не вчера-сегодня впервые появилась, и где сервер «свой») торчат и шифрованные, и нешифрованные версии — для совместимости со старым, сложившимся.
Но то не такая проблема. Честно говоря, как я скачаю почту с сервера провайдера — мое дело. Даже если меня и подслушают — это уж моя проблема. А вот вопрос, что трафик на SMTP-сервера и между ними (т.е. протокол SMTP, а вовсе не POP3) не везде шифруется, и не везде SSL/TLS-only — это да, некрасиво.
Но факт в том, что «кому надо» — те трафик и так слушают, в рамках СОРМ-а и его аналогов по миру. Слушают прямо на площадке провайдера. Посему вопрос — от кого спасаемся?
Тем более, простите, старая тема: масса почтовых серверов используют самоподписанные сертификаты. Это минимум просто удобно, выписать на 100 лет и вставить — TLS работает, а SMTP-сервера на моей памяти еще ни разу не отвазались принять почту от хоста, даже если у него и самопальный сертификат. Тогда вопрос — MITM-атака от этого упрощается до тривиальной, посему во что мы верим?
И второй вопрос: а кто-то серьезно верит, что почта, лежащая на серверах крупных почтовых служб, в принципе никогда не может быть ими прочитана? Да ну? А если может, то риски мы тоже вроде как должны бы понимать. И либо произносить про себя классическое «то не телефонный разговор» (с поправкой на то, что пишем эл. письмо) — и не писать в письме открыто ничего важного, либо пересылать криптоконтейнер, а уже внутри него то, что хотим сообщить секретно.
А что у Тунисе высок процент отсутствия TLS… Ой, проблема ли это для Туниса? Я вот лично больше удивился со фразы:
> 82% процента почтовых серверов поддерживали подключение по протоколу TLS, но из них только 35% были правильно настроены.
Кажется, что настроить TLS с самоподписанным сертификатом — не очень сложно. Раз так, что не так с настройкой 47% серверов? Или это именно про самоподписанные сертификаты разговор? Так тот же Гугл их отлично принимает, никто и не переживает, что они «неправильно настроенные».
И главное — кого это из юзеров волнуют? Mail.ru, сменю напомнить, годами не включали SSL/TLS на почтовых протоколах — ничего, никто не сбежал от них, разве нет? Уверен притом, что не включали по какой-то причине, но я про осведомленность юзеров пишу. Правильно — смысл шифровать, когда твою почта хранится на серверах компании, которая ничего тебе не должна, и которая скорее не захочет ругаться с законом и акционерами, чем с тобой?
Но то не такая проблема. Честно говоря, как я скачаю почту с сервера провайдера — мое дело. Даже если меня и подслушают — это уж моя проблема. А вот вопрос, что трафик на SMTP-сервера и между ними (т.е. протокол SMTP, а вовсе не POP3) не везде шифруется, и не везде SSL/TLS-only — это да, некрасиво.
Но факт в том, что «кому надо» — те трафик и так слушают, в рамках СОРМ-а и его аналогов по миру. Слушают прямо на площадке провайдера. Посему вопрос — от кого спасаемся?
Тем более, простите, старая тема: масса почтовых серверов используют самоподписанные сертификаты. Это минимум просто удобно, выписать на 100 лет и вставить — TLS работает, а SMTP-сервера на моей памяти еще ни разу не отвазались принять почту от хоста, даже если у него и самопальный сертификат. Тогда вопрос — MITM-атака от этого упрощается до тривиальной, посему во что мы верим?
И второй вопрос: а кто-то серьезно верит, что почта, лежащая на серверах крупных почтовых служб, в принципе никогда не может быть ими прочитана? Да ну? А если может, то риски мы тоже вроде как должны бы понимать. И либо произносить про себя классическое «то не телефонный разговор» (с поправкой на то, что пишем эл. письмо) — и не писать в письме открыто ничего важного, либо пересылать криптоконтейнер, а уже внутри него то, что хотим сообщить секретно.
А что у Тунисе высок процент отсутствия TLS… Ой, проблема ли это для Туниса? Я вот лично больше удивился со фразы:
> 82% процента почтовых серверов поддерживали подключение по протоколу TLS, но из них только 35% были правильно настроены.
Кажется, что настроить TLS с самоподписанным сертификатом — не очень сложно. Раз так, что не так с настройкой 47% серверов? Или это именно про самоподписанные сертификаты разговор? Так тот же Гугл их отлично принимает, никто и не переживает, что они «неправильно настроенные».
И главное — кого это из юзеров волнуют? Mail.ru, сменю напомнить, годами не включали SSL/TLS на почтовых протоколах — ничего, никто не сбежал от них, разве нет? Уверен притом, что не включали по какой-то причине, но я про осведомленность юзеров пишу. Правильно — смысл шифровать, когда твою почта хранится на серверах компании, которая ничего тебе не должна, и которая скорее не захочет ругаться с законом и акционерами, чем с тобой?
> Вот насчет «только» я не уверен.
Ну если брать в расчет всяких провайдеров, где почта — эдакий бонус — то там да, может быть что угодно. Я про специализированные почтовые сервисы. Вроде office365 / gmail / etc.
> Кажется, что настроить TLS с самоподписанным сертификатом — не очень сложно.
Ну, например, старые и уязвимые протоколы, вроде того же SSL3. Еще, КМК, «неправильность» — это вообще разрешать plain-text при существующем SSL/TLS.
> И главное — кого это из юзеров волнуют?
Вот тут и кроется проблема, КМК.
> Mail.ru, сменю напомнить, годами не включали SSL/TLS на почтовых протоколах
Фигасе, не знал, что у них все так печально. Сейчас то plain-text, надеюсь, убрали совсем?
Ну если брать в расчет всяких провайдеров, где почта — эдакий бонус — то там да, может быть что угодно. Я про специализированные почтовые сервисы. Вроде office365 / gmail / etc.
> Кажется, что настроить TLS с самоподписанным сертификатом — не очень сложно.
Ну, например, старые и уязвимые протоколы, вроде того же SSL3. Еще, КМК, «неправильность» — это вообще разрешать plain-text при существующем SSL/TLS.
> И главное — кого это из юзеров волнуют?
Вот тут и кроется проблема, КМК.
> Mail.ru, сменю напомнить, годами не включали SSL/TLS на почтовых протоколах
Фигасе, не знал, что у них все так печально. Сейчас то plain-text, надеюсь, убрали совсем?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Security Week 47: {не}взломанный Tor, Gmail предупреждает о дешифровке, атака штрих-кодами