Яндекс почта угроза безопасности

Яндекс почта угроза безопасности

Привет, GT! Я прочитал пост MikhailNsk, и мой мозг перенес меня в 2016 год, где я случайно наткнулся на проблему с подменой адресов у Яндекс.Почты. Сама угроза заключается в том, что письма, с точки зрения, DMARC и SPF являются полностью валидными. Этому подвержены не только пользователи Почты, но и организации, которые используют в качестве почтовика со своим доменом Яндекс.ПДД и Яндекс.Коннект (для примера, это всем известный и везде рекламируемый «майловский» GeekBrains), а это уже куда серьезнее. Уязвимость на данный момент работает, письмо проходит все проверки и доставляется куда-угодно (включая GMAIL). Реализация и реакция Яндекса под катом.

Внимание! Приведенный ниже алгоритм воспроизведения уязвимости предоставлен исключительно в образовательных целях!

Реализация уязвимости

Сама суть очень проста, Яндекс позволяет авторизоваться под одним адресом, а отправлять с любого другого, где прописаны DMARC и SPF правила Яндекса, а еще письмо подписывается валидной DKIM подписью yandex.ru.

Для реализации нам потребуется почтовый ящик на Яндексе и сторонний почтовый клиент (мой выбор пал на открытый и функциональный Thunderbird).

К последнему мы прикручиваем свой почтовый ящик от Яндекса, открываем окно отправки письма

Меняем адрес отправителя на нужный нам (в нашем случае на i@yandex.ru)

И отправляем письмо куда-нибудь

На гуглопочту (как и на любую другую) письмо пришло нормально. Гугл показывает карточку, что все гуд:

Delivered-To: @gmail.com
Received: by 10.31.164.6 with SMTP id n6csp2248696vke;
Thu, 10 Aug 2017 09:17:13 -0700 (PDT)
X-Received: by 10.46.33.9 with SMTP id h9mr3821349ljh.52.1502381833140;
Thu, 10 Aug 2017 09:17:13 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1502381833; cv=none;
d=google.com; s=arc-20160816;
b=CM0dF4giYDl9jToC/17FjHIeiQNsfFaDUxcYErv/RAHKrX+8PIdx0QabF/kUMVelug
ESNfNVYYv09sIrZsYSgqnmKlVdPbQYkmr0mSE+oZ2cjIhebKQcfQjKARk+6LLFOrtNSb
M1O014IAXh+y+ykx2EEyhyWir1y+SWItjS2ukNN19t9GwY91hjFtd+0T2OQDvC44qjpW
ztHKTCTNne0+NhMRYg2iSL0uQZkkpeUNNKgkRavCJRKgnjtMOuLqtx0uNLfZex34XcBl
vtZTfThoUeuzBPmHVVnnE+W8lcLoqTG2/jr4C4E4VNDHrjUCsDecNNfGYf5/BajX45n0
BdsQ==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=content-language:content-transfer-encoding:mime-version:user-agent
:date:message-id:subject:from:to:dkim-signature:dkim-signature
:arc-authentication-results;
bh=AOjHaT+yDXpmJsW3LSDugt7u95YQzsSxsGi10r66W3Y=;
b=Edjq07PU+c0nie1ia60SrVoI219rb8q/OnUJMtf0tJrFPktG29Pqs4fx7E3DsNvH6l
PPdsJVsvHDl3nIWqVSASAXaTPELSAXYETQ/zuluD+wrR2n7MXNt8QQ8cUqt7Zae8Wkq2
Yr3cW+9Ty3VZEi2TzqRzOU3UNNhds+UHa8o6/LK3N7NN91INYevsNnrfMBSUvqm6HmMi
AJ7dHkkwqqKX7XNkIvKNVjyq8FhnVfMiow8N/PCsVqtTly+q825p5kOl3hxqbLMsi3ix
AL3MGC84U/m8+dvivNege5yDby/Dfp6uY6jHJL/hOVmmUwT1/y2F+5SD/ifuS4EX2gI7
geLg==
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.i=@yandex.ru header.s=mail header.b=T2n/cJmZ;
dkim=pass header.i=@yandex.ru header.s=mail header.b=T2n/cJmZ;
spf=pass (google.com: domain of 42@yandex.ru designates 37.140.190.181 as permitted sender) smtp.mailfrom=42@yandex.ru;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=yandex.ru
Return-Path:
Received: from forward101o.mail.yandex.net (forward101o.mail.yandex.net. [37.140.190.181])
by mx.google.com with ESMTPS id 128si582786lfz.671.2017.08.10.09.17.12
for
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Thu, 10 Aug 2017 09:17:13 -0700 (PDT)
Received-SPF: pass (google.com: domain of 42@yandex.ru designates 37.140.190.181 as permitted sender) client-ip=37.140.190.181;
Authentication-Results: mx.google.com;
dkim=pass header.i=@yandex.ru header.s=mail header.b=T2n/cJmZ;
dkim=pass header.i=@yandex.ru header.s=mail header.b=T2n/cJmZ;
spf=pass (google.com: domain of 42@yandex.ru designates 37.140.190.181 as permitted sender) smtp.mailfrom=42@yandex.ru;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=yandex.ru
Received: from mxback1o.mail.yandex.net (mxback1o.mail.yandex.net [IPv6:2a02:6b8:0:1a2d::1b])
by forward101o.mail.yandex.net (Yandex) with ESMTP id 919D813416EA
for ; Thu, 10 Aug 2017 19:17:12 +0300 (MSK)
Received: from smtp1o.mail.yandex.net (smtp1o.mail.yandex.net [2a02:6b8:0:1a2d::25])
by mxback1o.mail.yandex.net (nwsmtp/Yandex) with ESMTP id 3IjaA941Wl-HCe4hwWw;
Thu, 10 Aug 2017 19:17:12 +0300
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail; t=1502381832;
bh=AOjHaT+yDXpmJsW3LSDugt7u95YQzsSxsGi10r66W3Y=;
h=To:From:Subject:Message-ID:Date;
b=T2n/cJmZ2jEcX5rX5exetDc2VfT1lhVgPkMXfbIFAmw8PE6iLFkdddO7f67IRKfrb
KNV7U5whs9PUhGRd0S2x5OULF8VC3QXMSEvXJiM5gSxZdbNNNq2GRDpTkxbJiDASDT
A2DYgoRtpFzN64wX4EnSEmya/D24mP43VOi2TlAc=
Received: by smtp1o.mail.yandex.net (nwsmtp/Yandex) with ESMTPSA id i5ALruo2pE-HC4WKA0l;
Thu, 10 Aug 2017 19:17:12 +0300
(using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
(Client certificate not present)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail; t=1502381832;
bh=AOjHaT+yDXpmJsW3LSDugt7u95YQzsSxsGi10r66W3Y=;
h=To:From:Subject:Message-ID:Date;
b=T2n/cJmZ2jEcX5rX5exetDc2VfT1lhVgPkMXfbIFAmw8PE6iLFkdddO7f67IRKfrb
KNV7U5whs9PUhGRd0S2x5OULF8VC3QXMSEvXJiM5gSxZdbNNNq2GRDpTkxbJiDASDT
A2DYgoRtpFzN64wX4EnSEmya/D24mP43VOi2TlAc=
Authentication-Results: smtp1o.mail.yandex.net; dkim=pass header.i=@yandex.ru
To: @gmail.com
From: Habratest
Subject: Test fot Habr
Message-ID:
Date: Thu, 10 Aug 2017 21:17:10 +0500
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101
Thunderbird/52.2.1
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
Content-Language: en-US

Читайте также:  Как вывести диагональ прямоугольника

Hbrahabrahabrahabrahabrahabrahabrahabrahabrahabrahabrahabrahabra

Адрес получателя был заменен на @gmail.com , настоящий адрес на 42@yandex.ru

Мораль и ответ Яндекса

Данная уязвимость создает огромные возможности для соц.инжиниринга. Таким образом можно использовать адреса, например, GeekBrains, который использует для почты ПДД (или Коннект).
DKIM проверка отдает pass, но домен указывается Яндекса (даже использовать другой почтовый домен).

Естественно, я сразу же отписал об этом в багхантер Яндекса еше летом прошлого года и
получил ответ:

До меня уязвимость им отправили 27 июня 2016 года. Т.е. Яндекс за год не смог исправить достаточно серьезную (по моему мнению) уязвимость, которая может затронуть безопасность партнеров Яндекса, которые используют их почтовик.

UPD: есть способ замаскировать адрес отправителя. Для этого достаточно купить более или менее похожий домен, прикрутить к нему ПДД и отправлять письма с него. Адрес подменяется так же, все проверки валидны, а DKIM подпись и адрес отправителя будет от нового домена.

Кстати, mail.ru и gmail этому не подвержены. GeekBrains, простите, но я знаю лишь вас, среди тех кто использует сервисы Яндекс, ведь вы спалились аватаркой.

Вы можете помочь и перевести немного средств на развитие сайта

Современный интернет таит в себе множество опасностей. Проводя время исключительно в социальных сетях, вы можете стать жертвой мошенников и потерять доступы к своему аккаунту или загрузить файл, зараженный вирусом.

Для обеспечения безопасности пользователей, Яндекс Браузер внедрил технологию Protect. Эта встроенная функция, содержит целый комплекс мер, повышающих защиту пользователей.

Что такое Protect

Технология активной защиты Protect – это набор защитных механизмов в Яндекс Браузере, предотвращающих угрозы, с которыми пользователь сталкивается ежедневно в глобальной сети.

Протект распознает и предотвращает следующие виды угроз:

  • Смс мошенничество;
  • Посещение фишинговых сайтов;
  • Перехват паролей и данных банковских карт в незащищенных Wi-Fi сетях;
  • Скачивание потенциально опасных файлов.
Читайте также:  Песни для улучшения голоса

Распознавание большинства угроз, происходит благодаря данным, собранным в течении долгого времени, поисковой машиной Яндекса. Поисковый бот сканирует сотни тысяч страниц ежедневно, выделяя среди них потенциально опасные. Впоследствии, подобные интернет ресурсы попадают в базу сомнительных сайтов, помечаются в выдаче поисковика и к ним блокируется доступ в Яндекс Браузере.

Важно понимать – Protect не может заменить полноценное антивирусное ПО. Высокий уровень защиты достигается только при совместном использовании и соблюдении правил безопасности, в частности.

Защита от перехвата паролей и данных банковских карт, строится на базе популярных ресурсов, собранных компанией. При оплате картой, браузер анализирует и сравнивает отображаемую страницу с её копией в базе, если возникают сомнения в подлинности ресурса – выдается предупреждение пользователю.

Как включить Protect в браузере

По умолчанию, при установке Яндекс Браузера, технология Protect уже включена и защищает пользователя при первом же запуске. Проверить наличие данной функции в обозревателе можно, открыв настройки и перейдя в раздел «Безопасность».

Так же, проверить наличие «Протект» в браузере, можно зайдя на сайт любого интернет банка. В адресной строке, при включенной защите, вы увидите подобный значок.

Если описанные выше методы, говорят об отсутствии защиты – обновите Яндекс Браузер до последней версии.

Возможно вы ранее отключили эту функцию или её компоненты, а теперь хотите обратно включить.

1. Откройте настройки обозревателя, найдите раздел «Личные данные» и включите пункт, отмеченный на рисунке.

2. Перейдите в раздел «Безопасность».

3. Проставьте галочки на всех пунктах в списке.

Можете проверить включен ли Protect сейчас, не перезагружая браузер.

Как отключить активную защиту Protect

Яндекс Protect – инструмент, включающий в себя защиту по нескольким направлениям. Вы можете отключить, как несколько его компонентов, так и защиту полностью.

Читайте также:  Разрешение фото для печати 10х15

Определившись, что именно вам мешает комфортно проводить время в интернете, следуйте инструкции.

1. Откройте Яндекс Браузер и зайдите в настройки.

2. Перейдите на вкладку «Безопасность».

3. Отключите компоненты защиты, которые вам не нужны.

4. Если Protect по-прежнему блокирует сайты, на которые вы заходите, нажмите на кнопку «Игнорировать это предупреждение» и вы продолжайте просмотр страницы.

Если в браузере блокируются такие ресурсы, как ВКонтакте или YouTube – проверьте файл «hosts» на наличие изменений и компьютер на вирусы целиком. Возможно это заставляет обозреватель блокировать популярные сайты.

В качестве итога отмечу, что технология Protect в Яндекс Браузере – это уникальная разработка компании Yandex, работающая на предупреждение угрозы, а не на устранение последствий.

Пользуйтесь этим бесплатным решением в купе с полноценным антивирусным ПО и ваш компьютер будет под защитой.

Федеральная служба безопасности несколько месяцев назад запрасила у "Яндекса" предоставить ключи для дешифровки переписки пользователей сервисов "Яндекс.Почта" и "Яндекс.Диск", говорит источник в IT-рынке и собеседник, близкий к компании, которая до сих пор не предоставила запрошенные данные.

"Яндекс.Почта" и "Яндекс.Диск" включены в реестр организаторов распространения информации, т. е. они признаны Роскомнадзором интернет-площадками, на которых пользователи могут обмениваться сообщениями. Согласно закону Яровой, ФСБ имеет право потребовать от любого сервиса из данного реестра предоставить информацию, необходимую для декодирования сообщений пользователей, сообщают "Известия".

Как считают в "Яндексе", ФСБ слишком широко трактует норму закона Яровой. По словам источников, ФСБ потребовала предоставить сессионные ключи, которые позволят не только получить доступ к сообщениям пользователей, но и проанализировать весь трафик от пользователей к включенным в реестр сервисам "Яндекса". В свою очередь, дешифровка всего трафика может быть небезопасной для компании.

"Яндекс" опасается, что сотрудничество с ФСБ приведет к оттоку пользователей, потере доли на рынке и, в конечном счете, к финансовым потерям.

Напомним, в апреле 2018 года Telegram отказался предоставить ключи для дешифровки сообщений пользователей. По решению суда мессенджер пытались заблокировать. Тогда правоохранители хотели получить доступ к переписке подозреваемых в организации терактов в метро Санкт-Петербурга.

Основатель Telegram Павел Дуров объяснял отказ от сотрудничества защитой частной жизни и политикой конфиденциальности.

Ссылка на основную публикацию
Электронная почта администрации президента рф
Нередко жизненные обстоятельства так закручивают людей, что за помощью и защитой приходится обращаться к самому президенту России. В этом материале...
Что такое адрес сервера на телефоне
Блог о модемах, роутерах и gpon ont терминалах. Частенько пользователи планшетов и смартфонов на Андроид сталкиваются с тем, что подключившись...
Что такое аккумулятор слайдер
Кроме достоинств, у литий-ионных аккумуляторов имеется немало минусов: Не выносят перезаряда. Подача тока на элемент питания должна быть прекращена, когда...
Электронная почта для рассылки писем
Если вы предоставляете свои услуги или продаете товары в интернете, то с вероятностью 100% вы контактируете со своими клиентами либо...
Adblock detector