Google, Microsoft и Yahoo! закрыли серьезные уязвимости своих почтовых систем

Крупнейшие почтовые сервисы компаний Google, Microsoft и Yahoo! закрыли серьезные уязвимости, связанные со слабостью криптографических ключей системы безопасности DKIM, применяемой большинством отправителей.

Технология DomainKeys Identified Mail (DKIM) предназначена для повышения качества идентификации легитимной электронной почты и инкорпорирует несколько методологий антифишинга и антиспама. Вместо традиционного IP-адреса для определения отправителя, в сообщение DKIM добавляется цифровая подпись, связанная с именем домена организации. Подпись автоматически проверяется на стороне получателя, после чего определяется репутация отправителя. Как выяснилось, уязвимость имелась как раз в DKIM –слабость криптографических ключей (менее 1024 бит) оставляла хакерам возможность имитировать легитимные сообщения. По информации US-CERT, растущая вычислительная мощность уже позволяет современным ПК справиться с ключами RSA длиной до 768 бит, а стандарт DKIM не требует отбраковки сообщений с ключом короче 1024 бит.

Впервые на проблемы безопасности Google обратил внимание математик из Флориды (США) Захари Хэррис (Zachary Harris), которому удалось разложить 512-битный ключ полученного от Google сообщения (он, кстати, посчитал его хитроумным тестом) и отослать поддельное письмо Ларри Пейджу (Larry Page) от имени Сергея Брина (Sergey Brin). Оказалось, что выявленная проблема характерна не только для Google, но и 512-битных и 768-битных ключей почтовых систем Microsoft и Yahoo!, а также PayPal, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com и HSBC.

US-CERT выявила и другую проблему: спецификации DKIM позволяют отправителю пометить сообщение как такое, на котором проводится тестирование DKIM. При этом получатели определенно примут это сообщение, хотя его необходимо рассматривать как отправление без DKIM подписи.