» »

Googlovi poštni strežniki postajajo raj za spamerje

Googlovi poštni strežniki postajajo raj za spamerje

GMail

vir: Ars Technica
Ars Technica - Potem ko je bila pred kratkim objavljena analiza napada na Google-ov zvočni del CAPTCHA zaščite pred spamerji, ki je efektivno popolnoma zaobšla Google-ovo zaščito, saj naj bi se dalo doseči tudi 90 odstotno uspešnost ugibanja, pa je bil danes objavljen še en članek, ki razkriva da so Google-ovi poštni strežniki ranljivi za t.i. man-in-the-middle napade.



Raziskovalcem iz INSERT-a je tako uspelo zaobiti GMail-ovo omejitev 500-tih sporočil, ki jih lahko naenkrat pošlje uporabnik, brez da bi jim Google omejil dostop, ali jih opozoril na morebitne posledice nadaljnjega početja. Kar naredi ti dve varnostni ranljivosti še nekoliko bolj kritični je dejstvo, da ponudniki internetne pošte velik del elektronske pošte zavrnejo že s prepoznavo izvora pošte - prepoznajo namreč določene strežnike, ki so na t.i. črnih seznamih oziroma avtomatsko spustijo pošto skozi svojo prvo linijo obrambe, če identificirajo izvorni strežnik kot zaupanja vreden.

Yahoo in Hotmail tako na primer popolnoma zaupata Google-ovim strežnikom in sta vsa testna sporočila dostavila v glavni nabiralnik. Kakšne posledice lahko to ima za poštne ponudnike, ki se zanašajo na hierarhijo zaupanja, verjetno ni potrebno posebej poudarjati.

23 komentarjev

AndrejS ::

Grdi google.... saj mu ne moremo zamerit, še vedno je BETA verzija... in koliko uporabnikov mu zaupa...

RejZoR ::

Mja no, v povprečju fašem dejansko v Inbox tam 1 do 2 spam maila na pol leta, ki se slučajno izmuzneta. Vse ostalo gre direktno v mapo Spam, ki je nikoli ne odprem in zaupam filtrom. zaenkrat ni bilo težav. Torej kje je problem?
Angry Sheep Blog @ www.rejzor.com

t909 ::

Problem je bralno razumevanje.

iveco18 ::

Jaz imam na gmail-u spama ko solate in to samo zato, ker sem svoj čas mal secondlife čekiral.

lol, lp iveco

Matevžk ::

Kot je omenil že t909 ... preberite novico in POTEM komentirajte.
lp, Matevžk

jlpktnst ::

Jah očitno se ne da popolnoma zaupat googlovim strežnikom. Kakšen vpliv ima to? Pač bojo nastavili spamfilter da bo aktiven tudi za pošto iz googlovih strežnikov... Nekaj minut dela verjetno.

Spock83 ::

Google bo to takoj poštimal. Ne dvomim.

pegasus ::

Nehajmo uporabljat email, ker enostavno ne ustreza več razmeram današnjega časa.

OmegaBlue ::

Ja! In vsi uporabljajmo alternativo ki je... ?
Never attribute to malice that which can be adequately explained by stupidity.

Bakunin ::

omegablue

...druzenje ob kavi in cig^H^H^H

Tr0n ::

Cudim se, da pri tako ogromnem stevilu uporabnikov, ki jih ima Google, niso na te napake in exploite naleteli ze prej. Ocitno imajo vseeno dobro porihtane serverje.

Zgodovina sprememb…

  • spremenilo: Tr0n ()

fiction ::

...razkriva da so Google-ovi poštni strežniki ranljivi za t.i. man-in-the-middle napade
Man-in-the-middle napade?!
Ta clanek ne razkrije ravno veliko glede na to da je vecina stvari cenzuriranih z "Ommited as a courtesy to Google". Samo, da je mozno posiljati vec kot 500 naslovnikom z neko "forward" metodo ter da je problem zaradi zaupanja drugih ponudnikov. Od avtorjev bi pricakoval, da so Google prej obvestili (in stvar objavili sele po tem ko je Google napako odpravil).
Tale naknadna cenzura namiguje na to, da tega niso storili. (Ali pa le da je Google zloben in cenzurira opise ze odpravljenih varnostnih pomankljivosti).
V vsakem primeru bi bilo bolj smiselno umakniti celoten clanek, kot pa pustiti neko skropucalo. Kot bi rekel: "resil sem P=NP problem Dokaz: *cenzura*".

