В данной теме хотелось обсудить тему защищенности почтовых ящиков
на публичных почтовых системах типа мэйл.ру, яндекс.ру, джимэйл.ком.

В первую очередь, интересуют случаи реального взлома, когда целенап-
равленно успешно сломали, причем пароль был сложным и пользователь
нигде им не светил, не записывал, не доверял, не терял и т.п. - в общем
взлом без прямого или косвенного содействия пользователя по глупости.
Особенно интересуют случаи с применением административных ресурсов,
прямых или косвенных путей воздействия на админов почтовых серверов.

Также хотелось бы обсудить то, какие меры принимаете по безопасности:
- Использование защищенных SSL-соединений с почтовым сервером.
- Использование почтовых клиентов, удаляющих письма с сервера.
- Отслеживание журнала IP-адресов, с которых входили в почту.
- Использование программ для шифрования типа PGP Desktop.
- Периодическая смена пароля и "контрольного" вопроса.

А давайте: очень актуально, - у меня на рамблере на этой неделе два ящика взломали. И это как раз были случаи
реального взлома, когда целенап-
равленно успешно сломали, причем пароль был сложным и пользователь
нигде им не светил, не записывал, не доверял, не терял и т.п.
Вот сейчас и думаю: как?

Добавлено через 3 минуты
- Использование почтовых клиентов, удаляющих письма с сервера.
Да
- Отслеживание журнала IP-адресов, с которых входили в почту.
А вот дальше - самое интересное. Мне, на мой взломанный ящик, с моего же взломанного ящика, пришёл мейл.

Вот сейчас и думаю: как?
А кто конкретно взломал - известно? Есть какие-то мысли, кому это надо было, или
чистой воды кулцхакерское баловство? Если пароль, действительно, был сложным и
утечка исключена (хотя трояны и кейлоггеры тоже не дремлют), то возможно просто
"грязный" админ, сливающий пароли за деньги (маловероятный вариант), или "дыра"
безопасности на самом почтовом сервере, через которую вытаскивают информацию
(более вероятный вариант), дыры есть всегда и есть те, кто умеют ими пользоваться.

Received: from [94.127.68.17] by mcgi-wr-25.rambler.ru with HTTP (mailimap); и
Received: from [217.24.49.10] by mperl110.rambler.ru with HTTP (mailimap)
Сама структура заголовка - очень странная.

Добавлено через 2 минуты
А кто конкретно взломал - известно?
Судя по письму - спам. Текст письма
Давно пытаюсь создать с нуля и поднять свое новое дело. Попрошу твоего совета. Сейчас уже на стадии становления и поднятия на рынке. Профессионалы почти завершили создание сайта компании. У меня такой вопрос к тебе: этот http://hmarochos.com.ua/s69q5h.php, или этот http://militaryexp.com/2d58uf290.php домен подходит под мое новое дело? Ответь сразу, как только сможешь!
чистой воды кулцхакерское баловство?
А в том-то и дело, что нет: пароль (мой) не сменили.
или "дыра"
безопасности на самом почтовом сервере
То же так думаю. Но рамблер не спешит сообщать (естественно)

Когда цитируете подозрительные письма, хотя бы ссылки кликабельными не делайте. Нажмет ведь кто-нибудь. Скорее всего при переходе по линку цепляют трояна.

Давайте будем аккуратнее, народ здесь зачастую неискушенный, не форум хакеров все же.

Мне, на мой взломанный ящик, с моего же взломанного ящика, пришёл мейл
А сами-то в ящик попасть можете? То есть пароль не изменился? Если можете, то
расслабьтесь - это шутки кулцхакеров. Используя программы для рассылки писем
можно в поле Sender вместо реального отправителя можно вбивать все что хочешь,
в том числе адрес получателя - это старая фича, поросшая мхом, хотя есть клоуны,
кто на этой фишке делает деньги, предлагая доверчивым людям услуги по "взлому"
чужих ящиков: берут предоплату и присылают заказчику письмо с вбитым в качес-
тве адреса отправителя адрес взламываемого юзера, и большинство ведется на это.

Судя по письму - спам. Текст письма
А... ну такие письма я и сам когда-то тоннами получал. Это подмена поля Sender,
рассыльная программа тупо в поле Sender вбивает адрес самого же получателя...
Эта уловка слегка помогает спамерам обходить спам-фильтры почтовых роутеров.

