?

Log in

No account? Create an account

На просторах великой страны нас встречает могильный покой


Previous Entry Поделиться Next Entry
ИТ: О государевой электронной почте
seerozha
"Концепция обеспечения информационной безопасности на государственном уровне", говорите ?

Оригинал взят у infowatch в О последствиях забыли

Пользователь всегда выберет удобство. Как его ни ограничивай, как ему ни рассказывай, что нарушение установленных правил грозит серьезными последствиями и для организации, и для него лично.

email_forblog

За примерами далеко ходить не нужно. Хакерская группировка «Анонимный интернационал» получила доступ к электронным письмам сотрудников управления внутренней политики администрации президента России. Отдельные документы злоумышленники выложили в своем блоге «Шалтай-Болтай». Другую часть писем, автором или адресатом которых якобы является пресс-секретарь Дмитрия Медведева Наталья Тимакова, хакеры намерены продать за 150 биткойнов (около 35 тыс. долл. США).

Злоумышленники сообщают, что массив писем Тимаковой «снят» с электронного ящика, который используется для сбора почты с других адресов Натальи – на массовых почтовых сервисах и почтового аккаунта в охраняемом ФСО домене .gov. К продаже предлагаются 496 сообщений, датированных 2004-2015 годом.

Эксперты сомневаются в том, что был взломан почтовый аккаунт. Генеральный директор компании Group-IB Илья Сачков предполагает, что хакеры «получили доступ к сессии и просто завладели почтой». Илья считает, что взлома компьютера не было, поскольку в этом случае хакеры могли бы «сделать гораздо больше зла». Сергей Никитин, коллега Сачкова по Group-IB, считает, что хакеры все же пробрались на компьютер пресс-секретаря бывшего президента России: «Если посмотреть на адреса выложенных в открытый доступ писем, то видно, что они взяты с нескольких почтовых аккаунтов, принадлежащих Тимаковой. Как правило, это говорит о том, что почта похищена не с почтового сервера, а с устройства самого пользователя».

Представитель Анонимного интернационала пояснил Газете.Ru, что госслужащим давно запретили пользоваться бесплатными почтовыми серверами, однако многие сотрудники властных структур не соблюдают этот запрет.

Есть лишь одно объяснение, почему письма государственной важности оказываются на «гражданских» серверах. Прямой удаленный доступ к правительственной почте со сторонних устройств, скорее всего, блокирован. В итоге чиновники вынуждены идти на хитрость, перенаправлять почту на бесплатные почтовые серверы и уже к этим серверам подключать свои планшеты и смартфоны. О последствиях своих действий люди государевы при этом, видимо, не задумываются.
Метки: ,

  • 1
Остается вопрос, почему суперзащищенный почтовый сервер позволяет собирать с него почту другим почтовым серверам.

Получение извне недоступно -

gov.ru has address 95.173.128.90
gov.ru mail is handled by 10 mx3.gov.ru.
gov.ru mail is handled by 20 mx4.gov.ru.

Z:\>telnet mx3.gov.ru 110
Connecting To mx3.gov.ru...Could not open connection to the host, on port 110: Connect failed

Z:\>telnet mx4.gov.ru 110
Connecting To mx4.gov.ru...Could not open connection to the host, on port 110: Connect failed

Z:\>telnet mx3.gov.ru 143
Connecting To mx3.gov.ru...Could not open connection to the host, on port 143: Connect failed

Z:\>telnet mx4.gov.ru 143
Connecting To mx3.gov.ru...Could not open connection to the host, on port 143: Connect failed

по 465/tcp и 995/tcp аналогичная картина, а вот 25/tcp на пересылку открыт, без всяких баннеров - хотя он на МТА ругается -

554-mx3.gov.ru
554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.

По заголовкам больше похоже на перехват сессии на промежуточном оборудовании (если так - то почему не pops/imaps на "суперзащищенном" сервера ?), либо контроль над ПК.

В перехват сессии не верю - все яндексы и жмайлы давно перешли на строго шифрованый доступ. А вот тупость конкретной сотрудницы, скачавшей шарики с трояном мне представляется наиболее вероятной.
Тлько массовые расстрелы увольнения безалаберных сотрудников спасут отечественную ИБ.

ssl mitm не стоит на месте - как концепт, например, вот - http://habrahabr.ru/post/213397/

Так то оно так, только в приведенном примере все таки была подконтрольна целевая система.
Без этого такая атака мне представляется реальной разве что со стороны АНБ и ему подобных.

  • 1