Problem zaufania

Ktoś podszył się pod posłankę Kempę i pocztą elektroniczną wysłał w jej imieniu informację o rezygnacji z kandydowania do Sejmu. Jednak gdyby nie polityczny aspekt całego zdarzenia, nie zwrócilibyśmy na nie uwagi - z takimi mailami mamy do czynienia bardzo często, prawie przestaliśmy je zauważać.
Są dwa proste sposoby wysyłania e-mailowych fałszywek: włamanie do skrzynki albo ręczne spreparowanie fałszywki i wysłanie jej serwerowi pocztowemu.

Fakty są takie: do Polskiej Agencji Prasowej ktoś wysłał wiadomość e-mail wyglądającą tak, jakby wysłała ją posłanka Beata Kempa. Wiadomość zawierała oświadczenie o rezygnacji z kandydowania do Sejmu, jako ważna politycznie, została szybciutko przepublikowana przez PAP, po czym rozpętała się medialno-polityczna burza, bo wiadomość była fałszerstwem. Jak podaje Wyborcza, w mailu były dane biura posłanki w Sycowie i prawdopodobnie z tego adresu została wysłana. Ale to nie znaczy, że z tej skrzynki.

Są dwie proste drogi, żeby wysłać takiego e-maila. Prostsza, dla przeciętnego użytkownika to zgadnięcie hasła do cudzej skrzynki. Poczta sejmowa ma webmaila, publicznie dostępną aplikację pozwalającą na przeglądanie sejmowej skrzynki za pomocą przeglądarki, po zalogowaniu się nazwą użytkownika i hasłem. Wystarczy trochę szczęścia i hucpy. Jedno z biur poselskich Beaty Kempy korzysta z konta pocztowego na Wirtualnej Polse, chronionego analogicznym mechanizmem. Dostęp do cudzej skrzynki jest przestępstwem zagrożonym karą więzienia.

Przestępcy wysyłający spam i wyłudzający hasła rutynowo posługują się fałszowaniem wiadomości.

Druga metoda wymaga trochę wiedzy technicznej, wejścia w świat czarno-zielonych ekranów. Jednak nie trzeba do tego jakiejś wiedzy tajemnej, podsyłanie sobie fałszywek było kiedyś sztandarową zabawą studentów pierwszych lat studiów technicznych, którzy nauczyli się właśnie jak "od środka" działa poczta. Przy stosowaniu tej metody samo wysłanie fałszywki nie wymaga wysokich umiejętności, wiedzy i umiejętności wymaga spreparowanie jej tak, aby nie różniła się od oryginałów, przygotowanie odpowiednich podpisów i nagłówków, także tych niewidzialnych dla zwykłego użytkownika. Bardzo trudne (ale nie niemożliwe) jest też wysłanie wiadomości w sposób całkowicie uniemozliwiający zidentyfikowanie skąd ona naprawdę pochodzi.

Z mailami wysyłanymi drugą metodą mamy do czynienia na codzień - tak postępują spammerzy i phisherzy - przestępcy wyłudzający hasła do banków. Sieciowi bandyci fałszują maile w nadziei że je przeczytamy i zainteresujemy się przesłaną ofertą, albo na zalinkowanej stronie, w celu "weryfikacji danych? podamy login i hasło.

Podszywanie się za pomocą elektronicznych środków komunikacji to podstawowa metoda popełniania internetowych przestępstw, nazywana inżynierią społeczną (social engineering).

Przed fałszerstwami dokonywanymi tą metodą częściowo chronią nas systemy antyspamowe - częściej zdarza się, że fałszywka zostanie odsiana jako reklama. Aby tak się nie stało, nalezy ją starannie przygotować, łatwiej też sfałszować wiadomość z niewielkiego serwera pocztowego, niż z wielkiego serwisu mającego miliony użytkowników i stosującego specjalistyczną ochronę poczty wysyłanej.

Ale tak naprawdę problem lezy gdzie indziej. Taką wiadomość może wysłać każdy, więc redaktor dyżurny w PAP nie powinien publikować jej bez niezależnej weryfikacji. Chociaż to też nie dziwi. Wielokrotnie opisywane były przypadki skutecznego podszywania się za pomocą mediów elektronicznych: więzienie w amerykańskim stanie Tennessee zwoniło więźnia po otrzymaniu faksem takiego - sfałszowanego - polecenia od rzekomego "sędziego". Podobnie, kolektyw Anonymous spenetrował sieć zajmującej się bezpieczeństwem firmy HBGary Federal po podszyciu się pod szefa i wysłaniu prośby o zmianę hasła.