Скорее всего при переходе по линку цепляют трояна.
Естественно
не форум хакеров все же.
Как?! Не верю! Я же тут...
А сами-то в ящик попасть можете? То есть пароль не изменился?
Да
Используя программы для рассылки писем
можно в поле Sender вместо реального отправителя вбивать все что хочешь, в том
числе адрес самого получателя - это старая фича, поросшая мхом,
Можно, да, помню. Но... Сейчас еще гляну.

Добавлено через 5 минут
Чувствую себя последним лохом...:o
Но для верности: глянем вместе
Received: from [94.127.68.17] by mcgi-wr-25.rambler.ru with HTTP (mailimap); Mon, 17 Oct 2011 00:13:01 +0400
From: =?windows-1251?B?xOzo8vDo6SA=?= <Мой мейл>
To: <мой мейл>
Subject: =?windows-1251?B?xODm5SDt5SDn7eD+LCD38u4g6CDk8+zg8vw=?=
Date: Mon, 17 Oct 2011 00:013:01 +0400
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: multipart/alternative; boundary="_----------=_1318801741666984"
Message-Id: <1232608100.1318801741.117652344.66698@mcgi-wr-25.rambler.ru>
X-Mailer: Ramail 3u, (chameleon), http://mail.rambler.ru
Внимание к выделенному красным: не совпадает с правильным: кажись, я всё же лох :o

Received: from [94.127.68.17]
Короче спи спокойно, этот IP-адрес почтового сервера отправителя
принадлежит домену tinfocom.ru (в котором ошивается спамер), а не
rambler.ru (как это было бы, если реально с твоего ящика отправили).

C:\Documents and Settings\PavelAR>nslookup
Default Server: ns1.mpei.ac.ru
Address: 193.233.71.3

> 94.127.68.17
Server: ns1.mpei.ac.ru
Address: 193.233.71.3

Name: tinfocom.ru
Address: 94.127.68.17

Короче спи спокойно, этот IP-адрес почтового сервера
Я первым делом посмотрел, да...
Ну ладно. Будем это считать удачным стечением обстоятельств: спамерам удалось развести Инка. Полнейший фэйспалм.
Давайте, тогда, вернёмся к аспектам взлома. Вот у нас есть халявный вай-фай. Выходим через него с ноута и...все наши пароли - стали паролями админов сети. В том числе и от почты...

все наши пароли - стали паролями админов сети. В том числе и от почты...
Эээ... Вообще-то все-таки большинство уважающих себя программ так или иначе
используют алгоритм аутентификации типа CHAP, который ни пароль, ни даже его
MD5-хэш в чистом виде не пошлют по сети. Ну разве что только по протоколу ftp,
telnet и еще некоторые (убогие прокси-клиенты) открытые пароли по сети гоняют.

Коротко о CHAP (Challenge-Handshake Authentication Protocol).

1. Клиент посылает серверу запрос на аутентификацию.
2. Сервер высылает клиенту случайный код (challenge).
3. Клиент шифрует полученный challenge хэшем пароля,
введенного юзером, и отправляет шифровку на сервер.
4. Сервер также локально шифрует свой challenge тем
хэшем пароля, который у него в базе хранится, и срав-
нивает результат с тем, что получил от пользователя,
если совпадает, то аутентификация прошла успешно.

Ну вот у меня на отправку - MD-5 CRAM-HMAC Запрос/Подтверждение (RFC- 2095) и на получение RFC- 2554 и всё равно: нет веры бесплатным почтовикам...

нет веры бесплатным почтовикам...
Это понятно, поэтому хотелось бы обсудить реальные случаи взлома.

Это понятно, поэтому хотелось бы обсудить реальные случаи взлома.
Павлэ, ну давайте тогда классифицируем для целей исследования этот момент. Смотрите.
1) СОРМ - тут всё сложно
2) Реальный взлом - интересно
3) Слив админами - обсуждали выше
4) Ошибка в коде - не аналог реального взлома, а лишь потенциальная уязвимость
Реальный взлом ведь возможен не только технически, но и соц. инженерией. Технический - зависит от навыков/ресурсов.