S pomocjo razbitega audio CAPTCHA-ja bi bilo v principu mozno spammerjem avtomatsko ustvarjati vedno nove gmail accounte, tako da tudi tista omejitev s 500 maili ni tak problem. Tukaj razumem da orodja niso objavili. Navsezadnje je problem opisan v clanku. V prejsnjem primeru temu ni tako.
Torej drugi ponudniki ne bi smeli kar tako na slepo zaupati Gmail streznikom, ampak bi kvecjemu lahko za sporocila poslana s tistih SMTP streznikov podali malo bolj mile omejitve kdaj se email klasificira kot spam.

Vlady ::

Ja! In vsi uporabljajmo alternativo ki je... ?

Dimni signali >:D
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"

Zgodovina sprememb…

  • spremenilo: Vlady ()

sese12 ::

Najbolje, da blokirate vse svoje poštne predale in vam sigurno ne bo noben spam padel notr.

Gost ::

Pri takem navalu uporabnikov je skoraj normalno. Bodo že uredili.

Bolj me skrbi za google apps, če me bodo sedaj ostali mail serverji metali pod spam.

A lahko poleg spf vrstice v dns vpisih, narediš še kaj, da te ne mečejo pod spam? Kaj je najpogostejši cheking spam filtrov?

CoolBits ::

Nekaj so definitivno ukrenili tako v pošiljanju kot prejemanju zgleda...
Večinoma dobim čez dan okrog 10-15 spamov... danes pa menda sam eden,bomo še videli... zanimivo :)

sp4yk ::

Sicer je pa odlična tema za seminarsko nalogo >:D
Life is one long insane trip. Some people just have better directions.

JurijTurnsek ::

js bi te filtre najraje kar izklopil ker se neredko med spamom znajde kak pomemben emajl... še dobro da mam na gmail 2-3 spam mejla na mesec sploh
http://www.slatnaskejta.com

Doman ::

Jaz na mesec dobim po 2, največ 3 spam maile.
Pa uporabljam googlov mail, prav tako tudi Googlelov Apps, kjer nisem še nikoli dobil spama.

Zgodovina sprememb…

  • spremenil: Doman ()

Gost ::

Pa saj se novica sploh ne nanaša na prihajajoči spam v gmail boxe, ampak na spam poslan iz gmail strežnikov na splošno. Spama bo zelo verjetno v vaših gmail boxih popolnoma enako kot doslej. :)

Bistri007 ::

Ja ubogi oni, ki so slepi. Mogoče bi bilo res bolje kot alternativo predvajanju zvoka za slepe, ki ga zmore prepoznati speech2text system, uvesti avtorizacijo preko kreditne kartice ali SMS povratnega sporočila.

Ampak gmail mora ostati na whitelist. Nesprejemljivo je, da bi šla sporočila poslana tako v spambox.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

fiction ::

Izgleda kot da je vecina ljudi tukaj slepih. :) Vidijo "Google" in "spam" in ze
pisejo kako oni ne dobijo spama na svoj gmail racun.

Avdio captcha je dobra zadeva. Ni ga treba ukiniti, fora je samo v tem da bi ga bilo treba
malo popraviti. Recimo da bi bil pri vsaki stevilki drug glas oz. da sploh ne bi bile
samo stevilke ampak malo bolj kompleksna beseda. Tudi sum iz ozadja bi se moral spreminjati.
Navsezadnje slepi ljudi bolje slisijo. To s kreditno kartico ni sprejemljivo, ker s tem zelo omejis kdo se lahko registrira, SMS potrjevanje je pa drago.

Zakaj bi moral biti Google na whitelistu? Taka razmerja zaupanja so kar se varnosti tice
ponavadi slaba.

Bistri007 ::

Google Mail mora biti na whitelistu. Ker če ti nekdo pošlje pomembne email in pristane v SPAM boxu - ti ga pa vidiš, ko je že prepozno ali pa sploh ne. To ni fajn. Mogoče bi res lahko dodali žuborenje potočka in petje ptic v ozadju... SMS&kreditna kartica sta še vedno boljši opciji, kot avdio. Sicer pa, če slepi nima kartice, lahko pa prosi nekoga drugega, da ga registrira <;)>
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Cloud gostovanje e-pošte (strani: 1 2 )

Oddelek: Omrežja in internet
6013144 (11982) c3p0
»

Google v e-poštnem nabiralniku svojega uporabnika našel otroško pornografijo, kojci o

Oddelek: Novice / Varnost
3612114 (9438) Senitel
»

Ko monopol prevlada...

Oddelek: Novice / Omrežja / internet
294250 (2978) poweroff
»

Mozilla Thunderbird - problem s SMTP strežnikom

Oddelek: Programska oprema
82730 (2592) PujsaPepa
»

Googlovi poštni strežniki postajajo raj za spamerje

Oddelek: Novice / Varnost
236719 (3992) Bistri007

Več podobnih tem