Jak známo, provedl jsem před časem test bezpečnosti webmailů Seznam.cz a Volny.cz. Ze strany Volny.cz jsem byl nemile překvapen pomalou reakcí a neprofesionálním přístupem, který vývojáři předvedli při odstranování jednotlivých chyb. To mě přivedlo na myšlenku, že zabezpečení některých webmailů nemusí být na tak vysoké úrovni, jak by se mohla většina uživatelů domnívat. Asi nikdo z Vás by nechtěl, aby jeho e-mailový účet byl veden u společnosti, která nedokáže zaručit jeho zabezpečení a dává tak soukromí svých klientů k dispozici nejrůznějším útočníkům. Z tohoto důvodu jsem se rozhodl provést rychlý test zabezpečení českých a slovenských webmailů na přítomnost XSS a CSRF zranitelností, jejichž využitím si útočník může zajistit přístup k informacím uloženým v cizím e-mailovém účtu, napáchat v tomto účtu mnoho škod, nebo jej může plně ovládnout a odcizit.
Několik důležitých informací
- Ve všech popisovaných případech je v bezpečí ten, kdo své e-maily vybírá ze schránky prostřednictvím mailových klientů (MS Outlook, Thunderbird). Uvedené informace se týkají pouze webových rozhraní pro správu e-mailových účtů.
- Jednotlivé zranitelnosti byly testovány v prohlížečích MS Internet Explorer a Mozilla FireFox. Většina zranitelností se projevuje v obou těchto prohlížečích, některé ovšem jen v jednom z nich. Pro zkušeného útočníka není nicméně problém přinutit svou obět k použití konkrétního browseru.
- Mnoho z nalezených zranitelností vyžaduje ke zdárnému provedení útoku jistou spoluúčast oběti, která většinou spočívá v jednom, či dvou kliknutí. Pokud je útok veden proti konkrétní oběti a je tak při útoku využita jistá dávka sociotechniky, má útočník zajištěnu téměř 100% účinnost. V několika případech nalezených zranitelností však k uskutečnění zdárného útoku stačí, když obět otevře zprávu obsahující zákeřný kód, nebo dokonce stačí, když se obět naloguje do svého účtu.
- Ve článku nenajdete uvedeny žádné konkrétní nalezené chyby, pouze jejich počet. Neočekávejte od něj proto ani návody, jak těchto chyb prakticky zneužít.
- Článek má za úkol porovnat bezpečnost zkoumaných webmailů a doporučit Vám ty webmailové služby, které jsou z mého pohledu nejbezpečnější. Na druhou stranu byste se měli vyvarovat zakládání e-mailových účtů ve webmailech, které jsou chybami prolezlé skrz naskrz. Jejich poskytovatele lze doporučit snad jen nepříteli.
- Jednotlivé webmailové služby budu řadit sestupně od nejbezpečnějších po ty méně bezpečné až nebezpečné.
Seznam.cz
Vzhledem k mé spolupráci s touto společností se mohou uvedené informace jevit jako neobjektivní a tento webmail bych správně měl z testovaných služeb vypustit. Má spolupráce se společností však spočívá pouze v provádění bezpečnostních testů a proto si myslím, že mohu s klidným svědomím hodnotit i tohoto poskytovatele. Bepečnost webmailu Seznam.cz mám navíc zmapovánu daleko více, než bezpečnost ostatních webmailů a v jisté výhodě se tak ocitají spíše ostatní poskytovatelé, protože jsem průzkumem jejich bezpečnosti strávil mnohem méně času než na Seznamu.
- Seznam.cz je zřejmě nejlépe zabezpečený webmail, který je k dispozici.
- Aplikace je navržena s důrazem na bezpečnost a během průzkumu zabezpečení lze tuto skutečnost vnímat na každém kroku.
- Během tohoto roku bylo sice ve webmailu společnosti Seznam.cz nalezeno pár zranitelnstí, ale ty byly okamžitě po jejich nahlášení odstraněny.
- Jedniná zranitelnost, na kterou se mi podařilo narazit, by se dala označit spíše za slabé místo Internet Exploreru, než samotného webmailu. Seznam.cz místo, kde se tato zranitelnost nachází, ošetřil jinou doménou, aby nemohlo docházet k napadení uživatelů a pokud již k napadení přecijen dojde, řeší Seznam celou záležitost na základě podaného oznámení. Protože si myslím, že je s pomocí sofistikovaných útoků možné na uživatele skrz tuto zranitelnost přesto zaútočit, doporučoval bych toto zranitelné místo ošetřil i jinými způsoby. Podle vyjádření Seznam.cz by ale taková úprava vedla k omezení funkčnosti, kterou webmail svým uživatelům poskytuje a je proto v rozporu s produktovými představami.
- V době psaní tohoto článku mohu s klidným svědomím říci, že se ve webmailu této společnosti nenachází žádná mě známá zranitelnost (kromě výše uvedené maličkosti) a tento webmail se tak stává zářící hvězdou na poli dostupných webmailů.
