邮箱网 0条评论 7295次浏览 2012年12月29日 星期六 20:11
网络安全,一直都是一个时刻被关注的话题。从个人隐私到企业互联网服务安全,近日,全国人大常委会审议“关于加强网络信息保护的决定(草案)的议案”,被认为是国家对网络信息保护的重视程度提升到全新高度,可以预期包括公民个人信息、网络信息安全将实现有法可依、有章可循。网络安全除了法律法规的健全与完善之外,基于网络服务的个人信息安全与企业信息安全同样需要全民的安全知识普及、厂商的安全技术保障以及企业用户对于信息化安全的重视。
近日,《大学生入侵老师邮箱搜出考卷 公布入侵过程或被开除》的消息着实引起了很多业内外人士的关注。邮箱安全并不是一个老话题,在这些话题中既有《作为一个间谍,我需要一个安全的一次性邮箱》提供的一次性邮箱服务只有 24 小时生命的特殊案例,也有《黑客攻击企业邮箱获交易信息 窃走企业5万美元》的邮件诈骗案件,当然也有《实时保护电子邮件 瑞星杀毒软件更有效》的安全厂商的技术方案。但是不容忽视的是我们的邮件厂商是否有足够的技术来确保邮件传输、邮件发送投递以及涉及到邮件收发环节的任何一个技术漏洞。
在“技术帝入侵邮箱事件”之后,中国邮箱网第一时间发表了《网友爆料:南大“技术帝”入侵老师邮箱为亿邮邮件系统》的深度网友解析文章。就入侵事件很多邮件行业专家也给予了非常诚恳的建议。Extmail何智强认为:“webmail登录可以连ip也验证,但对于nat的那种出口,ip验证也无能为力;其实同一个内网,盗取密码也容易,除非ssl保护,盗取客户端ip也容易。”微软技术专家殷杰表示:“这只能说是一个技术漏洞,入侵者并不用具备太多的技术,现在黑客都被神化了,而针对企业邮件系统,全程加密是必须的原则。”
同时,中国邮箱网第一时间与受此事件牵连的亿邮取得了进一步的沟通。通过沟通我们了解到,入侵邮箱事件的南京大学软件技术学院所搭建的亿邮邮件系统其实是很多年以前的一个版本,之后的很长一段事件并未做过邮件系统软件更新与升级服务。同时,在12月27日亿邮方面已经派技术专家前往南京大学软件技术学院做了相应的技术支持,相信此问题可以很快的得到解决。
对于该入侵事件,盈世Coremail产品技术总监龚嘉认为:“此次学生能够成功入侵教务邮箱最主要的问题还是南大软件学院邮件系统本身存在系统安全上的漏洞。” 龚嘉分析了此次刘靖康同学的入侵过程。首先,刘靖康同学先给教务邮箱发送了一封带表情图标的邮件,并在此表情图标地址中植入恶意脚本。当教师打开此邮件时即触发恶意脚本将老师在看信时产生的cookie发送到指定的邮箱,刘同学拿到cookie后马上通过自己的电脑把cookie还原成登陆URL,从而成功进入老师的邮箱。对于学生的入侵过程,网易邮箱工程师也给出了几乎一致的看法,《南大老师邮箱为何被入侵?网易邮箱工程师为你详解》已有详细描述。
龚嘉同时还认为南京大学软件学院邮件系统安全漏洞主要有如下两方面:
1.打开邮件时系统没有执行脚本过滤。此次入侵在于南京大学软件学院的邮件系统缺乏基本的脚本攻击防范,学生只需在邮件中使用一个图片加上onload属性的脚本就轻易的获取了教师的cookie信息。此邮件系统连onload 都能注入脚本,这样低级的防范都没有过滤,被入侵是不可避免。
2.Cookie的登录检验机制太过简单。刘同学拿到老师的cookie后,即可通过自己的电脑进行登录,系统完全没有进行校验,比如增加简单的IP检查,如果系统支持该机制,就算学生拿到cookie,也会因为IP不同而无法登陆。
龚嘉认为当务之急是该校邮箱用户使用客户端软件来进行邮件的收发,如Outlook、Foxmail、闪电邮等,可屏蔽此类安全风险。但是Web网页邮箱的便利性和多功能是邮件客户端所不可替代的。
在传统企业邮件系统产品中,包括亿邮在内的很多邮件系统厂商均具备全程SSL邮件加密以及邮件安全策略设置的功能。导致此次入侵邮箱事件的根本原因还是邮件系统依然是旧版本未做升级,如果南京大学软件学院的邮件系统可以做到定期的软件升级维护或许就可以避免此类事件的再一次发生。
中国邮箱网认为制约国内邮件行业信息安全的因素目前主要集中在以下几点:
1.国内的很多机构和企业在邮件系统上的资金投入匮乏,使得原本需要升级更新维护的邮件系统资金不到位,也就无从得到最新的软件更新版本,漏洞得不到及时的更新是导致安全事件的最大因素,从国内软件更新维护的成本看一般软件升级费用的成本为软件购买总费用的15~25%之间,而国外的软件升级成本在30%~40%之间,这期间技术研发的持续投入是必不可少的,但是很多国内的企业并没有意识到软件更新的重要性,大致的现象是能不升级就不升级,能减少软件开销就减少软件开销,最终为安全事件买下了更深层次的安全隐患。
2.国内很多企业单位的信息化安全缺乏常识知识与普及。就中国邮箱网随访的很多大到上市公司,小到中小企业的IT信息化现状来看,很多企业在职员工面对迅猛发展的互联网行业依旧停留在“小白用户”的层面上,早已习惯了“一键清除”的小白用户对邮件安全知识更是知之甚少,就像有关邮件专家所提及的如果该学校的老师在邮件收发的过程中使用了邮件客户端来收发邮件可能破解起来就相对困难的多了,但是很显然webmail的查看邮件方式在该学院还是很普及。
3.邮件厂商,特别是邮件系统厂商应该做好针对邮件系统升级的通知与公告的义务与责任。汽车可以针对其自身漏洞可以做召回处理,微软可以针对其漏洞做更新补丁的声明,为何邮件系统厂商对于自身的安全漏洞以及技术更新就仅仅停留在修复几个BUG上,而不是将已经存在的重大安全隐患公之于众并及时对所有涉及到的用户做到升级更新的安全提示,哪怕是需要支付一些费用?
从更深层次讲,安全漏洞并不可怕,可怕的是整个行业为了彼此都不愿提及的漏洞而遮遮掩掩。