Kilka słów o podszywaniu się pod nadawcę poczty elektronicznej

Data publikacji: 13/09/2011, przemek

Od wczoraj po serwisach informacyjnych krążą informacje o wysłanym w imieniu posłanki Beaty Kempy liście elektronicznym do Polskiej Agencji Prasowej, zawiadamiającym o rezygnacji pani poseł z udziału w kampanii wyborczej. Posłanka Kempa (słusznie) zgłosiła sprawę podszycia się na prokuraturze, obwiniając jednocześnie (niekoniecznie słusznie) i oskarżając o zaniedbania administratorów serwisów sejmowych. Odkładając na bok kwestie tego, czy zatrudnianie administratora serwera pocztowego jest decyzją podejmowaną przez konkretne ugrupowanie polityczne, warto zauważyć, że w dyskusjach pomijany jest zwykle jeden bardzo ważny aspekt. Poczta elektroniczna nie jest narzędziem zapewniającym jakiekolwiek mechanizmy służące weryfikacji tożsamości nadawcy. Tak została zaprojektowana i już. Wiarygodność adresu nadawcy jest mniej więcej taka sama jak wiarygodność napisanego długopisem adresu nadawcy na kopercie zwykłego listu – żadna. Żeby nie szukać przykładu daleko – w przypadku opisanego przez nas niedawno spamu nikt nie oskarżał nadawcy o włamanie na skrzynkę szefa HSBC.

Możliwości podszycia się pod kogoś innego w liście elektronicznym jest wiele. Poniżej przedstawiamy kilka możliwych scenariuszy. Podkreślmy jednak, że nie będąc w posiadaniu kopii kompletnego listu wraz z nagłówkami, nie jesteśmy w stanie spekulować na temat prawdopodobieństwa któregokolwiek z nich. Jednocześnie będziemy wdzięczni za kontakt, gdyby którykolwiek z czytelników był w posiadaniu takiej kopii.

Dla większości użytkowników poczty elektronicznej pojęcie „adres nadawcy” ogranicza się do tego, co widoczne jest w polu „Od” (From) wyświetlanym przez program pocztowy. Warto więc wiedzieć, że informacja ta jest zupełnie swobodnie modyfikowalna przez autora listu, na równi z jego treścią. Nie podlega żadnej weryfikacji ani większym ograniczeniom. Oprócz pola From serwery wykorzystują podczas przekazywania sobie listu jeszcze jeden adres, na który kierowane są na przykład informacje o problemie z dostarczeniem. Nie musi on być tożsamy z adresem nadawcy, a zobaczyć go można w polu Return-Path po wyświetleniu pełnego nagłówka listu. W wyniku walki ze spamem stworzono mechanizmy umożliwiające w pewnym stopniu weryfikację tego (powtórzmy, niewidocznego „gołym okiem”) adresu, takie jak SPF czy DomainKeys. Nie są one jednak związane z tożsamością konkretnego użytkownika. Ograniczają jedynie wysyłanie listów z danej domeny (np. sejm.pl) do konkretnych serwerów, które ją obsługują. Ma to uniemożliwić podszycie się np. przejętego domowego komputera pod serwer sejmu i rozsyłanie spamu. Mechanizmy działają, pod warunkiem, że korzystają z nich obie strony – nadawca (informując, kto ma prawo wysyłać listy z jego domeny) i odbiorca (sprawdzając, czy łączący się z nim serwer jest do tego uprawniony). Co ciekawe, Sejm RP korzysta z SPF, publikując odpowiednie informacje zarówno dla domeny sejm.pl jak i sejm.gov.pl. Co z tego, skoro PAP ich nie sprawdza? Wysłany przez nas testowo list z adresu [email protected] został bez problemu przyjęty. Dla porównania, podobna próba z serwerem Wirtualnej Polski została błyskawicznie zakończona komunikatem „550 BLAD SPF”. Krótko mówiąc, bez większego trudu, z dowolnego komputera można taki list wysłać i nawet zapobiegliwość administratorów Sejmu nic tu nie pomoże.

Inny scenariusz zakłada wykradzenie danych dostępowych do konta posłanki. Możliwości jest wiele – od socjotechniki, przez keylogger po wyrafinowane złośliwe oprogramowanie. W takim przypadku trudno jest jednak mówić o włamaniu do skrzynki a tym bardziej odpowiedzialności administratorów serwera. Problem leżałby bowiem raczej po stronie stacji roboczej lub jej użytkownika.

Najczarniejszy scenariusz to rzeczywiste włamanie na serwer pocztowy. Posłowie korzystają z usługi webmail i kompromitacja jej serwera wiązałaby się z dostępem do poczty przychodzącej i wychodzącej. Dostęp ten nie byłby jednak ograniczony do skrzynki jednej pani poseł, lecz dotyczył wszystkich parlamentarzystów i posiadaczy kont w domenie sejm.pl. Konsekwencje tego byłyby dużo poważniejsze niż bardziej czy mniej brzemienny w skutkach fałszywy email.

Na koniec sprawa najważniejsza – mechanizm, który umożliwia z całkiem dobrym skutkiem weryfikowanie, czy nadawca listu elektronicznego jest tym, za kogo się podaje znany jest od dawna. To podpis elektroniczny. Wśród specjalistów korzystanie z niego jest na porządku dziennym. Niestety, poza ich gronem nie uległ on upowszechnieniu a niekoniecznie udane prawo z 2001 roku nie sprzyja powszechnej woli używania go. Jak widać woli tej brakuje nawet samym ustawodawcom, bo gdyby w swojej korespondencji parlamentarzyści posługiwali się podpisem elektronicznym, problemu by nie było. Cóż, może to dobry powód by temat e-podpisu przewietrzyć?

Aktualizacja: Prawidłowym rozwiązaniem zagadki okazał się scenariusz pierwszy, czyli sfałszowany adres nadawcy. List został wysłany ze strony oferującej stworzenie listu z podmienionymi danymi nadawcy. Nie ma więc mowy o jakimkolwiek włamaniu na skrzynkę pocztową. Dodajmy, że możliwe było szybkie rozpoznanie oszustwa przez zainteresowanie się nagłówkami wiadomości, które wskazywały jednoznacznie, że list pochodzi nie z sejmu lecz z czeskiej strony WWW.