Объединенная команда исследователей из компании Google, Университета Мичигана, Иллинойсского университета в Урбане-Шампейне обнаружила, что распространенный метод шифрования почтового трафика STARTTLS серьезно сбоит во многих странах мира.

В прошлом, 2014 году Google активно призывала почтовых операторов использовать протокол STARTTLS, который обеспечивает шифрование почты, когда она пересылается от одного провайдера к другому в виде SMTP сообщений. Дело в том, что для корректной работы данного шифрования, его должны применять все стороны. То есть, если email был отправлен с ящика Gmail другому провайдеру, но тот не поддерживает STARTTLS, сообщение пересылается незашифрованным, что ставит переписку пользователей под угрозу.

Изучив логи Gmail SMTP, за период с января 2014 по апрель 2015 гг., а также опираясь на характеристики SMTP-серверов из топа Alexa, исследовательская группа получила следующую картину. В целом, за год защита входящих сообщений в Gmail выросла с 33% до 60% , а исходящих до 80%. Такой существенный прирост ученые объясняют тем, что Yahoo, Outlook и другие, более мелкие компании внедрили поддержку STARTTLS на свои серверы.

Capture

Хотя объем зашифрованного STARTTLS трафика вполне уверено растет, исследование показало, что все дело не так радужно.

Эксперты выяснили, что на крупные компании, вроде Google, Microsoft и Yahoo, можно положиться – у них полный порядок с шифрованием и конфигурацией аутентификации сообщений. Однако порядка 770 000 SMTP-серверов из топа Alexa не могут похвастаться тем же: на  них либо неверно настроено шифрование, либо имеются проблемы с аутентификацией. Благодаря этому, атакующие довольно легко могут лишить сервер STARTTLS-шифрования и перехватывать сообщения пользователей.

Только 82% из 770 000 серверов поддерживают TLS и на них нормально настроено шифрование. Лишь 35% серверов могут похвастаться верными настройками аутентификации. А без нормальной работы механизма аутентификации, используя man-in-the-middle атаки, можно добиться, фактически, даунгрейда сервера до стадии, когда большая часть сообщений пересылается в виде открытого текста.

Исследователи обнаружили, что в семи странах мира хакеры сумели принудительно лишить шифрования более 20% всего почтового трафика. Самый сложный случай наблюдается в Тунисе: 96% писем, отправленных оттуда на серверы Gmail, отправляются в виде обычного текста. К тому же из 877 почтовых доменов, на которые Gmail отправляет сообщения чаще всего, только 58% принимают 100% сообщений, используя при этом TLS.

countries-affected-by-starttls-sripping-640x256
Насколько плоха ситуация со STARTTLS в разных странах

Также в официальном отчете говорится об обнаружении массовой подмены DNS серверов, с целью перенаправления почты на серверы, подконтрольные хакерам. Так, более 178 000 публичных DNS серверов предоставляют неверные IP-адреса gmail.com, yahoo.com, outlook.com, qq.com и mail.ru.

Фото: Jonny Hughes



Оставить мнение