- WIADOMOŚCI
Bezpieczeństwo e-maili. Pełnomocnik rządu zaleca zmiany w szyfrowaniu
Autor. CHUTTERSNAP/Unsplash
Bez skonfigurowanego protokołu TLS komunikacja za pośrednictwem e-maili odbywa się otwartym tekstem – zwraca uwagę Pełnomocnik Rządu ds. Cyberbezpieczeństwa. W najnowszej rekomendacji zalecono wprowadzenie zmian, które mają wzmocnić poziom bezpieczeństwa poczty elektronicznej przed ujawnianiem zawartości korespondencji.
W przestrzeni publicznej wielokrotnie pojawiają się ostrzeżenia przed wyłudzeniami danych logowania oraz apele o aktualizację haseł w przypadku ich wycieku.
Incydenty tego rodzaju zdarzają się bardzo często, na co zwracamy uwagę na naszych łamach. Przykładowo, we wrześniu ubiegłego roku na jednym z forów hakerskich pojawiły się informacje dotyczące przeszło 140 tys. unikalnych kont Polaków. Z kolei pół roku wcześniej opublikowano 24,5 mln rekordów składających się z maila i hasła.
Niewłaściwa konfiguracja ujawni treść e-maili
Bezpieczeństwo poczty elektronicznej zależy nie tylko od danych logowania. Istotnym elementem jest protokół TLS, a brak jego skonfigurowania powoduje przekazywanie treści wiadomości otwartym tekstem. W efekcie, korespondencja może zostać przechwycona przez osoby trzecie.
W ostatni piątek czerwca pojawiła się rekomendacja Pełnomocnika Rządu ds. Cyberbezpieczeństwa (którym jest wicepremier Krzysztof Gawkowski) dotycząca ograniczenia ryzyka obecnego przy wysyłaniu korespondencji nieszyfrowanymi kanałami.
W piśmie zwrócono uwagę, że oprócz przechwycenia korespondencji, możliwe jest także przeprowadzenie ataku man-in-the-middle.
Wyłączyć słabe algorytmy, wprowadzić zaufane certyfikaty
Podmiotom krajowego systemu cyberbezpieczeństwa zalecono wyłączenie słabych algorytmów szyfrowania i protokołów kryptograficznych. Na liście zawartej w dokumencie znalazły się m.in. wszystkie wersje SSL, TLS 1.0 oraz 1.1, DES czy RC4. Zaznaczono przy tym, że pełna lista zmienia się wraz z rozwojem metod kryptoanalizy, a także rekomendacji zespołów CSIRT.
Jednocześnie organizacje powinny wykorzystywać certyfikaty wystawione przez zaufane urzędy certyfikacji, m.in. z europejskiej listy zaufanych dostawców usług, a także skonfigurować serwery pocztowe w taki sposób, aby umożliwiały ona sprawdzenie poprawności prezentowanych certyfikatów. Umożliwi to systemom weryfikację ważności, zgodności z hostem oraz zaufanie certyfikatów.
Polecono również ustawić rekordy PTR dla serwerów pocztowych w celu wsparcia oceny e-maili przez filtry antyspamowe w celu zmniejszenia ilości przypadków false-positive.
W rekomendacji wskazano też na portal Bezpieczna poczta obsługiwany przez CSIRT NASK, który pozwala sprawdzić czy serwery obsługują szyfrowanie komunikacji.
Dodatkową opcją pozostaje projekt Artemis, w ramach którego cykliczne skanowanie będzie obejmowało sprawdzenie serwerów poczty pod kątem możliwości zestawienia połączenia szyfrowanego.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].