Слив админами - обсуждали выше
Меня, если честно, интересуют варианты из серии, кто-то кому-то (в погонах)
позвонил, тот надавил на кого-то, являющегося начальством для админа, ну
а начальство на админа надавило и заказчик в итоге получил доступ к ящику.
Насколько это реально? Были ли прецеденты в вашей юридической практике?

Тут надо уточнить, о каких админах идёт речь? Если это бесплатные рамблер, мэйл и прочие - то там СОРМ (таковы условия получения лицензии) - и там никому звонить никуда не надо: дяди имеют доступ из офиса, попивая чаёк.
Насколько это реально?
Абсолютно реально: изымали сервера, с админов выбивали (в прямом смысле слова) пароли и т.д.

дяди имеют доступ из офиса, попивая чаёк.
В смысле звонят напрямую админу, и тот сразу сообщает ему пароль по телефону? :)
изымали сервера, с админов выбивали
Ну а бумаги (санкции) какие-то нужны им для этого иметь, или чистый воды гопстоп? :)

В смысле звонят напрямую админу, и тот сразу сообщает ему пароль по телефону?
Ну, так как я не "техник", а юзер, то опишу своими словами. Это нечто вроде интерфейса удаленного доступа.
Ну а бумаги (санкции) какие-то нужны им для этого иметь, или чистый воды гопстоп?
И да, и нет. Тут ведь как: пришли, забрали, инфу скопировали и отдали-извинились (или же не отдали). А обосновать - всегда можно

В смысле звонят напрямую админу, и тот сразу сообщает ему пароль по телефону? :)

Если речь всё ещё идёт про СОРМ, то там всё предельно просто - это обычный сервак, жрущий дармовое электричество в стойке любого отечественного провайдера. В него включается 2 провода. Первый уходит к фсбшникам, которые и притащили сервак, а по второму провайдер обязан сливать копию всего своего трафика. В случае если у кровавой гэбни пропадает связь с серваком - в офисе провайдера раздаётся звонок и протокольный голос интересуется чего случилось и не надоела ли провайдеру его лицензия.

Во всяком случае именно так это выглядело несколько лет назад :-)

Добавлено через 2 минуты
Из мер защиты использую GPG (Gnu Privacy Guard) для общения с представителями технической интеллигенции.
В остальной переписке остаётся уповать на то, что оператору СОРМ будет не слишком скучно проглядывать мою эпистолярщину за утренним кофе.

А... ну такие письма я и сам когда-то тоннами получал. Это подмена поля Sender,
рассыльная программа тупо в поле Sender вбивает адрес самого же получателя...
Эта уловка слегка помогает спамерам обходить спам-фильтры почтовых роутеров.

К сожалению, в данном случае это не похоже на простую подмену адреса отправителя. Такой заголовок "Received" получается в том случае, если письмо не отправили, а загрузили в почтовый ящик, создав черновик и переместив его в папку "Входящие". При этом в поле "From" автоматически подставляется адрес из настроек учётной записи.

Мне тоже "Давно пытаюсь создать с нуля..." пришло. Пароль был стойкий, доступ к ящику осуществлялся только с одного компьютера, на котором ничего подозрительного не нашлось (проверял с помощью CureIt, AVZ, ClamAV). Пароль знал только я. При аутентификации использовался протокол HTTPS. Если верить полю "Date", компьютер на момент создания письма был выключен. Также я обычно завершаю сессию в веб-интерфейсе и не храню cookie от почты. Похоже, что злоумышленник должен был знать пароль или обойти проверку.

А по ссылкам в этих письмах действительно вирус. Я один файл загрузил — там архив, в архиве файл с расширением scr, а там Trojan.Carberp.10 по классификации DrWeb.

это обычный сервак
Это опечатанная коробка, внутри которой сервак. Прямой монтаж в стойку запрещен.
оператору СОРМ будет не слишком скучно проглядывать мою эпистолярщину за утренним кофе
В ручную просматривать можно, но этого никто не делает. Всё на технике. В ручную - только по запросу.

К сожалению, в данном случае это не похоже на простую подмену адреса отправителя. Такой заголовок "Received" получается в том случае, если письмо не отправили, а загрузили в почтовый ящик, создав черновик и переместив его в папку "Входящие". При этом в поле "From" автоматически подставляется адрес из настроек учётной записи.
Интересно-интересно. Павел Ваш комментарий?

