Проблема жовтого замочка, Статьи - Про компанію - Росінтеграція, РосІнтеграція

Проблема жовтого замку

жовтого

Ідеальний стан захищеності при роботі з корпоративною поштою показує нам іконка в лівій верхній частині браузера. Тут і скрізь я посилатимуся на 2 браузери: Firefox і Google Chrome, як найбільш підходящі для цього дослідження. Firefox як найуніверсальніший браузер для аудиту безпеки, а Chrome як браузер від самого Google. Отже, зелена іконка замочка для Chrome або закритий сірий замочок Firefox означає, що все добре.

Через деякий довільний час роботи з web-інтерфесом пошти іконки почали набувати іншого вигляду, що не могло не насторожувати:

замочка

Chrome при цьому давав посилання на сапорт, де пояснювалося значення таких іконок:

Слова «вразливе», «конфіденційної інформації», «зловмисник», «обережність» у цих абзацах натякають, що треба розібратися в причинах, щоб спати спокійно:

Щоб розібратися, використовуємо плагін для Firefox – Tamper Data (аналогічні інструменти є і для Chrome). Вони дозволяють відстежити всі запити, що надсилаються браузером серверу Google, і зрозуміти, що з цього передається https, а що – у відкритому вигляді, http.

Плагін був встановлений і запущений, після чого я продовжив користуватися поштою як завжди, уважно досліджуючи всі запити мого браузера. Результати не змусили довго чекати, були виловлені запити, що надсилаються у відкритому вигляді:

жовтого

статьи

Зупинюся на цих двох запитах трохи докладніше. Сервіси safebrowsing-cache.google.com та safebrowsing.clients.google.com є сервісами Google щодо протидії розповсюдженню шкідливих програм та фішингу. Google активно розповсюджує цю технологію і надає відкриті API іншим програмам, наприклад, Firefox вже давномає подібну угоду з Гуглом. Також цей механізм можна примусово відключити у Firefox і Chrome у відповідних налаштуваннях, однак робити це не рекомендується і просто нема чого:

Приклад того, що показує браузер при використанні механізмів safebrowsing.clients.google.com при спробі заходу на шкідливий сайт:

проблема

Також на цю сторінку можна зайти вручну та перевірити за допомогою даного сервісу свій сайт, далі показаний приклад із сайтом ya.ru:

проблема

При відкритті листа, надісланого з iPad, з'являлося відразу кілька запитів від центру verisign.com, що засвідчує, від компанії Symantec. Це теж на зелений замочок не впливає і, мабуть, також, безпосередньо через пошту не ходить.

жовтого

Комп'ютер із включеною поштою було залишено на ніч, у результаті було виловлено ще кілька подібних запитів від центрів сертифікації. Хвилюватися тут теж нема про що:

жовтого

Ще одна фірма, що займається сертифікатами, Godaddy:

проблема

На зелений замочок також це не впливає.

І ось серед усього цього з'явився нарешті той запит, який, як виявилося надалі, і вбивав зелений замочок:

жовтого

"Ні, не може Google хостити свої картинки на radikal.ru! =)". Пройшовши за посиланням, вказаним у запиті, ми бачимо логотип організації. А це означає, що справа у підписі співробітника. Запит цей з'являвся при відкритті листування (і, відповідно, показ картинок) від співробітника, який побажав залишитися невідомим =).

Далі все виявилося просто. Пошта Google дозволяє додавати картинку в підпис із зовнішнього джерела, що, відповідно, і було зроблено: додано картинку з логотипом підпис із зовнішнього URL-адреси - radikal.ru:

жовтого

статьи

Картинку з підпису видалено. Тепер,якщо переглядати нову пошту від співробітника, який мав підпис з radikal.ru, зелений замочок залишається в нормі. Якщо переглядати старе листування, то зелений замочок заміниться на сіро/жовтий, оскільки Google не оновлює підписи у старій пошті.

Весь аналіз відбувався на одному ПК з одного облікового запису Google. Отже, аналізувалося відповідне листування та весь процес саме на цьому ПК. Причину «жовтого замочка» було виявлено та усунено. Так що я цілком припускаю, що на інших місцях ця проблема може мати іншу причину: наприклад, логотип у підписі когось ще та й взагалі будь-який інший відкритий вміст. До того ж, ми розібрали лише один з величезної кількості прикладів включення відкритого вмісту до пошти, що використовує https. Безумовно, такий гігант як Google, уважно ставиться до захисту інформації і має жорстку безпекову політику, що стосується вмісту пошти і т.д. Вставити на місце підпису шкідливий скрипт не вийде, проте краще переоцінити, ніж недооцінити =)

статьи

Включивши її, будь-які «зовнішні» дані в листах: картинки, підписи та ін. будуть відображатися тільки за додатковим клацанням користувача. У такому випадку за замовчуванням будь-який зовнішній вміст буде вимкнено:

замочка

2. У разі виникнення підозр на шкідливі дії, спроби заміни сертифікатів (зміна піктограми та ін.), потрібно з'ясувати причину.

3. Не використовуйте офлайн-клієнти пошти, а якщо і використовуєте, то з обов'язковим шифруванням трафіку, що передається, адже за замовчуванням це практично ніколи не включається.

статьи

Така інформація дозволяє контролювати всю активність у пошті та вживати необхідних заходів у разі виявлення підозрілих дій, які міг пропустити і самGoogle=)