Poczta elektroniczna już dawno przestała być tylko zabawką. Duże przedsiębiorstwa otrzymują po kilkadziesiąt tysięcy wiadomości bezpośrednio dotyczących prowadzonej działalności. Dla wielu zarówno dostępność, jak i bezpieczeństwo poczty ma bezpośredni wpływ na tzw. core business.

Pojawiają się co prawda głosy, że wraz z prężnym rozwojem Web 2.0 czy coraz częściej lansowaną ideą Enterprise 2.0 poczta e-mail umrze śmiercią naturalną i zostanie zastąpiona przez blogi oraz komunikatory internetowe. Jak dotąd jednak wyniki sprzedaży produktów chroniących firmowe zasoby pocztowe pokazują, że poczta elektroniczna ma się świetnie. Sprawdźmy zatem to medium z punktu widzenia bezpieczeństwa i tego, co oferuje rynek.

Ciągle te wirusy

Typowym zagrożeniem przenoszonym przez pocztę elektroniczną jest wszelkiego rodzaju kod złośliwy w postaci wirusów, robaków internetowych, koni trojańskich, key loggerów itp. Szacuje się, że ok. 10% wszelkich wiadomości trafiających na konta pocztowe zawiera takie właśnie "dodatki". Kod złośliwy nie musi być dostarczany w sposób oczywisty - jako załącznik. Wystarczy umieszczenie w wiadomości linku, którego kliknięcie spowoduje ściągnięcie np. trojana, czy też wysłanie e-maila w HTML-u, którego odczytanie powoduje uruchomienie złośliwego skryptu. Podstawowym celem załączania takiego kodu jest obecnie nie sianie zniszczenia, ale gromadzenie przydatnych informacji (np. zbieranie haseł do kont za pomocą keyloggerów i screengrabberów) oraz tworzenie maszyn zombie i botnetów.

A jest jeszcze spam, phishing i inna zaraza

Powyższy typ zagrożeń stanowi jednak zdecydowaną mniejszość w stosunku do drugiej bolączki - poczty niechcianej. Spam zabiera pasmo, pochłania zasoby (np. miejsce na serwerze pocztowym) i zmniejsza efektywność pracy użytkowników. W szczególnie "zaspamionych" organizacjach procent spamu sięga nawet 80-90% wszystkich wiadomości (często natłok takich przesyłek jest tak duży, że powoduje DoS).

Co szczególnie interesujące, mimo nagłośnienia problemu użytkownicy sięgają po produkty oferowane w takich e-mailach, przez co tylko zachęcają spamerów do intensyfikacji działań. W tym roku rozsyłanie spamu okazało się dużo bardziej dochodowym interesem, niż utrzymujący się przez wiele lat na topie handel bronią czy narkotykami. Wykupienie usługi rozesłania spamu jest tanie i skuteczne. Czołowi spamerzy mają pod swoją kontrolą setki tysięcy komputerów tworzących wspomniane już botnety. Wykrycie spamu jest też coraz bardziej skomplikowane - treści niepożądane przekazywane są w formie zdjęć czy PDF-ów.

Kolejne zagrożenie to kradzież tożsamości użytkowników przez dobrze znany phishing (np. tworzenie fałszywych serwisów finansowych do złudzenia przypominających te prawdziwe i przesyłanie e-maili rzekomo pochodzących od właścicieli serwisu z prośbą o zalogowanie za pośrednictwem linku w wiadomości) czy pharming (cel podobny do phishingu, ale osiągany najczęściej przez ataki typu DNS poisoning - użytkownik, mimo wpisania właściwego adresu np. banku internetowego, kierowany jest do jego fałszywego odpowiednika).

Do tego dochodzą inne "gierki" psychologiczne, jak tzw. system nigeryjski, informacje o wygranych w loteriach, wiadomości o możliwości wyrejestrowania się z jakiegoś portalu (mimo że wcale się na nim nie rejestrowaliśmy), fałszywe e-maile o niedostarczeniu wiadomości do określonego odbiorcy itp.

