![](\"https:\/\/cybergen.pl\/hubfs\/1-png-2.png\")
<\/p>\nCzy skanowanie 1,7 miliona australijskich domen mo\u017ce prowadzi\u0107 do odkrycia 1,62 miliona<\/p>\n
problem\u00f3w z bezpiecze\u0144stwem wiadomo\u015bci email, zwi\u0105zanych z SPF i DMARC? Czy w<\/p>\n
Australii, a\u017c 542 domeny mog\u0142y upowa\u017cni\u0107 dowolny adres IP do wysy\u0142ania e-maili ze swojej<\/p>\n
domeny? Niestety tak. Je\u015bli jednak my\u015blisz, \u017ce za tak ogromn\u0105 skal\u0105 problem\u00f3w stoj\u0105<\/p>\n
bardzo\u00a0r\u00f3\u017cne przyczyny, jeste\u015b w b\u0142\u0119dzie\u2026<\/p>\n
<\/p>\n
TL;DR: 58% australijskich domen ma jak\u0105\u015b form\u0119 problemu bezpiecze\u0144stwa z ich konfiguracj\u0105 SPF i DMARC, przy czym 542 domeny omy\u0142kowo pozwalaj\u0105 dowolnemu adresowi IP na \u015bwiecie wysy\u0142a\u0107 uwierzytelnione przez SPF e-maile, maskuj\u0105c si\u0119 jako ich domena.<\/em><\/p>\n <\/p>\n Oko\u0142o 6 miesi\u0119cy temu przeprowadzi\u0142em eksperyment… Pr\u00f3bowa\u0142em znale\u017a\u0107 australijskie domeny,<\/p>\n kt\u00f3re by\u0142y podatne na ataki IP takeover poprzez \u00abzwisaj\u0105ce\u00bb adresy IP SPF. Ten eksperyment<\/p>\n zako\u0144czy\u0142 si\u0119 ogromnym sukcesem i znalaz\u0142em 264 australijskie organizacje podatne na tego typu<\/p>\n ataki. Po jego zako\u0144czeniu zacz\u0105\u0142em si\u0119 zastanawia\u0107… jakie inne problemy m\u00f3g\u0142bym znale\u017a\u0107,<\/p>\n przeprowadzaj\u0105c skanowanie australijskich rekord\u00f3w SPF i DMARC?<\/p>\n Senders Policy Framework (SPF) jest publicznym rekordem, kt\u00f3ry organizacje publikuj\u0105 na swoich<\/p>\n serwerach nazw domen (DNS). Zazwyczaj zawiera on list\u0119 adres\u00f3w IP, kt\u00f3re informuj\u0105, sk\u0105d b\u0119d\u0105<\/p>\n pochodzi\u0107 legalne i autoryzowane emaile.<\/p>\n <\/p>\n <\/p>\n Domain-based Message Authentication, Reporting and Conformance (DMARC) to protok\u00f3\u0142<\/p>\n uwierzytelniania poczty elektronicznej, kt\u00f3ry uzupe\u0142nia SPF i DKIM. Co wa\u017cne w kontek\u015bcie tego<\/p>\n badania, wzmocniony rekord DMARC \u0142agodzi r\u00f3wnie\u017c atak spoofingu emaili znany jako spf-bypass.<\/p>\n <\/p>\n Istniej\u0105 r\u00f3\u017cne rodzaje problem\u00f3w zwi\u0105zanych z SPF i DMARC, kt\u00f3re mog\u0105 by\u0107 nadu\u017cywane i ka\u017cdy z nich ma<\/p>\n r\u00f3\u017cny wp\u0142yw na zagro\u017cenie spoofingiem. Dla cel\u00f3w tego badania, przeanalizowa\u0142em domeny pod k\u0105tem 10<\/p>\n r\u00f3\u017cnych typ\u00f3w b\u0142\u0119dnych konfiguracji bezpiecze\u0144stwa.<\/p>\n Dzi\u0119ki badaniom, kt\u00f3re przeprowadzi\u0142em 6 miesi\u0119cy wcze\u015bniej mia\u0142em wyj\u015bciow\u0105 list\u0119 domen… Je\u015bli chcesz dowiedzie\u0107 si\u0119, jak zebra\u0142em t\u0119 list\u0119, przeczytaj\u00a0pe\u0142ny wpis<\/a>. Po oczyszczeniu, deduplikacji<\/p>\n i usuni\u0119ciu domen, kt\u00f3re nie mia\u0142y aktywnego serwera DNS, uzyska\u0142em list\u0119 1,7 miliona australijskich<\/p>\n domen, kt\u00f3re mia\u0142y pos\u0142u\u017cy\u0107 mi za przedmiot badania.<\/p>\n <\/p>\n Po kilku wst\u0119pnych testach zda\u0142em sobie spraw\u0119, \u017ce wyodr\u0119bnienie pe\u0142nego \u0142a\u0144cucha dostaw<\/p>\n nadawc\u00f3w emaili ka\u017cdej domeny (tj. rekord\u00f3w SPF i DMARC) jest awykonalne. Nawet przy<\/p>\n wielow\u0105tkowo\u015bci nie by\u0142oby to do zrobienia w rozs\u0105dnym czasie… Problem polega na tym, \u017ce nie<\/p>\n zag\u0142\u0119biam si\u0119 tylko w jedn\u0105 warstw\u0119 SPF domeny, ale rekursywnie przeszukuj\u0119 wszystkie sub-looki i<\/p>\n \u015brednio przeszukuj\u0119 6 rekord\u00f3w SPF na domen\u0119. To 10,2 miliona zapyta\u0144 DNS!<\/p>\n <\/p>\n Przypomnia\u0142em jednak sobie, \u017ce funkcje AWS Lambda s\u0105 zaprojektowane dok\u0142adnie dla tego<\/p>\n przypadku. Zapewniaj\u0105 one mo\u017cliwo\u015b\u0107 uruchamiania tego samego fragmentu kodu dzia\u0142aj\u0105cego 100 razy wsp\u00f3\u0142bie\u017cnie. Co najlepsze, nie wszystkie funkcje b\u0119d\u0105 wygl\u0105da\u0142y na pochodz\u0105ce z tego<\/p>\n samego IP, co oznacza, \u017ce nie zostan\u0119 zsinkholowany przez serwery DNS za wysy\u0142anie zbyt wielu<\/p>\n \u017c\u0105da\u0144.<\/p>\n <\/p>\n Lambda to rodzaj oblicze\u0144 w chmurze AWS, kt\u00f3ry uruchamia kod w wysoce wydajny spos\u00f3b –<\/p>\n powszechnie okre\u015blany jako bezserwerowe przetwarzanie. Maj\u0105c to na uwadze, refaktoryzowa\u0142em<\/p>\n skrypt ekstrakcji SPF & DMARC i zbudowa\u0142em wok\u00f3\u0142 niego funkcj\u0119 lambda. Po kilku testach<\/p>\n i przeczytaniu o limitach stawek AWS zdecydowa\u0142em, \u017ce uruchomienie 400 wsp\u00f3\u0142bie\u017cnych funkcji<\/p>\n lambda w odst\u0119pach 5 minutowych b\u0119dzie najbezpieczniejsz\u0105 opcj\u0105. Ka\u017cda funkcja lambda mia\u0142a<\/p>\n przeskanowa\u0107 15 domen i zapisa\u0107 wyniki w bazie danych DynamoDB (NoSQL). Wymaga\u0142o to, aby<\/p>\n funkcje Lambda dzia\u0142a\u0142y przez 24 godziny!<\/p>\n <\/p>\n (15 domen x 400 wsp\u00f3\u0142bie\u017cnych funkcji lambda) \/ 5-minutowe interwa\u0142y = 1,200 domen na minut\u0119 x 60 minut = 72,000 domen na godzin\u0119 x 24 godziny = 1,700,000 domen<\/p>\n Moje skanowanie wykry\u0142o\u00a01 621 112 problem\u00f3w z bezpiecze\u0144stwem SPF i DMARC w 979 268 unikalnych domenach. Oznacza to, \u017ce a\u017c 58% australijskich domen ma problem z utrzymaniem bezpiecze\u0144stwa.<\/p>\n Skanowanie wykry\u0142o\u00a0542 domeny, kt\u00f3re zaimplementowa\u0142y mechanizm “+all” na ko\u0144cu swojego<\/p>\n rekordu SPF. To w zasadzie m\u00f3wi odbiorcom poczty, \u017ce ka\u017cdy adres IP mo\u017ce wys\u0142a\u0107 uwierzytelnione przez SPF emaile w imieniu tych domen. Musz\u0119 przyzna\u0107, \u017ce nie by\u0142em zbytnio zaskoczony.<\/p>\n <\/p>\n Kiedy wszystko, czego potrzeba, to symbol “+” zamiast “-“, “~” lub “?”, aby narazi\u0107<\/strong><\/p>\n firm\u0119 na tego typu problem, ryzyko ro\u015bnie b\u0142yskawicznie.<\/strong><\/p>\n To, co mnie zaskoczy\u0142o, to fakt, \u017ce 87 z dotkni\u0119tych domen (a by\u0107 mo\u017ce nawet wi\u0119cej) to klienci jednego dostawcy us\u0142ug IT (MSP) z siedzib\u0105 w Melbourne, kt\u00f3ry specjalizuje si\u0119 w bran\u017cy sportowej. W tym przypadku MSP przez pomy\u0142k\u0119 wprowadzi\u0142 symbol “+” zamiast “-“. Tak wi\u0119c zamiast zablokowa\u0107<\/p>\n domeny, w rzeczywisto\u015bci narazi\u0142 je na najwi\u0119kszy mo\u017cliwy problem z SPF.