Статьи

Проблема желтого замочка

13.09.2012

/

Как известно, протокол HTTPS отвечает за шифрование траффика. Он помогает нам сохранить конфиденциальность и целостность передаваемых сведений и используется всё чаще для защищенного обмена данными между клиентом и сервером. Так сложилось, что одним из наиболее часто используемых ресурсов, применяющих HTTPS, является почта от Google - Gmail. Однако в механизмах HTTPS в Gmail есть некоторые особенности, которые стоит рассмотреть подробнее.

«Идеальное» состояние защищенности при работе с корпоративной почтой показывает нам иконка в левой верхней части браузера. Здесь и везде я буду ссылаться на 2 браузера: Firefox и Google Chrome, как наиболее подходящие для этого исследования. Firefox, как самый универсальный браузер для аудита безопасности, а Chrome, как браузер от самого Google. Итак, зеленая иконка замочка для Chrome или закрытый серый замочек Firefox означают, что всё хорошо.

Google Chrome Firefox

Через некоторое произвольное время работы с web-интерфесом почты иконки начали принимать другой вид, что не могло не настораживать:

Google Chrome Firefox

При щелчке по иконке для просмотра сертификата браузеры почти в один голос говорили следующее:

Google Chrome Firefox

Chrome при это давал ссылку на саппорт, где разъяснялось значение таких иконок:

Слова «уязвимое», «конфиденциальной информации», «злоумышленник», «осторожность» в этих абзацах намекают, что надо бы разобраться в причинах, чтобы спать спокойно:

Для того, чтобы разобраться, используем плагин для Firefox – Tamper Data (аналогичные инструменты есть и для Chrome). Они позволяют отследить все запросы, отсылаемые браузером серверу Google, и понять, что из этого передается по https, а что – в открытом виде, по http.

Плагин бы установлен и запущен, после чего я продолжил пользоваться почтой как обычно, внимательно исследуя все запросы моего браузера. Результаты не заставили долго ждать, были выловлены запросы, отсылаемые в открытом виде:

Остановлюсь на этих двух запросах немного подробнее. Сервисы safebrowsing-cache.google.com и safebrowsing.clients.google.com являются сервисами Google по противодействию распространению вредоносных программ и фишингу. Гугл активно распространяет эту технологию и предоставляет открытые API другим приложениям, например, Firefox уже давно имеет подобное соглашение с Гуглом. Также этот механизм можно принудительно отключить в Firefox и Chrome в соответствующих настройках, однако делать это не рекомендуется и попросту незачем:

Chrome (Настройки – Личные данные) Firefox (Настройки – Защита)

Пример того, что показывает браузер при сипользовании механизмов safebrowsing.clients.google.com при попытке захода на вредоносный сайт:

Также на эту страницу можно зайти вручную и проверить c помощью данного сервиса свой сайт, далее показан пример с сайтом ya.ru:

Подробнее о технологии можно почитать на: https://developers.google.com/safe-browsing/, однако это не является целью исследования. Более того, эти запросы Гугл считает «своими», и, вероятно, непосредственно через почту они «не передаются», так что даже при их отправке и получении у нас все также остается значок зеленого замочка. Смотрим дальше, что еще передается в открытом виде.

При открытии письма, отправленного с iPad, появлялись сразу несколько запросов от удостоверяющего центра verisign.com от компании Symantec. Это тоже на зеленый замочек не влияет и, видимо, также, «напрямую через почту» не ходит.

Компьютер с включенной почтой был оставлен на ночь, в результате было выловлено еще несколько подобных запросов от центров сертификации. Волноваться тут тоже не о чем:

Еще одна фирма, занимающаяся сертификатами, Godaddy:

На зеленый замочек также это не влияет.

И вот среди всего этого появился, наконец, тот запрос, который, как оказалось в дальнейшем, и убивал зеленый замочек:

«Не, не может Гугл хостить свои картинки на radikal.ru!=)». Пройдя по ссылке, указанной в запросе, мы видим логотип организации. А это значит, дело в подписи сотрудника. Запрос этот появлялся при открытии переписки (и, соответственно, показе картинок) от сотрудника, пожелавшего остаться неизвестным=).

Дальше все оказалось просто. Почта Гугл позволяет добавлять картинку в подпись из внешнего источника, что, соответственно, и было сделано: добавлена картинка с логотипом подпись с внешнего URL – radikal.ru:

Альтернативой этому является добавление картинки в подпись с помощью браузера Firefox непосредственно с ПК, а не копированием картинки с radikal.ru путем копирования Ctrl+C и вставки после текста Ctrl+V:

Картинка из подписи была удалена. Теперь, если просматривать новую почту от сотрудника, у которого была подпись с radikal.ru, зеленый замочек остается в норме. Если просматривать старую переписку, то зеленый замочек заменится на серо/желтый, так как Гугл не обновляет подписи в старой почте.

Весь анализ происходил на одном ПК с одной учетной записи Гугл. Следовательно, анализировалась соответствующая переписка и весь процесс именно на этом ПК. Причина «желтого замочка» была выявлена и устранена. Так что я вполне допускаю, что на других местах эта проблема может иметь другую причину: например, логотип в подписи кого-то ещё да и вообще любое другое открытое содержимое. К тому же, мы разобрали всего лишь один из огромного количества примеров включение открытого содержимого в почту, использующую https. Безусловно, такой гигант как Гугл, внимательно относится к защите информации и имеет жесткую политику безопасности, касающуюся содержимого почты и т.д. Вставить на место подписи вредоносный скрипт не получится, однако лучше переоценить, чем недооценить=)

Более того, заботливый Гугл в своих настройках имеет опцию «Внешнее содержание»:

Включив её, любые «внешние» данные в письмах: картинки, подписи и пр. будут отображаться только по дополнительному подтверждающему щелчку пользователя. В таком случае по умолчанию любое внешнее содержимое будет отключено:

Выводы:

1. Несмотря на то, что Гугл-почта считается защищенной, нужно внимательно относиться к ее безопасности, в частности, отслеживать состояние сертификатов шифрования (замочков в левом верхнем углу браузера).

2. В случае возникновения подозрений на вредоносные действия, попытки подмены сертификатов (смена значка и пр.), нужно выяснить причину.

3. Не используйте оффлайн-клиенты почты, а если и используете, то с обязательным шифрованием передаваемого траффика, ведь по умолчанию это практически никогда не включается.

4. При использовании Gmail обязательно включайте двухфакторную аутентификацию, позволяющую использовать в дополнение к паролю коды с помощью приложений для мобильных устройств, синхронизируемые по времени, телефона или уже напечатанные одноразовые коды. Как это настроить, добрый Гугл описал здесь: https://support.google.com/accounts/bin/answer.py?hl=en&answer=180744

5. Просматривайте дополнительную информацию о действиях в аккаунте «в самом низу справа окна гмаил»:

Такая информация позволяет контролировать всю активность в почте и принимать необходимые меры в случае выявления подозрительных действий, которые мог пропустить и сам Гугл=)