Na sile przybierają też ataki typu "directory harvest" mające na celu wyłowienie istniejących adresów e-mailowych i późniejsze wykorzystanie ich np. do rozsyłania spamu.

Do tego dochodzi jeszcze problem z naruszaniem polityki bezpieczeństwa firmy i wysyłanie przez pracowników poczty, na którą pracodawca nie wyraża zgody. Przykładem jest przesyłanie na zewnątrz informacji stanowiących tajemnicę handlową, wysyłanie własnych CV w poszukiwaniu innej pracy, rozsyłanie dużych plików powodujących zapychanie łącza.

Jak się bronić

Wszystkie te problemy dostrzegane są przez producentów systemów ochrony poczty elektronicznej. Typowy system ochrony (poprzez system rozumiemy nie jeden produkt, ale wszystkie komponenty chroniące pocztę) zawiera mechanizmy, które powinny radzić sobie z czterema grupami zagrożeń, takimi jak ataki na usługi poczty, usuwanie kodu złośliwego, odsiewanie spamu oraz badanie zgodności treści wiadomości z polityką korporacyjną. Sprawa wydaje się dosyć prosta i oczywista. Tak jednak nie jest.

Technologii, które zaprzęgnięto do pracy w takich systemach, jest wiele, a każdy producent twierdzi, że jego własna jest szczególna, najlepsza i niepowtarzalna. Najczęściej jednak ta niepowtarzalność sprowadza się do innego nazewnictwa. Jak to w dużym skrócie wygląda?

Pierwsza sprawa to ataki i najpopularniejszy z nich - Directory Harvest. W obronie przed nimi pomaga możliwość włączenia synchronizacji pomiędzy systemem ochrony poczty a usługą katalogową zawierającą bazę adresową. Dzięki temu możliwe jest skonfrontowanie adresata podanego w e-mailu z firmową bazą adresów pocztowych. W przypadku wykrycia e-maila skierowanego do nieistniejącego adresata w naszej domenie będzie można spokojnie go odrzucić (także bez powiadamiania nadawcy) i oszczędzić zasoby. Dodatkowo istnieją mechanizmy ochrony przed atakami typu DoS na systemy działające w ten sposób, że określana jest maksymalna liczba jednoczesnych połączeń, które chcemy przyjmować. Wszystko ponad limit nie jest w ogóle analizowane.

Ochrona przed wirusami i innym kodem złośliwym realizowana jest poprzez wykorzystanie sygnaturowych i bezsygnaturowych mechanizmów filtracji. Te pierwsze to silniki antywirusowe aktualizowane obecnie nawet kilkadziesiąt razy dziennie. Niektórzy producenci w celu podwyższenia skuteczności stosują wiele różnych silników antywirusowych jednocześnie, "pożyczając" je od innych dostawców na licencji OEM. Większość bazuje jednak tylko na jednym silniku. Mechanizmy sygnaturowe nie są w stanie zapewnić ochrony w czasie rzeczywistym - zawsze jest jakaś czasowa luka pomiędzy pojawieniem się zagrożenia i wypuszczeniem szczepionki. Poza tym w przypadku zagrożeń metamorficznych - samo programujących się i stale mutujących, szczepionki są nieskuteczne.

Kolejne działanie to wszelkiego rodzaju mechanizmy heurystyczne. Wśród nich są np. coraz rzadziej wykorzystywane analizatory podejrzanych zachowań - ze względu na dużą liczbę fałszywych rozpoznań (false positive). Inny przykład to rozwiązania typu sandbox - podejrzany kod uruchamiany jest w wirtualnym systemie imitującym pracę rzeczywistego i tam analizowany - technika ta, choć dość skuteczna, ma niestety duży apetyt na zasoby. Te dwie technologie wzajemnie się uzupełniają. Dobry mechanizm heurystyczny pozwala na wykrycie kodu złośliwego nawet wówczas, jeżeli nie poradzi sobie z tym filtr AV ze względu na brak sygnatur - ochrona przed tzw. atakami dnia zerowego.