Добавлено через 2 часа 57 минут
Кстати, пара статей в тему Кто из ФСБ работает на форумах и в блогах (http://www.lenpravda.ru/digest/federal/275016.html) и Грязные руки (http://roem.ru/2011/07/18/gryaznie_ruki_18072011/)

Прямой монтаж в стойку запрещен.

Откуда дровишки? Никогда не слышал о подобном требовании.
Что фсбшный тазик обязан стоять строго на полу чтобы о него все вспотыкались?

Добавлено через 3 минуты
Такой заголовок "Received" получается в том случае, если письмо не отправили, а загрузили в почтовый ящик, создав черновик и переместив его в папку "Входящие".

Извините, но на первый взгляд это бред.
На второй, впрочем, тоже :)

Что именно в заголовке натолкнуло вас на столь превратную интерпретацию?

Извините, но на первый взгляд это бред.
На второй, впрочем, тоже :)

Что именно в заголовке натолкнуло вас на столь превратную интерпретацию?

Я проводил эксперименты. При пересылке письма даже внутри сервиса rambler.ru, даже при отправке письма самому себе, получается больше одного заголовка "Received". Обязательно присутствуют минимум два заголовка: 1) о передаче письма MX Рамблера (mx<XX>.rambler.ru) по протоколу SMTP; 2) о передаче от MX внутреннему серверу (mail<YY>.rambler.ru).

Заголовок "Received: from [<IP>] by mperl<ZZZ>.rambler.ru with HTTP (mailimap)" (вероятно, могут быть другие варианты адреса принимающей стороны) добавляется сразу же при создании письма в рамблеровском веб-клиенте Ramail. Если письмо не было отправлено, то он остаётся единственным. Если было, следующим добавляется заголовок о передаче письма по SMTP.

К тому же, в моём случае письмо в почтовом ящике было отмечено в веб-клиенте как важное, хотя не содержало заголовка, устанавливающего приоритет, что тоже наводит на мысль о несанкционированном доступе в ящик.

Теперь понятно, спасибо. Да такое вполне может быть - просто из исходного сообщения было неочевидно, что это - единственный заголовок в письме.

Теперь понятно, спасибо. Да такое вполне может быть - просто из исходного сообщения было неочевидно, что это - единственный заголовок в письме.

Я видел несколько таких писем (Ink приводил выше листинг одного из них) — во всех заголовок "Received" единственный.

Видимо, в последние дни пошла волна таких атак. На разных форумах всплывают недоумённые сообщения пострадавших. К сожалению, мало кто представляет себе истинную серьёзность проблемы.

во всех заголовок "Received" единственный
Такое возможно. И для этого необязательно доступ к ящику. Если кто-то имеет
доступ извне не к пограничным front-end SMTP-серверам почтовой инфраструк-
туры, а к внутреннему SMTP-серверу (к последнему серверу в цепочке) и про-
грамма рассылки устанавливает соединение с ним, причем именно по протоколу
SMTP, причем извне, причем с левого внешнего IP-адреса, то заголовок тоже 1,
и в поле sender также можно вбивать адрес получателя. Конкретно с рамблером
я не экспериментировал, но на корпоративных почтовых системах так получалось.

Я не исключаю вариант, что сами почтовые провайдеры могут оказывать услуги
по массовой рассылке, в таком случае у них доступ к любым своим сервакам и
они могут какие-угодно манипуляции с заголовками рассылаемых писем делать.

Такое возможно. И для этого необязательно доступ к ящику. Если кто-то имеет
доступ извне не к пограничным front-end SMTP-серверам почтовой инфраструк-
туры, а к внутреннему SMTP-серверу (к последнему серверу в цепочке) и про-
грамма рассылки устанавливает соединение с ним, причем именно по протоколу
SMTP, причем извне, причем с левого внешнего IP-адреса, то заголовок тоже 1,
и в поле sender также можно вбивать адрес получателя. Конкретно с рамблером
я не экспериментировал, но на корпоративных почтовых системах так получалось.

Я не исключаю вариант, что сами почтовые провайдеры могут оказывать услуги
по массовой рассылке, в таком случае у них доступ к любым своим сервакам и
они могут какие-угодно манипуляции с заголовками рассылаемых писем делать.

