Nädal 14: Tarkvara pahatahtlik kasutamine spämmimiseks

Hiljuti tabas ühte Eesti raamatupidamistarkvara selline pahatahtlik ärakasutamine:

https://www.merit.ee/teated/merit-tarkvara-susteemi-kasutati-ongitsuskirjade-saatmiseks

https://www.merit.ee/teated/oluline-teade-merit-tarkvara-kasutajatele

https://www.merit.ee/teated/muudatused-merit-aktiva-arvete-saatmises-ja-turvameetmetes

Lühidalt: programmist saadeti välja fiktiivseid arveid.

Milliste meetmetega võiks sellist asja ära hoida?

Konkreetse kaasuse osas ja ka selliste tasuta testimiseks mõeldud teenuste osas piiraksin ma oluliselt e-mailide välja saatmist.

Sisuliselt seaks ma järgmised piirangud:
- e-mailid saadetakse välja ainult demo kasutajale endale (sõltuamata sellest, mis ta rakenduses kliendi aadressiks määrab)
- juhul, kui siiski lubada välja saata kirju kliendi e-mailide lisaksin ma e-maili päisesse ja jalusesse nähtavale kohale info, et tegemist on demo kontoga, mis annab selgelt info selle kohta, et tegemist ei ole päris arvega
- tasuta (demo) konto ssaab teha ühelt IP aadressilt teatud aja jooksul ainult teatud hulk (1-3 tk) välistamaks sellist tasuta demo kuri tarvitamist
- demo kontol asuvad andmed nullitakse mingi X aja jooksul (näiteks 7 päeva)

Minu meelest on spämmimise puhul põhiprobleem see, et tarkvara teeb ründaja jaoks mahu odavaks. Üks inimene ei jõuaks käsitsi tuhandeid kirju, kommentaare või registreerimisi teha, aga skriptiga saab seda teha kiiresti ja eri kanalites korraga. Kui juurde lisada lekkinud paroolid või halvasti kaitstud veebivormid, muutubki lihtne automatiseerimine päris suureks probleemiks.

Kaitses ei piisa ühest võttest. E-postis on vaja SPF/DKIM/DMARC seadistust, veebivormidel kiiruspiiranguid ja sisulist valideerimist, kontodel MFA-d ning logides head anomaaliate jälgimist. Kõige nõrgem koht on tavaliselt see koht, kus keegi ei oota väärkasutust.

Lugesin need lookesed läbi. Mina keeraks demo/tasuta konto alt e-posti saatmise lihtsalt kinni. Punkt.

Ma saan täiesti aru, et müüa on vaja ja tulevast kasutajat peibutada. Aga kurb lugu on see, et turvalisus ja mugavus ei käi samas lauses kunagi koos. Mis on turvaline, pole mugav ja vastupidi. Tarkvarast e-posti välja saatmine peaks toimima siis kui saatja on 'tugevalt' autenditud, kuidagigi. Eriti tugev autentimine on raha

Demo/tasuta kontoga saaks genereerida PDF'i ja selle alla laadida ja siis juba oma e-postilt edasi saata.

Minu arvates on siin põhipointiks ja probleemiks see, et spämmimine muutub võimalikuks siis, kui ühel kontol või süsteemil lastakse liiga palju teha liiga kiiresti. Ehk siis mitte ainult pahavara ise, vaid ka see, et piiranguid pole või need on nõrgad.
Ma paneks rõhku just väljuva posti piirangutele, MFA-le, logimisele ja sellele, et kahtlane massiline saatmine tuleb kiiresti kinni püüda. Demo- ja testkontod võiksidki olla eriti piiratud, et neid ei saaks kurjasti kasutada.

Noh, antud juhtumis oli tegemist äriloogilise veaga, ning kasutajal ei oleks kunagi tohtinud olla sellist võimekst.

Kui laiemalt võttes, siis ma kahjuks, arvan, et see on lõputu võitlus. Spämmi tuvastus ja piiramis meetodid paranevad, aga petturid alati leiavad viisi kuidas neist mõõda hiilida. Arvan, et siinkohal tegelilt hetkel tehnilist lahendust polegi, vaid tuleb rõhutada kasutajate väljaõppet pettuste tuvastamiseks ning disainida organisatsioon niimoodi, et isegi langetakse ohvriks, kahju oleks minimaalne.

Paistab, et antud juhul lootsid petturid lihtsalt sellele, et @merit.ee aadressid tunduvad piisavalt usaldusväärsed, et inimesed usuvad pimedalt kirjade sisu, midagi sellist nagu saatja spoofimine ei olnud. Selliste asjade vastu polegi midagi muud teha kui piirata suvaliste inimeste ligipääsu e-maili teenustele ja probleemsed kontod võimalikult kiiresti sulgeda, nagu firma antud juhul tegi. Peamine võitlus selliste asjade vastu peab toimuma saaja poole peal, igasugused automaatsed filtrid ja hoiatused ja kõige olulisem on muidugi töötajate ja eraisikute teavitamine ja koolitamine, et nad igat suvalist e-maili kohe ei usuks ja ei ruttaks tundmatuid arveid maksma.

lihtsalt halb tarkvara disain.... muud ei ole midagi öelda.