Las características de seguridad del correo electrónico no pueden evitar la supresión de …


Según un equipo de investigadores, las funciones de seguridad para verificar la fuente de un encabezado de correo electrónico no funcionan juntas correctamente en muchas implementaciones.

Tres estándares para la seguridad del correo electrónico que se supone que verifican la fuente de un mensaje tienen diferencias de implementación críticas que podrían permitir a los atacantes enviar correos electrónicos desde un dominio y hacer que se verifiquen como enviados desde un dominio diferente, más aparentemente legítimo, dice un equipo de investigación quien presentará sus hallazgos en la conferencia digital de Black Hat el próximo mes.

Los investigadores han descubierto 18 formas diferentes de engañar al triunvirato de las tecnologías de correo electrónico: Marco de políticas de remitente (SPF), Correo identificado de claves de dominio (DKIM) y Autenticación, informe y conformidad de mensajes basados ​​en dominio (DMARC) para un subconjunto de servicios de correo electrónico, incluidos Gmail y clientes, incluido Microsoft Outlook. Si bien las tres tecnologías deben garantizar que el encabezado FROM de un correo electrónico no pueda ser falsificado, por ejemplo, indicando que el correo electrónico proviene (protegido por correo electrónico) cuando, de hecho, un atacante lo ha enviado desde su propio servidor de correo, socava la autenticación de que el Tres tecnologías están diseñadas para proporcionar.

El potencial para el phishing es significativo, dice Vern Paxson, profesor de la Universidad de California en Berkeley y uno de los investigadores que investigan los problemas.

«Esto es realmente aleccionador porque la mentalidad de hoy (es) si está utilizando un sistema de correo de fuerza industrial como Gmail, y le dice que el mensaje realmente es de &#39(protegido por correo electrónico),&#39 los va a creer &#39». dice Paxson, quien forma parte del trío de investigadores que realizaron las pruebas. «Y se minimize al hecho de que siguieron la especificación, pero lo hicieron de una manera diferente a lo que otros podrían haber esperado».

La investigación destaca un problema importante con el diseño de program basado en componentes, donde diferentes equipos de desarrollo crean componentes de software program para cumplir con ciertas especificaciones: cuando las especificaciones no son claras, los desarrolladores a menudo hacen una mejor suposición. El software program resultante puede cumplir con la especificación pero reaccionará de manera diferente a los casos extremos.

En el la investigación real, Paxson, el estudiante postdoctoral Jianjun Chen y Jian Jiang, director de ingeniería de Form Protection, descubrieron que el basic acto, por ejemplo, de incluir dos líneas FROM en un encabezado de correo electrónico puede hacer que un servidor de correo verifique el primer FROM encabezado mientras el cliente de correo electrónico muestra la segunda dirección DE. ¿El resultado? Se verifica que un correo electrónico enviado desde el servidor de correo de un atacante proviene de una dirección legítima, como (correo electrónico protegido)

«En un nivel alto, este es un problema general, que consiste en que construimos sistemas complejos en la actualidad a partir de componentes que obtenemos de diferentes partes, y esas partes pueden tener inconsistencias en formas realmente menores que resultan tener implicaciones de seguridad». Paxson dice. «No se trata de una persona tonta o de que una especificación sea descuidada, sino de la complejidad de los sistemas que construimos y los componentes que usamos, lo que hace que la seguridad sea difícil y desagradable».

Los investigadores crearon tres clases diferentes de ataques contra 10 proveedores de correo electrónico populares y usaron 19 clientes de correo electrónico diferentes. La primera clase abusa de los supuestos de seguridad de los componentes en el mismo servidor de correo electrónico, mientras que la segunda clase explota las inconsistencias entre un componente en un servidor y uno en un agente de correo electrónico del lado del cliente. Una tercera clase de debilidad permite los ataques de repetición en algunos casos, lo que permite a los atacantes realizar cambios en un correo electrónico sin romper la autenticación.

Todos los proveedores de correo electrónico, incluidos Gmail.com de Google, iCloud.com de Apple, Outlook.com de Microsoft y Yahoo.com, tuvieron al menos un problema que resultó en una autenticación no coincidente, encontraron los investigadores. El encabezado FROM en un correo electrónico podría modificarse para incluir varias direcciones, por ejemplo, y iCloud y Gmail se autenticarían en la primera dirección y mostrarían la segunda dirección.

Otros ataques incluyen agregar caracteres especiales a los campos HELO o MAIL FROM del encabezado que se manejan de manera diferente según el servidor de correo.

Los investigadores notificaron a los servicios de correo electrónico de la investigación, obteniendo diferentes reacciones. Google solucionó al menos dos de los problemas de inmediato y recompensó las recompensas de los investigadores por los informes, al igual que Zoho.com, Mail.ru, Protonmail.com y Fastmail.com. Otros proveedores agradecieron a los investigadores y están analizando los problemas. Microsoft «hizo caso omiso de nuestro informe (que incluía nuestro artículo y un ataque de demostración de video clip (uno)) porque las amenazas dependen de la ingeniería social, que consideran fuera del alcance de las vulnerabilidades de seguridad», declararon los investigadores en un estudio que aún está por ser informe publicado Y Yahoo aparentemente no entendió los detalles del ataque.

La investigación está en curso. Incluso con 18 técnicas diferentes, Paxson y Chen no creen que hayan agotado las posibilidades de ataques.

«Lo que es preocupante es que me reuniría con el grupo de investigación en Berkeley, y me escabulliría cada mes más o menos, y (Chen) tendría algunos ataques más», dice Paxson. «No creo que el documento esté completo. Es lo que podríamos encontrar en un año. Hasta que realmente no tengamos buenas herramientas para encontrar estas cosas, no podría decir que las hemos encontrado todas».

Contenido relacionado:

Regístrese ahora para el Black Hat United states totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio website de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Studying, MIT&#39s Technology Evaluation, Well-liked Science y Wired Information. Cinco premios para periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia primary