По моему опыту, конечной точкой приёма сообщений на Рамблере являются серверы mail*. С mperl* почта только выходит. Неизвестно, как mperl* работают на приём. Впрочем, не зная, как там всё устроено на самом деле, трудно говорить о возможной схеме взлома.

Я поэкспериментировал с рамблером по схеме Whale (создаем письмо, сохраняем
как черновик, а потом перемещаем в папку входящих). Получил такой заголовок:

Received: from [193.233.69.10] by mcgi-wr-21.rambler.ru with HTTP (mailimap);
Fri, 28 Oct 2011 10:18:44 +0400
From: <xyz@rambler.ru>
To: <xyz@rambler.ru>
Subject: 123
Date: Fri, 28 Oct 2011 10:18:44 +0400
MIME-Version: 1.0
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="windows-1251"; format="flowed"
Message-Id: <632746163.1319782724.105088680.49579@mcgi-wr-21.rambler.ru>
X-Mailer: Ramail 3u, (chameleon)

Заголовок Received один и во многом такой же, как в случае примера Ink.

Принимающие сервера - mperl* (их имена разрешаются в адреса 10.8.X.X),
либо mcgi-wr* (их имена разрешаются в адреса 10.32.X.X). В обоих случаях
это private (частные) адреса, напрямую к ним из внешних сетей нет доступа.
Так что версия Whale вполне может быть реальной. Только вот, кто и зачем
так странно развлекается. И вообще сами админы рамблера в курсе этого?

Это ппц,они задолбали со своими взломами,люди фигнёй страдают!есть же возможность завести свой аккаунт без проблем и никто тебя не банит,пиши что хочешь!Так нет,надо же кому нибудь что нибудь испортить!

Сейчас что-то творится с серверами рамблера: на протяжении последних часов регулярные ошибки

Сейчас что-то творится с серверами рамблера: на протяжении последних часов регулярные ошибки
У них часто такое бывает.

Уважаемые специалисты по мылу! ;)
Посмотрите вот этот заголовок, плиз (достала из Thunderbird'a полностью, звёдочками заменено название ящика):
From - Sat Nov 05 09:51:53 2011
X-Account-Key: account2
X-UIDL: 950568bc7069a7e4cc299b104a7e2734
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Yandex-FolderName: Vhodyashchie
Received: from mxfront21.mail.yandex.net ([127.0.0.1])
by mxfront21.mail.yandex.net with LMTP id urB0to8V
for <*******@yandex.ru>; Sat, 29 Oct 2011 21:56:53 +0400
Received: from static.188.3.9.176.clients.your-server.de (static.188.3.9.176.clients.your-server.de [176.9.3.188])
by mxfront21.mail.yandex.net (nwsmtp/Yandex) with ESMTP id urH0F5Bm-urHOQ7tS;
Sat, 29 Oct 2011 21:56:53 +0400
X-Yandex-Front: mxfront21.mail.yandex.net
X-Yandex-TimeMark: 1319911013
X-Yandex-Spam: 1
Authentication-Results: mxfront21.mail.yandex.net; spf=pass (mxfront21.mail.yandex.net: domain of scipeople.ru designates 176.9.3.188 as permitted sender) smtp.mail=apache@scipeople.ru
Received: by mail.scipeople.ru (Postfix, from userid 48)
id EF16C8FA763; Sat, 29 Oct 2011 19:56:52 +0200 (CEST)
To: *******@yandex.ru
Subject: =?utf-8?B?0JXQu9C10L3QsCDQnNGD0YDQt9C40L3QsCDQtNC+0LHQsN Cy0LjQuyDQktCw0YEg0LIg0YHQstC+0Lkg0YHQv9C40YHQvtC6 INC60L7Qu9C70LXQsw==?=
X-PHP-Originating-Script: 0:mail.class.php
From: =?utf-8?B?U2NpUGVvcGxlIFRlYW0=?= <no-reply@scipeople.com>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Message-Id: <20111029175652.EF16C8FA763@mail.scipeople.ru>
Date: Sat, 29 Oct 2011 19:56:52 +0200 (CEST)
Return-Path: apache@scipeople.ru
X-Yandex-Forward: f1be81ac47148018ddb042969a321232
Это письмо на Яндекс-почте загрузилось через неделю после даты отправки. Что можно определить по заголовку? Следы взлома есть?