Obětí webmailu

Odcizený webmailový účet americké političky kandidující za Republikánskou stranu demonstruje riziko vkládání přehnané důvěry do služeb, které nemusejí být zdaleka tak spolehlivé, jak bychom si možná přáli.

Obětí webmailu


Pokud jste potřebovali další důkaz toho, že užívání externích e-mailových služeb jako prostředků klíčových pro váš byznys není úplně tím správným nápadem, dočkali jste se. Nejde o nic menšího než o vloupání do e-mailových schránek republikánské političky Sarah Palinové, jež kandiduje v letošních amerických prezidentských volbách­ na pozici viceprezidentky. Provoz schránek gov.palin@yahoo.com a gov.sarah@yahoo.com byl krátce poté, co k odcizení e-mailové identity došlo, pozastaven.

Americká politická scéna byla podobnými incidenty zasažena již několikrát, a to včetně případů používání externích e-mailových účtů pro účely, pro něž byla výslovně určena aplikace oficiálních adres. Podle dostupných informací se zdá, že také případ Sarah Palinové nese podobné znaky. Problematice bezpečnosti webmailových služeb se přitom mnohá IT média čas od času věnují a důrazně varují před jejich používáním pro účely, které by se v případě zneužití mohly stát zdrojem kompromitace, způsobit ztrátu obchodního tajemství apod.

Některé společnosti se rozhodly, že v rámci úspor integrují služby, jako je například Gmail, do svých informačních systémů. Díky tomuto řešení vznikají vedení nemalé úspory nákladů na provoz vlastních serverů, na druhou stranu ovšem firma vystavuje svoje podnikání jistému riziku, jehož dopady jsou navíc přesně známy. Stačí, aby někdo chytře zneužil službu pro řešení problémů se zapomenutým heslem, a rázem řešíte problémy z kategorie „únik citlivých informací".

Právě procedury, které přicházejí na řadu v případě zapomenutí hesla, jsou oblastí, v níž se použitelnost a bezpečnost dostávají do konfliktu. Vítězem je v tomto případě takřka vždy použitelnost a kategorie bezpečnosti zůstává bohužel prakticky zapomenuta. Podle teorií, které kolují na internetu, to byla právě zadní vrátka v podobě nástroje na obranu proti zapomenutí hesla, která napomohla průniku do e-mailové schránky Sarah Palinové.

Dokonce i v případě, že uživatel zvolí nestandardní odpověď na kontrolní otázku provázející obnovu zapomenutého hesla, není jeho e-mailová schránka zcela v bezpečí. Hackerovi­ bude možná její prolomení trvat o něco déle, ale v případě, kdy mu to stojí za vynaloženou námahu (obzvláště pak v podobném případě, jako je schránka Sarah Palinové­), bude se značnou pravděpodobností dříve nebo později slavit úspěch. Achillovou patou jsou v tomto případě veškeré veřejně dostupné informace, které o sobě lidé dobrovolně zveřejňují. Jistě si dokážete představit, co se stane, pokud na serveru libovolné sociální sítě představíte celou svou rodinu včetně její historie a vaše heslo na webmail je přitom chráněno příjmením matky za svobodna. Možná se vám tento příklad zdá až příliš banální, ale věřte, že podobným způsobem bylo prolomeno již mnoho hesel.

Jakmile byl jednou webmailový účet odcizen, přesouvá se pozornost k tomu, co s ním šikovný hacker provede. Někdy slouží ukradené e-mailové identity jako brána ke skutečně cenným aktivům (registrační hesla do banky, PayPal apod.), jindy jsou pro zloděje zajímavější samotné informace nacházející se přímo v e-mailové korespondenci.

Největší riziko existuje v podobě disciplinovaného hackera. Ten se zmocní elektronické schránky, ale nedává svou přítomnost nijak najevo a vyčkává na správný okamžik pro útok. Až ve chvíli, kdy vycítí vhodnou příležitost, zaútočí a poté rychle zmizí. Navždy. Nebo může schránku využívat k občasnému odesílání zpráv kompromitujících pravého vlastníka (např. nemravné návrhy, vydírání apod.) a doufat, že nebude odhalen.

Mnoho společností se snaží blokovat přístup k webovým e-mailovým službám v rámci celé firemní sítě, aby snížily riziko zasílání citlivých informací či dokumentů prostřed­nictvím nedůvěryhodných externích služeb. Toto­ opatření nesměřuje ani tak proti pracovníkům, kteří používají čas strávený v práci k tomu, aby si vyřizovali osobní záležitosti, jako spíše právě směrem k zamezení nežádoucího pohybu citlivých informací přes nedůvěryhodné webmailové kanály.

Pokud externí webmailové služby aktivně používáte nebo umožňujete z firemní sítě přístup na freemaily, měli byste se zřejmě zamyslet nad tím, jak obtížné by bylo prolomení jejich ochrany a získání anonymního přístupu k vašim citlivým informacím. Velikost tohoto rizika potom porovnejte s případnými náklady na pořízení bezpečnější formy elektronické komunikace.

Komentáře