<\/p>\n <\/p>\n W tym momencie zda\u0142em sobie spraw\u0119, \u017ce musz\u0119 potwierdzi\u0107, czy te problemy s\u0105 prawdziwe.<\/p>\n Wys\u0142a\u0142em wi\u0119c zaadresowany do siebie pojedynczy testowy email, wygl\u0105daj\u0105cy na pochodz\u0105cy od<\/p>\n jednej z dotkni\u0119tych problemem organizacji, kt\u00f3ra u\u017cywa\u0142a mechanizmu “+” SPF.<\/p>\n Jak podejrzewa\u0142em, email\u00a0przeszed\u0142 wszystkie kontrole SPF\u00a0– omijaj\u0105c wszelkie filtry antyspamowe<\/p>\n i\u00a0trafiaj\u0105c bezpo\u015brednio do mojej skrzynki odbiorczej, a jedynym \u017ar\u00f3d\u0142em problemu by\u0142o do\u0142\u0105czenie<\/p>\n pojedynczego znaku na ko\u0144cu rekordu SPF, kt\u00f3ry na zbyt wiele pozwala\u0142.<\/p>\n <\/p>\n Ka\u017cda z 542 domen z mechanizmem “+” SPF jest\u00a0znacznie bardziej podatna\u00a0na ataki typu Business Email Compromise i phishing. Ka\u017cdy mo\u017ce uruchomi\u0107 serwer pocztowy i zacz\u0105\u0107 wysy\u0142a\u0107<\/p>\n uwierzytelnione przez SPF emaile tak, jakby by\u0142 kt\u00f3r\u0105\u015b z tych domen.<\/p>\n <\/p>\n W przypadku pozosta\u0142ych 1 620 570 domen problemy z bezpiecze\u0144stwem SPF i DMARC, cho\u0107 nie tak powa\u017cne, nadal pokazuj\u0105 s\u0142abe zastosowanie uwierzytelniania wiadomo\u015bci e-mail w ca\u0142ym kraju i<\/p>\n s\u0105 prawdopodobnie reprezentatywne dla globalnego zastosowania.<\/p>\n <\/p>\n W zwi\u0105zku z brakiem technicznej kontroli uwierzytelniania, odbiorcy wiadomo\u015bci e-mail i bezpieczne bramki e-mail maj\u0105 zmniejszon\u0105 zdolno\u015b\u0107 do wykrycia<\/strong><\/p>\n spoofa.<\/strong><\/p>\n Kontrola \u0142a\u0144cucha dostaw poczty elektronicznej jest absolutnie kluczowa je\u015bli nie chcesz, aby Twoja<\/p>\n firma i jej klienci byli nara\u017ceni na niepotrzebne ryzyko zwi\u0105zane z zagro\u017ceniami opartymi na poczcie elektronicznej. Wykorzystuj\u0105c\u00a0darmowe narz\u0119dzie do skanowania domen<\/a>,\u00a0stworzone w<\/p>\n CanIPhish, mo\u017cesz zwizualizowa\u0107 pe\u0142ny zakres swojego \u0142a\u0144cucha dostaw nadawc\u00f3w i odbiorc\u00f3w<\/p>\n poczty e-mail.<\/p>\n <\/p>\nKilka podstaw bezpiecze\u0144stwa<\/h2>\n
Co to jest SPF?<\/h3>\n
Co to jest DMARC?<\/h3>\n
Rodzaje problem\u00f3w zwi\u0105zanych z bezpiecze\u0144stwem SPF i DMARC<\/h3>\n
![](\"https:\/\/cybergen.pl\/hubfs\/2-png-1.png\")
<\/p>\nBadanie na 1,7 miliona australijskich domen<\/h2>\n
Skalowanie z jednej do wielu. Skanowanie DNS<\/h3>\n
Uruchomienie 400 wsp\u00f3\u0142bie\u017cnych funkcji lambda przez 24 godziny<\/h3>\n
![](\"https:\/\/cybergen.pl\/hubfs\/concurrent-lambdas-gif.gif\")
<\/p>\nZaskakuj\u0105ce wyniki, kt\u00f3re m\u00f3wi\u0105 du\u017co<\/h2>\n
![](\"https:\/\/cybergen.pl\/hubfs\/obraz-png.png\")
<\/p>\n![](\"https:\/\/cybergen.pl\/hubfs\/3-png-2.png\")
<\/p>\n![](\"https:\/\/cybergen.pl\/hubfs\/4-png-1.png\")
<\/p>\nCzego uczy ta historia?<\/h3>\n
Nie do zapami\u0119tania, ale do wykonania<\/h2>\n
![](\"https:\/\/cybergen.pl\/hubfs\/5-PNG.png\")
<\/a><\/p>\n