- Hodnocení bezpečnosti: Vynikající
Centrum.cz
- Jedna z variant, kterou lze s čistým svědomím doporučit.
- Je vidět, že při návrhu aplikace nestála otázka bezpečnoti stranou a pokud toužíte po bezpečném místě pro své e-maily, je Centrum dobrou volbou.
- Jedinou vadou, která dělí webmail Centrum.cz od dokonalosti, je skutečnost, že se mi v něm podařilo nalézt malou zranitelnost, která vyžaduje ke zdárnému provedení útoku použití IE a jistou spoluúčast oběti, jež spočívá v jediném kliknutí. Protože jde jen o drobné přehlédnutí a stejnou chybou trpěl pro zajímavost až do doby mých pokusů i Gmail a většina dalších webmailů, lze výskyt této zranitelnosti se zamhouřením oka omluvit.
- Hodnocení bezpečnosti: Téměř vynikající
Atlas.sk
- Webmail, který bych označil za průměrný.
- Aplikace je vytvářena s ohledem na bezpečnost, ale bohužel pár zranitelností vývojářům uniklo.
- Jedna ze zranitelností umožnuje spustit kód útočníka při pouhém zobrazení náhledu doručené zprávy, čímž se pro uživatele stává poněkud nebezpečným. Pokud budou ze strany Atlas.sk podniknuty kroky vedoucí k odstranění těchto zranitelností, bude možno tento webmail považovat za bezpečný.
- Hodnocení bezpečnosti: Dobrý
Azet.sk
- Tento webmail řadím stejně jako Atlas.sk mezi průměrně zabezpečené služby.
- Celá aplikace vytvářena s ohledem na bezpečnost, ale i zde vývojářům pár zranitelností proklouzlo.
- Ta nejhorší umožňuje spustit útočníkův kód okamžitě po náhledu e-mailové zprávy, čímž se v rukou útočníka stává dosti nebezpečnou zbraní.
- Další dvě nalezené zranitelnosti vyžadují jistou spoluúčast oběti a pokud se bude uživatel chovat rozvážně, může se jejich účinku zdárně vyhnout.
- Hodnocení bezpečnosti: Dobrý
Volny.cz
Webmail Volny.cz společnosti Telecom Austria si právem zasluhuje jednu z posledních příček v žebříčku. Ještě před pár měsíci umožnoval vědomě tento webmail spouštění skriptů při zobrazení e-mailů v html formátu. Ty mohly vést k plnému ovládnutí uživatelského účtu, ale poskytovatel webamilu i přes skutečnost, že byl na přítomnost uvedené zranitelnosti upozorněn již před více než rokem, neprovedl žádnou nápravu. Tehdy zveřejněný útok kradl cookies obětí a Volny.cz se k celé záležitosti tehdy vyjádřil těmito slovy:
"Popsaný způsob útoku proti webmailu Volný je zcela neúčinný. Autorem získané cookies neobsahují žádné (ani zašifrované) údaje, cookies neslouží jako autologin či něco podobného. Jedná se o náhodný řetězec, který slouží při vyhodnocování statistik (vyhodnocování reklamních kampaní atp). Popsaný způsob útoku je znám několik let a proto je náš systém vůči němu imunní. Autor získal cookies, které neobsahují žádné informace, které by se daly zneužít k jakémukoliv útoku proti našemu webmailu."
Z uvedeného vyjádření pro mě vyplývá, že u tohoto poskytovatele je nedostatek kvalitních lidí, kteří by se orientovali v oblasti zabezpečení a dokázali by přinést kvalitní a bezpečné řešení. Celou záležitostí se začali zabývat teprve ve chvíli, kdy jsem na tomto portále zveřejnil expolit, jež uvedenou zranitelnost zneužíval tak, že přesměrovával nově příchozí poštu na e-mail útočníka. V současné době je již spouštění skriptů obsažených v zaslaných e-mailech rádoby zakázáno. Stále však existuje mnoho způsobů, jak může útočník implementovanou ochranu obejít a jak může využít svůj skript ke kompromitaci napadeného účtu.
- Výše uvedená chyba není jedinou zranitelností, na kterou je webmail této společnosti náchylný. V samotném webmailu můžete narazit na mnoho XSS zranitelností, které umožnují na jedno či dvě kliknutí ovládnout napadený účet.
- Vzhledem k tomu, že Volny.cz zřejmě s lidmi, jako jsem já, nekomunikuje (a to ani po upozornění na výskyt zranitelností), nezbývá než konstatovat, že Volny.cz bere bezpečnost svého webmailu opravdu na lehkou váhu. Pokud bych byl klientem Volny.cz a bylo by mi známo, že společnost je informována o existenci zranitelností, které mohou narušit mé soukromí, a přesto s tím nic nedělá, asi by mě to nenechalo klidným a snažil bych se svůj účet co nejrychleji přesunout někam jinam.
