Архив новостей

Технология аутентификации: пока безупречного решения нет

Ведущие интернет-провайдеры и компании, занимающиеся интернет-безопасностью, обсудили проблему технологии аутентификации отправителя на встрече в Чикаго.

Две технологии

На сегодняшний день рассматриваются как основные две технологии аутентификации отправителя. Задача обеих технологий – подтверждение подлинности отправителя, но подтверждают они ее разными способами.

Sender ID, основанная на решении Microsoft Caller ID и Sender Policy Framework (SPF) Мена Вонга, требует публикации так называемых SPF-записей (списка IP- адресов, используемых сервером при отправке почты) и позволяет выявлять сообщения с поддельными IP-адресами.

DomainKeys Identified Mail (DKIM) объединяет разработанную Yahoo технологию DomainKeys и систему Internet Identified Mail от Cisco Systems. Технология требует создания пары криптографических ключей, публичного и личного, и публикации публичного ключа в записях DNS. Личный ключ хранится на почтовом сервере. DKIM присоединяет к каждому исходящему сообщению специальную цифровую подпись, а почтовый сервер на стороне получателя с помощью публичного ключа проверяет, действительно ли цифровая подпись была сгенерирована доменом, указанным в адресе отправителя.

Полтора года назад IETF — международная группа по разработке стандартов Интернета — рассматривала возможность принять Sender ID в качестве стандарта аутентификации отправителя, однако тогда из-за проблем с патентованием, вызванных позицией Microsoft, для Sender ID история закончилась провалом. DKIM также предложена на рассмотрение IETF в качестве стандарта.

Несмотря на то, что стандарт пока не принят, обе технологии уже активно используются. По данным Microsoft, в целом более 35% электронных сообщений в настоящее время аутентифицируются тем или иным способом.

Компания Yahoo сообщила, что на почтовые серверы Yahoo! Mail ежедневно приходят около миллиарда сообщений, содержащих цифровую подпись.

Microsoft рапортовала об успехах Sender ID. По данным Microsoft, более 2,4 миллионов доменов опубликовали SPF-записи. Из двух миллиардов писем, рассылаемых ежедневно, 3,3 миллиона соответствуют требованиям SPF.

70% ведущих компаний, входящих в список Fortune 100, начали использовать Sender ID для аутентификации своих сообщений. Менее чем за год в три раза увеличилось число компаний из списка Fortune 500, опубликовавших SPF-записи: в июле 2005 года таких компаний было 7%, в марте 2006 — 21%.

Sender ID, судя по всему, опережает DKIM. Она предполагает публикацию SPF-записей ISP компаниями и владельцами доменов, как утверждается, проста в использовании и не требует дополнительного оборудования и дополнительных затрат. Компании, заинтересованные в подтверждении подлинности своей корреспонденции, охотно выбирают эту технологию аутентификации.

Не все так гладко

С проблемами в использовании Sender ID столкнулся Bank of America. По словам представителя банка Эрика Джонсона (Erik Johnson), использовать технологию надо с умом. Внедрение технологии требует постоянного внимания и активности, в противном случае компанию могут ожидать неприятные сюрпризы.

«На самом деле правильно использовать аутентификацию отправителя не так легко. Если вы работаете в большой организации, вы не отделаетесь простым нажатием кнопки», — заявил Джонсон.

Джонсона поддержал Дэвид Крокер (David Crocker) из Brandenburg InternetWorking. По его словам, Sender ID обходится вовсе не так дешево, как утверждается, и затраты на техническую поддержку могут быть весьма значительными.

Проблема для больших международных компаний состоит в том, что письма могут приходить от разных отправителей из разных стран, и не все легитимные корреспонденты поддерживают SPF. При этом необходимо настроить все почтовые системы компании так, чтобы не было сбоев. Система должна быть достаточно гибкой.

«Проблема становится особенно острой, если почтовый провайдер удаляет все письма, не прошедшие проверку на подлинность отправителя», — сказал Джонсон.

Поэтому, по данным CipherTrust, больше половины компаний, опубликовавших SPF-записи, не удаляет те письма, подлинность которых невозможно подтвердить, что оставляет лазейку для спамеров и фишеров.

«Мы являемся сторонниками SPF, и все наши серверы поддерживают технологию, однако мы не рекомендуем пользователям фильтровать сообщения на основе проверки подлинности отправителя, поскольку это приводит к большому числу ложных срабатываний», — сказал исполнительный директор Barracuda Networks Дин Драко (Dean Drako).

Однако не все считают это серьезной проблемой. «Это действительно ограничивает эффективность технологии, но я считаю, что это просто переходный период», — заявил вице-президент компании IronPort Патрик Петерсон (Patrick Peterson).

Аутентификация – это не более чем аутентификация

Как бы то ни было, если технологии аутентификации будут использоваться широко, пользователи получат возможность точно знать, что письмо пришло действительно из их банка, а не отправлено мошенниками. Как уже не раз подчеркивали эксперты, проблему спама аутентификация отправителя не решит, но поможет справиться с подделкой адресов отправителей сообщений.

«Аутентификация – это аутентификация, и ничего более», — сказал представитель Sendmail. – «Спамеры тоже могут использовать аутентификацию». Что, собственно, подтверждают исследования 2004 года, когда выяснилось, что спамеры активно используют Sender Policy Framework, предшественника Sender ID.

Поэтому эксперты считают необходимым развивать системы репутации доменов, которые позволят отделить овец от волков, т.е. легитимных отправителей от спамеров.

Хотя в настоящее время крупные ISP, через которых проходит более половины всего почтового трафика, используют технологии аутентификации, успокаиваться рано.

По словам представителя Microsoft, безупречного решения сейчас нет. Но о какой бы технологии не шла речь, надо смотреть вперед, а не оглядываться назад, потому что злоумышленники будут искать новые способы атак.

Использованы материалы The Register и CNET News.com

Технология аутентификации: пока безупречного решения нет

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике