Test bezpečnosti CZ / SR webmailů

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 18.1.2008
Hodnocení/Hlasovalo: 1.88/279

Mnoho uživatelů Internetu je přesvědčeno o tom, že webové služby poskytované renomovanými společnostmi jsou bezpečné a dokáží ochránit jejich soukromí. Zaměřil jsem se proto na bezpečnost velkých českých a slovenských poskytovatelů webmailu a provedl jejich otestování. To, co jsem zjistil, je přinejmenším šokující, neboť většina poskytovatelů nedokáže zajistit takovou bezpečnost, aby nemohlo dojít k ohrožení soukromí jejích klientů. V tomto reportu na Vás proto čeká srovnání jednotlivých webmailů z hlediska zabezpečení.

Jak známo, provedl jsem před časem test bezpečnosti webmailů Seznam.cz a Volny.cz. Ze strany Volny.cz jsem byl nemile překvapen pomalou reakcí a neprofesionálním přístupem, který vývojáři předvedli při odstranování jednotlivých chyb. To mě přivedlo na myšlenku, že zabezpečení některých webmailů nemusí být na tak vysoké úrovni, jak by se mohla většina uživatelů domnívat. Asi nikdo z Vás by nechtěl, aby jeho e-mailový účet byl veden u společnosti, která nedokáže zaručit jeho zabezpečení a dává tak soukromí svých klientů k dispozici nejrůznějším útočníkům. Z tohoto důvodu jsem se rozhodl provést rychlý test zabezpečení českých a slovenských webmailů na přítomnost XSS a CSRF zranitelností, jejichž využitím si útočník může zajistit přístup k informacím uloženým v cizím e-mailovém účtu, napáchat v tomto účtu mnoho škod, nebo jej může plně ovládnout a odcizit.

Několik důležitých informací



Seznam.cz

Vzhledem k mé spolupráci s touto společností se mohou uvedené informace jevit jako neobjektivní a tento webmail bych správně měl z testovaných služeb vypustit. Má spolupráce se společností však spočívá pouze v provádění bezpečnostních testů a proto si myslím, že mohu s klidným svědomím hodnotit i tohoto poskytovatele. Bepečnost webmailu Seznam.cz mám navíc zmapovánu daleko více, než bezpečnost ostatních webmailů a v jisté výhodě se tak ocitají spíše ostatní poskytovatelé, protože jsem průzkumem jejich bezpečnosti strávil mnohem méně času než na Seznamu.

Centrum.cz

Atlas.sk

Azet.sk

Volny.cz

Webmail Volny.cz společnosti Telecom Austria si právem zasluhuje jednu z posledních příček v žebříčku. Ještě před pár měsíci umožnoval vědomě tento webmail spouštění skriptů při zobrazení e-mailů v html formátu. Ty mohly vést k plnému ovládnutí uživatelského účtu, ale poskytovatel webamilu i přes skutečnost, že byl na přítomnost uvedené zranitelnosti upozorněn již před více než rokem, neprovedl žádnou nápravu. Tehdy zveřejněný útok kradl cookies obětí a Volny.cz se k celé záležitosti tehdy vyjádřil těmito slovy:

"Popsaný způsob útoku proti webmailu Volný je zcela neúčinný. Autorem získané cookies neobsahují žádné (ani zašifrované) údaje, cookies neslouží jako autologin či něco podobného. Jedná se o náhodný řetězec, který slouží při vyhodnocování statistik (vyhodnocování reklamních kampaní atp). Popsaný způsob útoku je znám několik let a proto je náš systém vůči němu imunní. Autor získal cookies, které neobsahují žádné informace, které by se daly zneužít k jakémukoliv útoku proti našemu webmailu."

Z uvedeného vyjádření pro mě vyplývá, že u tohoto poskytovatele je nedostatek kvalitních lidí, kteří by se orientovali v oblasti zabezpečení a dokázali by přinést kvalitní a bezpečné řešení. Celou záležitostí se začali zabývat teprve ve chvíli, kdy jsem na tomto portále zveřejnil expolit, jež uvedenou zranitelnost zneužíval tak, že přesměrovával nově příchozí poštu na e-mail útočníka. V současné době je již spouštění skriptů obsažených v zaslaných e-mailech rádoby zakázáno. Stále však existuje mnoho způsobů, jak může útočník implementovanou ochranu obejít a jak může využít svůj skript ke kompromitaci napadeného účtu.

Atlas.cz

Vzpomenete si ještě na rok 2005, kdy Atlas.cz představil svůj předělaný webmail a hrdě jej označoval za "Bezpečný mail"? Celkem by mě zajímalo, co si přesně Atlas.cz pod pojmem "bezpečný" představuje? Po rychlé kontrole zabezpečení tohoto webmailu jej totiž mohu označit pouze přízviskem "nebezpečný mail od Atlas.cz".

Post.sk

Obrana

Zbývá si položit otázku, zda se mohou uživatelé nějakým způsobem sami bránit.

K předchozím radám proto dodám ještě pár dalších.

Dovětek