- K plnému ovládnutí účtu stačí spoluúčast v podobě jednoho kliknutí. Při benevolentním nastavení webového browseru, pak není vyžadována spoluúčast žádná a k provedení útoku postačí pouhé zobrazení e-mailové zprávy ve formátu html.
- Hodnocení bezpečnosti: Nedostačující
Atlas.cz
Vzpomenete si ještě na rok 2005, kdy Atlas.cz představil svůj předělaný webmail a hrdě jej označoval za "Bezpečný mail"? Celkem by mě zajímalo, co si přesně Atlas.cz pod pojmem "bezpečný" představuje? Po rychlé kontrole zabezpečení tohoto webmailu jej totiž mohu označit pouze přízviskem "nebezpečný mail od Atlas.cz".
- Celý webmail obsahuje řadu chyb, které útočníkovi umožnují přístup k soukromým informacím a ke kompletnímu ovládnutí uživatelovy schránky.
- Vzhedem k tomu, že webamilové rozhraní obsahuje i takové chyby, které pro zcizení informací nebo celého účtu nevyžadují od oběti žádnou spoluúčast, nezbývá než říci: "Děkuji nechci".
- Hodnocení bezpečnosti: Nebezpečný
Post.sk
- Suveréně nejhorší z popisovaných webmailů.
- Post.sk obsahuje zranitelnosti, které útočníkovi umožní ovládnout účet pouze tím, že se obět přihlásí ke svému účtu.
- V celém webmailu neexistuje sebemenší ochrana proti útokům CSRF a oběti by byly na útoky náchylné i v případě, že by měli ve svém prohlížeči zakázánu podporu skriptovacích jazyků.
- Se zranitelnostmi v podobě XSS je to podobné jako v případě CSRF. Narazíte na ně téměř všude, kde Vás to napadne.
- Poskytovatel tohoto webmailu si podle mého se zabezpečením moc hlavu nelámal a já se divím, že ještě existují uživatelé, kteří mají svůj účet u tohoto poskytovatele a dosud nepřišli o své soukromí.
- Doporučuji držet se od tohoto webmailu co možná nejdále. Post.sk vyloženě hazarduje se soukromím svých klientů.
- Hodnocení bezpečnosti: Nebezpečný
Obrana
Zbývá si položit otázku, zda se mohou uživatelé nějakým způsobem sami bránit.
- Mnoho ostřílených uživatelů Interetu by na tuto otázku odpovědělo větou, že stačí ve svém webovém prohlížeči zakázat podporu skriptovacích jazyků, což by skutečně většině útoků zabránilo. Problém je však v tom, že samotné aplikace webmailů skriptování na straně klienta často aktivně využívají a pokud tuto podporu zakážete, přijdete i o možnost pracovat rozumně se svým účtem.
- Dále by Vám zkušený uživatel poradil, že nemáte otevírat přílohy, klikat na odkazy a dokonce ani otevírat e-maily, které pochází z nedůvěryhodných zdrojů. I s tímto tvrzením lze plně souhlasit. Naneštěstí i zde ovšem existují určitá "ale". Pro útočníka není často problém zfalšovat odesilatele e-mailu a může se tak vydávat například za Vašeho přítele, kterému plně důvěřujete a nečekáte od něj v e-mailové zprávě žádné útoky.
- Navíc se ve dvou z uvedených webmailů vyskytují takové zranitelnosti, které umožnují ovládnutí Vašeho účtu bez jakékoliv spolupráce. Stačí, pokud se připojíte ke svému účtu, čímž může být Váš účet zdiskriminován dříve, než se rozkoukáte.
K předchozím radám proto dodám ještě pár dalších.
- Vyberte si takového poskytovatele, který to s bezpečností myslí opravdu vážně a aktivně se zajímejte o činnosti, které Váš poskytovatel mailového účtu v oblasti zabezpečení vyvíjí.
- Pravidelně kontrolujte, zda nemáte ve svém účtu vytvořeny zadní vrátka v podobě změněné odpovědi na kontrolní otázku, nebo zda útočník nenastavil přeposílání kopií příchozích zpráv na svůj účet.
Dovětek
- V žádném případě si nedovolím tvrdit, že se mi nepodařilo nalézt všechny zranitelnosti, které se v testovaných webmailech nacházejí. Testováním jsem strávil opravdu málo času a je tak pravděpodobné, že mi mnoho dalších zranitelností proklouzlo. Z celkového pohledu je však výsledek testu dostatečně vypovídající na to, abyste si mohli udělat představu o tom, jak vážně berou Vaši bezpečnost jednotliví poskytovatelé.
- Pokud bude mít kterákoliv z testovaných společností zájem o oznámení nalezených zranitelností, nebo bude chtít provést kompletnější bezpečnostní test, očekávám reakce na e-mailu ccuminn@soom.cz.