Nie wyewoluowaliśmy do nieufności. Dopóki systemy komputerowego bezpieczeństwa nie dopasują się do tego faktu, takie rzeczy będą się zdarzać. Dlatego lepiej ostrożnie podchodzić do wszystkich informacji, których nie możemy potwierdzić twarzą w twarz. Albo chociaż przez telefon, którym zadzwoniliśmy na znany wcześniej numer.

 

Janusz A. Urbanowicz jest członkiem zespołu Technologii, oraz niezależnym konsultantem w dziedzinie technologii internetowych i bezpieczeństwa. Prowadzi bloga pod tytułem Fnord.pl.

Więcej o:
Komentarze (17)
Problem zaufania
Zaloguj się
  • master4k

    Oceniono 1 raz 1

    Cugier-Kotkę też ktoś kiedyś pobił.

  • deflery

    0

    ja ngdy i nic nie zalatwiam przez internet. Poprostu nie mam zaufania . Moze to zabrzmi dziwnie, ale wole swoich danych nie ujawniac w omputerze. Zrezta w tych czasach czlowiek iczego nie uniknie, bo idac do roznych urzedow podajemy swoje dane, czy tezpokazujemy swoj dowod, a pracownik jest tylko pracownikiem i nigdy nie wiemy kto za tym biurkiem siedzi. Pozostaje tylko jedno, przestac o tym myslec.

  • tonik777

    0

    Proszę zwrócić uwagę, że równie łatwo (a może nawet łatwiej) można wysłać zwykły (klasyczny) list podszywając się pod kogoś.

  • Gość: gość

    0

    to i tak wina tuska i ruska;)

  • pyth0n

    0

    A najśmieszniejsze jest to:
    a) Istnieje kilka systemów umożliwiających weryfikację, czy adres IP nadawcy maila ma w ogóle prawo nadawać maile jako pochodzące z domeny XXX. Jednym z nich jest SPF ( pl.wikipedia.org/wiki/Sender_Policy_Framework )
    b) Serwery Sejmu mają ustawione poprawne wpisy SPF (czyli można zweryfikować uprawnienia komputera nadawcy)
    c) PAP też korzysta z systemu SPF. Miało całą infrastrukturę niezbędną do wykrycia fałszerstwa.

    Z tego wynika, że
    a) administrator w Sejmie dopełnił wszelkich obowiązków i proszę się od niego odpipiliptać.
    b) administrator w PAP tylko częściowo wdrożył SPF, bo tylko na nadawanie. Przy poprawnym wdrożeniu na odbieranie fałszywka w ogóle nie dotarłaby do skrzynki PAP.

  • asmok6

    0

    Co za bzdury. Trudniejsza metoda? Wpisać cudzy adres jako adres nadawcy przy konfiguracji programu pocztowego jest trudniejsze niż włamanie się komuś na pocztę?
    Ten świat schodzi na psy jeśli dla przeciętnego usera wejście w menu w programie jest trudniejsze niż zgadywanie haseł.

  • sybirak2

    0

    Po co wszystkie tłumaczenia? Prawda wydaje się prostsza: Beata Kempa wpłaciła kaucję za
    Starucha i tym tochę przesadziła. Została za to upomniana, więc się obraziłą na PiS i wysłała tego maila. Za to obrugano ją, jak należy, i nakazano wiadomość odwołać. Kempa odwołuje swą wiadomość poprzez skandal polityczny. Ot po prostu metoda pislamu,

  • rojberek

    0

    Nie podniecajcie się czymś, co potrafi zrobić każdy dzieciak który choć raz skorzystał z internetu.

  • konsulhonorowypernambuco

    0

    Oczywistą oczywistością jest, że to z m a s o w a n y atak sił inspirowanych przez PO. A najprościej można wytłumaczyć to socjotechnicznie. Kempy nie znoszą w okręgu kieleckim PiS i tam moim zdaniem siedzi sobie swistak i zawija maile w sreberka.

Aby ocenić zaloguj się lub zarejestrujX