ТЛ;ДР Если посмотреть вложение к письму в браузере в почтовом ящике mail.ru, то для формирования предварительного просмотра копия документа «прилетает» на IP Microsoft в Редмонде.
Хотелось бы, конечно, более кликбейтный заголовок, а-ля «Mail.ru пересылает все ваши письма в США!» или «Microsoft знает содержимое всех вложений в вашем почтовом ящике!» Но давайте перейдем к фактам и конкретике.
Отдельно хотелось бы поблагодарить О.
Ю.
Анциферов (экс-Dr.PornCop из «Лампы» Хакер), который первым обратил внимание на «интересное» поведение почты.
Как все началось?
Все началось с тестирования нашей DLP-системы.Отрабатывая различные сценарии перехвата «облаков», я заметил подозрительное перемещение данных.
Мы воспроизвели эту ситуацию на обычном боксе.
Результаты на скриншоте.
Обратите внимание на строки 26-23. Есть запросы на какой-то «другой» IP-адрес.
Чей ты будешь? 
Ясно.
Да и «SkyDrive» в графе «От» как будто намекал.
И на первый взгляд кажется, что это сам сотрудник что-то отправляет за границу.
Но в арсенале КИБ есть еще один модуль — MonitorController — отвечающий за захват изображения с монитора.
Модуль также можно настроить на непрерывную запись видео (что мы и сделали перед запуском «функции»).
Дальше дело техники.
Сначала мы сравнили время действий пользователя и перехваченные данные по каналу Cloud. На видео хорошо видно: человек открывает письмо и кликает на прикрепленный документ Word. После этого откроется предварительный просмотр.
При этом адрес страницы не «перескакивает».
Как было .
mail.ru\.
, так и осталось.
Во-вторых, нужно убедиться, что отправляется не просто какая-то «телеметрия», а точно такой же документ. Давайте посмотрим, какой именно xml там передается.
КИБ разобрал содержимое и нам стало очевидно, что это документ из вложения.
Вы можете повторить эксперимент самостоятельно.
IP-вызов можно увидеть на каком-то прокси.
Перехват и подделка XML может быть более сложной, но выполнимой задачей.
В чем проблема?
На мой взгляд, проблема в том, что «А мужики не знают!» Официальные почтовые ящики на mail.ru есть у многих госорганов, университетов и других организаций.И используют их как работников, присылая интересную и не очень информацию.
При этом, как видите, они могут непреднамеренно отправить копию в Штаты.
Этим постом я хочу предупредить их о подвохе.
Ведь могут пострадать невиновные сотрудники, которых рьяные, но не очень дотошные охранники бросятся обвинять в утечке данных.
А что насчет мейл.
ру? Неважно.
С ними все в порядке.
Вы можете посмотреть пользовательское соглашение, в котором ситуация прописана «ясным и понятным» языком:
4.5. Определенные Сервисы Компании предоставляют Пользователям возможность размещать Материалы, которые будут общедоступны для всех пользователей Интернета или для всех пользователей определенного Сервиса Компании.Используя такие Сервисы, Пользователь понимает и соглашается, что, загружая Материалы на Сервис, Пользователь по умолчанию предоставляет доступ к ним вышеуказанным лицам.
4.7. Пользователь, используя функционал Сервисов Mail.Ru, соглашается с тем, что некоторая информация может быть передана партнерам Mail.Ru исключительно в целях обеспечения предоставления Компанией Mail.Ru Пользователю соответствующего Сервиса, а также предоставления права Пользователю предоставлены права использования дополнительных функциональных (программных) возможностей соответствующего Сервиса, предоставляемых совместно с этими партнерами, и исключительно в объеме, необходимом для надлежащего предоставления таких Сервисов и/или функционала, а также в иных случаях в целях соблюдения условиях настоящего Соглашения.Так что формально они ничего не нарушают. Самое смешное, что они могли бы сделать нормальную реализацию и не отправлять данные туда-сюда.
Например, если вы загружаете тот же документ к ним в облако на cloud.mail.ru, то предварительный просмотр генерируется каким-то другим сервисом и документ не улетает за границу.
В конце концов удалось развернуть этот генератор превью в каком-нибудь отечественном дата-центре.
Почему они этого не сделали? Не знаю.
Возможно, кто-нибудь из вас подскажет мне ответ в комментариях.
P.S. @bk.ru, список .
RU, входящие .
ru не тестировался, но мне кажется, что "фича" будет воспроизведена и там.
Теги: #информационная безопасность #mail.ru #Это не ошибка, это особенность #dlp #dlp #dlp системы
-
Опыт Покупки Аккаунта Для Wow
19 Oct, 24 -
Менеджер По Обслуживанию Системного Центра
19 Oct, 24 -
Jsoc: Как Готовить Инциденты
19 Oct, 24 -
Пульт Дистанционного Управления Для Кошки
19 Oct, 24 -
Черная Шляпа Европа 2013
19 Oct, 24
