Slovenské e-mailové portály nie sú bezpečné

Zabezpečenie vašej e-mailovej schránky nemusí byť také bezpečné, ako by ste očakávali. Najväčšie bezpečnostné chyby sa našli u administrácie post.sk, ktorá umožňuje ovládnutie vašej elektronickej pošty obyčajným prihlásením. Atlas.sk a azet.sk umožňuje útočníkovi spustiť nebezpečný kód už pri zobrazení náhľadu na prijatú správu.

Zmena časti kódu

Český server soom.cz vykonal rýchly bezpečnostný test najznámejších web mailových služieb na Slovensku a Česku. Test bol zameraný na zraniteľnosti typu XSS (Cross-site scripting) a CSRF (Cross-site request forgery). Útoky tohto typu používajú Javascript, ktorý pozmení časť kódu zobrazovanej stránky tak, aby sa útočník dostal ku najcitlivejším údajom (prihlasovacie údaje). Vaša e-mailová schránka môže byť takýmto spôsobom jednoducho odcudzená. Chyba je v zastaralom HTTP protokole, ktorý slúži na komunikáciu medzi prehliadačom a serverom. HTTP protokol nie je schopný overiť užívateľa. Na overenie sa používajú Cookies odoslané užívateľom, ktoré môže útočník pozmeniť tak, aby využil identitu odosielateľa. E-mailové správy umožňujú vkladanie časti HTML kódov aj vrátanie JavaScriptov. Prijatie správy s týmto kódom a zobrazením vo vašom prehliadači je všetko, čo na útok postačuje.

Obrana

Najlepšia obrana je zmena protokolu. E-mailový klienti (Thunderbird, MS Outlook) používajú na čítanie a odosielanie protokoly POP3 a SMTP, ktoré sú špeciálne vyvinuté pre potreby elektronickej pošty. Ak už ste nútený používať webové rozhranie pre vašu poštu, riaďte sa niekoľkými jednoduchými pravidlami. Neotvárajte a neklikajte na správy od neznámych užívateľov a pravidelne si meňte heslo. Kontrolujte si bezpečnostnú otázku. V prípade, že útočník pozná vašu bezpečnostnú otázku, môže systém pripomenutie zabudnutého hesla zneužiť. Jedna z možností je zakázať Javascript vo vašom prehliadači, ale vzhľadom na rozšírenosť tohto skriptovacieho jazyka, vám väčšina užitočného obsahu stránok nemusí fungovať.

Bezpečnosť serveri podceňujú

Opatrenia proti útokom môže spraviť aj prevádzkovateľ web mailovej služby. Ale ako bezpečnostný test preukázal, niektoré portály obranu proti najbežnejším útokom nemajú vôbec, alebo len čiastočne. Preto je dôležité, aby ste si vybrali poskytovateľa, ktorý sa bezpečnosti venuje na profesionálnej úrovni. Najrozumnejšie je používať e-mailového klienta, ktorý je bezpečný aj na ďalšie typy útokov.