Problem zaufania

Ktoś podszył się pod posłankę Kempę i pocztą elektroniczną wysłał w jej imieniu informację o rezygnacji z kandydowania do Sejmu. Jednak gdyby nie polityczny aspekt całego zdarzenia, nie zwrócilibyśmy na nie uwagi - z takimi mailami mamy do czynienia bardzo często, prawie przestaliśmy je zauważać.
Są dwa proste sposoby wysyłania e-mailowych fałszywek: włamanie do skrzynki albo ręczne spreparowanie fałszywki i wysłanie jej serwerowi pocztowemu.

Fakty są takie: do Polskiej Agencji Prasowej ktoś wysłał wiadomość e-mail wyglądającą tak, jakby wysłała ją posłanka Beata Kempa. Wiadomość zawierała oświadczenie o rezygnacji z kandydowania do Sejmu, jako ważna politycznie, została szybciutko przepublikowana przez PAP, po czym rozpętała się medialno-polityczna burza, bo wiadomość była fałszerstwem. Jak podaje Wyborcza, w mailu były dane biura posłanki w Sycowie i prawdopodobnie z tego adresu została wysłana. Ale to nie znaczy, że z tej skrzynki.

Są dwie proste drogi, żeby wysłać takiego e-maila. Prostsza, dla przeciętnego użytkownika to zgadnięcie hasła do cudzej skrzynki. Poczta sejmowa ma webmaila, publicznie dostępną aplikację pozwalającą na przeglądanie sejmowej skrzynki za pomocą przeglądarki, po zalogowaniu się nazwą użytkownika i hasłem. Wystarczy trochę szczęścia i hucpy. Jedno z biur poselskich Beaty Kempy korzysta z konta pocztowego na Wirtualnej Polse, chronionego analogicznym mechanizmem. Dostęp do cudzej skrzynki jest przestępstwem zagrożonym karą więzienia.

Przestępcy wysyłający spam i wyłudzający hasła rutynowo posługują się fałszowaniem wiadomości.

Druga metoda wymaga trochę wiedzy technicznej, wejścia w świat czarno-zielonych ekranów. Jednak nie trzeba do tego jakiejś wiedzy tajemnej, podsyłanie sobie fałszywek było kiedyś sztandarową zabawą studentów pierwszych lat studiów technicznych, którzy nauczyli się właśnie jak "od środka" działa poczta. Przy stosowaniu tej metody samo wysłanie fałszywki nie wymaga wysokich umiejętności, wiedzy i umiejętności wymaga spreparowanie jej tak, aby nie różniła się od oryginałów, przygotowanie odpowiednich podpisów i nagłówków, także tych niewidzialnych dla zwykłego użytkownika. Bardzo trudne (ale nie niemożliwe) jest też wysłanie wiadomości w sposób całkowicie uniemozliwiający zidentyfikowanie skąd ona naprawdę pochodzi.

Z mailami wysyłanymi drugą metodą mamy do czynienia na codzień - tak postępują spammerzy i phisherzy - przestępcy wyłudzający hasła do banków. Sieciowi bandyci fałszują maile w nadziei że je przeczytamy i zainteresujemy się przesłaną ofertą, albo na zalinkowanej stronie, w celu "weryfikacji danych? podamy login i hasło.

Podszywanie się za pomocą elektronicznych środków komunikacji to podstawowa metoda popełniania internetowych przestępstw, nazywana inżynierią społeczną (social engineering).

Przed fałszerstwami dokonywanymi tą metodą częściowo chronią nas systemy antyspamowe - częściej zdarza się, że fałszywka zostanie odsiana jako reklama. Aby tak się nie stało, nalezy ją starannie przygotować, łatwiej też sfałszować wiadomość z niewielkiego serwera pocztowego, niż z wielkiego serwisu mającego miliony użytkowników i stosującego specjalistyczną ochronę poczty wysyłanej.

Ale tak naprawdę problem lezy gdzie indziej. Taką wiadomość może wysłać każdy, więc redaktor dyżurny w PAP nie powinien publikować jej bez niezależnej weryfikacji. Chociaż to też nie dziwi. Wielokrotnie opisywane były przypadki skutecznego podszywania się za pomocą mediów elektronicznych: więzienie w amerykańskim stanie Tennessee zwoniło więźnia po otrzymaniu faksem takiego - sfałszowanego - polecenia od rzekomego "sędziego". Podobnie, kolektyw Anonymous spenetrował sieć zajmującej się bezpieczeństwem firmy HBGary Federal po podszyciu się pod szefa i wysłaniu prośby o zmianę hasła.

Nie wyewoluowaliśmy do nieufności. Dopóki systemy komputerowego bezpieczeństwa nie dopasują się do tego faktu, takie rzeczy będą się zdarzać. Dlatego lepiej ostrożnie podchodzić do wszystkich informacji, których nie możemy potwierdzić twarzą w twarz. Albo chociaż przez telefon, którym zadzwoniliśmy na znany wcześniej numer.

 

Janusz A. Urbanowicz jest członkiem zespołu Technologii, oraz niezależnym konsultantem w dziedzinie technologii internetowych i bezpieczeństwa. Prowadzi bloga pod tytułem Fnord.pl.

Więcej o: