Денис Аникин: Мы создаем новые уровни защиты в Почте Mail.Ru, но многие пользователи о них даже не знают

Денис Аникин: Мы создаем новые уровни защиты в Почте Mail.Ru, но многие пользователи о них даже не знают

Денис Аникин

Технический директор Почты Mail.Ru и Облака Mail.Ru

Эксперт по распределенным высоконагруженным системам, оптимизации проектов под высокие нагрузки, а также по разработке и управлению разработкой.

За 12 лет профессиональной деятельности Денис вырос от программиста до технического директора пятого по посещаемости почтового сервиса в мире и одного из самых популярных в рунете облачных хранилищ – эту должность он занимает на протяжении последних пяти лет.

Закончил Московский государственный университет им. М. В. Ломоносова, факультет Вычислительной математики и кибернетики.

...

На вопросы информационно-аналитического центра Anti-Malware.ru любезно согласился ответить Денис Аникин, технический директор Почты Mail.Ru. Это интервью продолжает цикл публикаций "Индустрия в лицах". 

 

Насколько важна для Mail.Ru информационная безопасность? Повысилась ли ее значимость и почему?

Объем пользовательских данных, хранящихся в Сети, очень быстро растет. Например, в электронном ящике могут находиться сканы важных документов, к почтовому адресу привязывают Apple ID, аккаунты в онлайн-играх и интернет-банках. Число киберугроз тоже постоянно увеличивается, так что совершенствование систем безопасности для интернет-сервисов — это без преувеличения вопрос выживания.

Например, шифрование трафика — это уже практически must have, особенно учитывая, какую популярность сегодня приобрели Wi-Fi-сети, где перехватить трафик особенно легко. Идет постоянное улучшение систем антибрутфорса (препятствующих автоматическому подбору пароля к аккаунту). Помимо этого мы, например, за последние пару лет принудительно включили защищенный протокол HTTPS в Почте и на портале, внедрили такие «фичи», как HTTPOnly cookie, Secure Cookie, Content Security Policy и разделение пользовательских сессий при доступе к различным проектам единого информационного портала Mail.Ru.

Еще одно важное направление: мы активно призываем разработчиков почтовых сервисов и клиентов для десктопных и мобильных устройств реализовать процедуру авторизации при сборе почты с наших ящиков через OAuth 2.0. Поскольку этот протокол не требует ввода пароля на сторонних ресурсах, он надежнее защищает переписку пользователей Mail.Ru, которые работают с почтовыми клиентами, сторонними приложениями или собирают письма с Mail.Ru на ящики других почтовых провайдеров. Первым таким клиентом стал The Bat, в ближайшее время ждем, что по OAuth с нас начнет собирать почту Thunderbird. Надеемся, что их примеру последуют и другие.

Это, кстати, интересная тенденция в области безопасности почты: если раньше OAuth использовался в основном только при авторизации  в вебе, то теперь он начинает активно применяться и в почтовых клиентах.

С какими угрозами почтовый сервис сейчас сталкивается чаще всего?

Одна из самых распространенных причин взлома — использование одного и того же пароля для почты и других, менее защищенных ресурсов. Скажем, мошенник атакует форум, торрент-трекер или мелкий интернет-магазин, сделанный на базе популярного бесплатного движка, и получает доступ к данным пользователей. В его руках оказываются почтовые адреса, к которым привязаны учетки, и пароли к форумным аккаунтам. Если пользователь поленился и поставил один и тот же пароль и в почте, и на форуме, его ящик скомпрометирован.

Часто взлом происходит через троянские программы, которые «угоняют» аккаунты с компьютеров пользователей̆. При этом аккаунты администраторов и веб-мастеров сайтов могут быть использованы для размещения вредоносного кода на достаточно популярных ресурсах и заражения через них других пользователей̆.

Легко подбираются пароли, содержащие личные данные, которые относительно легко узнать: паспортные данные, дату рождения (причем это относится не только к данным самого пользователя — например, имя жены в качестве пароля тоже не стоит использовать) и так далее.

Мы создаем новые уровни защиты в Почте Mail.Ru и совершенствуем уже имеющиеся, но часто злоумышленники направляют атаку не на сервис, а на пользователя. Чтобы противостоять таким атакам, достаточно соблюдать элементарные правила безопасности — но практика показывает, что многие о них даже не знают.

Большая боль почтовых сервисов — ответ на секретный вопрос. Нередко человек продумывает сложный пароль, а на секретный вопрос ставит очевидный, легко подбирающийся ответ. К тому же ответ легко выудить с помощью социальной инженерии («Привет, а у нас с тобой не одна и та же первая учительница была? Мою звали Светлана Валерьевна, а твою?»). Поэтому в Почте Mail.Ru мы закрыли для новых пользователей возможность использовать секретный вопрос для восстановления доступа к ящику, оставив более безопасные методы — например, привязку к номеру телефона. Также мы ограничили возможность создавать слишком простые почтовые пароли.

Что может сделать пользователь почтового сервиса самостоятельно, чтобы обезопасить учетную запись и свои данные?

Правила интернет-безопасности достаточно просты. Во-первых, нужно избегать типичных ошибок, о которых я уже говорил. Обязательно стоит придумать пароль для почты, который не будет использоваться ни на каких других сервисах. Желательно регулярно его менять — в идеале не реже, чем раз в три месяца.

Во-вторых, нужно обязательно привязать к аккаунту мобильный телефон — на  сегодняшний день это самый безопасный способ восстановления доступа.

В-третьих, включите двухфакторную аутентификацию.

В-четвертых, стоит с долей подозрительности относиться к незнакомцам в сети, не отвечать на личные вопросы и не переходить по ссылкам, которые они отправляют: аккаунты часто уводят с помощью социальной инженерии и фишинга. Когда собираетесь вводить пароль от почты, обязательно посмотрите в браузерную строку, чтобы убедиться, что это не поддельная страница и что включен безопасный протокол HTTPS.

Все эти правила достаточно простые, но часто люди о них забывают или просто не задумываются. Именно поэтому мы создали сайт security.mail.ru — онлайн-памятку (или чек-лист) по основам интернет-гигиены. По ней хорошо сверяться, все ли меры безопасности соблюдены, а еще ссылку можно отправить, например, родителям.

Mail.Ru включил защищенный протокол уже даже на главной странице портала. Расскажите, какие сложности были с переходом на HTTPS?

Если описывать трудности подробно, их хватило бы на целую статью. Собственно, мы ее написали и опубликовали на Хабре. Остановлюсь вкратце на нескольких наиболее интересных моментах.

На всем портале Mail.Ru работает общая баннерная система, в которой присутствует и внешний контент, предоставляемый партнерами. Соответственно, нам пришлось уговорить всех партнеров перейти на HTTPS и в дополнение к этому технически запретить показ баннеров с небезопасным контентом на стороне нашей баннерной системы.

Еще одна проблема была связана с пересылкой изображений. Дело в том, что большинство картинок, приходящих пользователям в письмах, расположены на внешних серверах, многие из которых о HTTPS слыхом не слыхивали. Поэтому мы разработали прокси, через который проходят все внешние ссылки. На выходе браузер пользователя получает всегда HTTPS-ный контент.

Поскольку переход на HTTPS существенно увеличил нагрузку на серверы, мы провели целый ряд оптимизаций. Например, поменяли конфигурацию HTTP-сервера и оптимизировали количество запросов с клиентов на наши серверы. Эти и другие меры позволили нам обойтись без покупки нового «железа».

Не так давно вы ввели двухфакторную аутентификацию для пользователей Mail.Ru. Насколько снизилось количество взломов учетных записей благодаря этому?

На сегодняшний день двухфакторная аутентификация — это самый безотказный способ защитить почтовый ящик. Могу сказать, что мы не зафиксировали ни одной подтвердившейся жалобы о взломе ящика с включенной двухфакторной аутентификацией. Так что призываем всех, кто этого еще не сделал, ее включить: это можно сделать буквально в пару кликов в настройках безопасности почтового ящика.

Время от времени в Сети мелькают новости о появлении баз паролей различных почтовых сервисов. Помимо перечисленного ранее, какие меры были предприняты, чтобы с аутентификационными данными Mail.Ru такого не произошло?

Анализ этих баз показывает, что они скомпилированы из фрагментов старых баз, которые были собраны разными методами: вирусы, «автореги», «кросс-чек» (это когда взламывают какой-нибудь мелкий плохо защищенный сайт и прогоняют полученные пары логинов и паролей по крупным почтовым сервисам — вот почему для почты нужно обязательно заводить уникальный пароль, подчеркиваю это еще раз). То есть мы снова возвращаемся к необходимости просвещать пользователей и рассказывать им о правилах интернет-гигиены.

Чтобы защищать наших пользователей, мы постоянно мониторим открытые источники, поскольку в сети регулярно появляются выложенные злоумышленниками базы логинов и паролей от тех или иных ресурсов. Мы исследуем эти базы, проверяем все пары логинов-паролей и блокируем ящики, к которым они подошли, чтобы юзер, чей ящик оказался скомпрометирован, был вынужден сменить пароль и, таким образом, отрезал доступ злоумышленнику. Если мы узнаём о какой-то крупной утечке со стороннего ресурса, мы стараемся как можно быстрее найти в сети опубликованную базу, опять же чтобы проверить, не скомпрометированы ли ящики каких-то наших пользователей.

Если же говорить о том, что мы сделали для усиления безопасности сервиса, то только за последние пару лет мы внедрили целый ряд серьезных мер. Я подробно рассказывал о них выше, так что не буду повторяться, заострю внимание лишь на одном важном моменте.

Мы исключили возможность man-in-the-middle-атаки, реализовав в Почте Mail.Ru передачу пользовательских данных через HTTPS/SSL. Это выполняется и для веб-интерфейса, и в наших мобильных приложениях, и по POP/IMAP/SMTP. Это значит, что даже через публичный Wi-Fi можно безбоязненно проверять ящик.  Как я уже упоминал, в веб-интерфейсе HTTPS работает всегда по умолчанию: для этого мы применяем технологию Strict Transport Security (HSTS), которая заставляет браузер обращаться к Почте Mail.Ru исключительно по HTTPS. Главная страница Mail.Ru не только всегда работает по HTTPS, но и защищена через HSTS: таким образом, мы предотвращаем кражу пароля через атаку SSL Strip.

Государственные служащие по-прежнему массово используют почтовый сервис Mail.ru? Ведется ли какая-то работа с этой категорией пользователей? Скандальных случаев со взломом почты в последние годы более чем достаточно.

Судя по попавшим в открытые источники кейсам, такие взломы бывают у всех популярных почтовых провайдеров. Это свидетельствует о том, что дело здесь не в уровне безопасности сервиса, а прежде всего в человеческом факторе. Опять же, если смотреть на случаи, которые мы видим в открытых источниках, самый частый метод угона ящиков у этой категории пользователей – фишинг. Также можно предположить, что злоумышленники используют адресную засылку трояна, который взламывает весь компьютер, а не конкретную учетную запись. По сути, мы вновь возвращаемся к необходимости соблюдать правила интернет-гигиены: это особенно актуально для  высокопоставленных людей, владеющих важной информацией.

Расскажите немного про СУБД Tarantool, какими встроенными механизмами безопасности она обладает?

Мы придаем огромное значение безопасности наших баз данных. Разумеется, это относится и к Tarantool, которая является краеугольным камнем нашей СУБД-инфраструктуры и используется, например, для хранения пользовательских сессий, токенов авторизации, данных систем антибрутфорса, антифишинга и антиспама. Tarantool обладает системами authentication control и access control, позволяющими гибко разграничивать права на доступ и совершение определенных действий.

Какие типы данных чаще всего доверяют хранить в Облаке Mail.Ru?

На сегодняшний день Облако Mail.Ru — одно из самых популярных онлайн-хранилищ на российском рынке. В нем находится порядка 9,2 миллиардов файлов общим объемом 57,7 петабайт. Большая часть файлов — рисунки и изображения (66%), на документы приходится 5%, еще 5% — это аудио- и видеофайлы, 24% — архивы.

Какие угрозы информационной безопасности сегодня наиболее актуальны для облачных сервисов?

Во-первых, угроза кражи учетных данных пользователя тем или иным способом. По сути, она общая для всех ресурсов, доступ к которым осуществляется по логину и паролю: конкретные векторы атаки — те же, что и в случае с почтовыми сервисами. Соответственно, методы защиты точно такие же: HTTPS, антибрутфорс, двухфакторная аутентификация и все то, о чем мы говорили выше. Ну и вновь просвещение пользователей.

Во-вторых, существует опасность, что злоумышленник загрузит в Облако зараженный контент и начнет массово его распространять, рассчитывая на то, что ссылкам на облачный сервис пользователи будут больше доверять. Чтобы исключить такую возможность, мы сканируем все файлы, поступающие в Облако, с помощью технологий Kaspersky Anti-Virus. Мы учли и тот факт, что со временем появляются новые типы вредоносных программ, поэтому даже ранее просканированные файлы проходят повторную проверку при скачивании из Облака.

В-третьих, облачными сервисами удобно пользоваться через приложение. Соответственно, существует опасность, что какой-либо человек, получив доступ к устройству, сможет добраться и до хранящегося в облаке контента. Например, вы отдаете телефон сыну, чтобы он посмотрел мультики, а тот нечаянно заходит в облако и стирает папку с семейным фотоархивом. Поэтому хорошо иметь дополнительный уровень авторизации при входе в приложение. У нас, например, реализован вход в облачное приложение (а также в почтовые) по отпечатку пальца или PIN-коду.

Расскажите о работе программы баг-баунти для Mail.Ru Group? Какая доля обнаруженных уязвимостей приходится на внешних багхантеров?

Задача внутренней команды информационной безопасности — не столько выискивать новые уязвимости, сколько не давать им появляться, причем на всех этапах разработки продукта, начиная с планирования нового функционала. А баг-баунти, в свою очередь, не заменяет внутренние процессы по обеспечению безопасности. Скорее это возможность привлечь независимых исследователей для дополнительной проверки. Поэтому не совсем корректно сравнивать количество уязвимостей, найденных сотрудниками компании и внешними пентестерами.

Программа поиска уязвимостей (https://hackerone.com/mailru) у нас работает уже около двух лет — с апреля 2014 года. Она запущена на платформе одного из самых авторитетных в мире хакерских сообществ — HackerOne. Благодаря этому в нашей баг-баунти участвуют пентестеры со всего мира. В программу включены главная страница Mail.Ru, Почта, Облако, Календарь, Mail.Ru для бизнеса, авторизационный центр Mail.Ru, а также мобильные приложения Mail.Ru Group для iOS и Android, которые так или иначе работают с личной информацией пользователей (Почта, Облако, Календарь, Код Доступа для Android). В дальнейшем мы планируем расширять этот список. За обнаружение уязвимостей на других наших проектах мы также можем заплатить — это решается индивидуально в зависимости от критичности уязвимости.

Один из наших приоритетов — быстро выплачивать вознаграждение участникам программы, поскольку это мотивирует их сотрудничать с нами на постоянной основе. Именно такие лояльные исследователи приносят нам самые ценные баги, поскольку они уже хорошо знают наши продукты. Сейчас от получения репорта до выплаты проходит до двух недель (по нашему опыту, это самый короткий срок на рынке среди крупных компаний), но мы работаем над тем, чтобы исследователи получали награду еще быстрее.

С момента запуска программы мы закрыли 1072 заявки, большинство из которых относятся к категории некритичных багов. Минимальный размер вознаграждения — 100 долларов, за наиболее интересные и ценные для компании баги можно получить от 5 000 до 10 000 долларов.

Большое спасибо за интервью и успехов в обеспечении безопасности Mail.Ru!