В текущем году на почтовом веб-сервисе Google будет введена поддержка SMTP STS (Strict Transport Security, строгой безопасности передачи информации) — расширения протокола обмена почтовыми сообщениями, способного, как и закрепление сертификатов, гарантировать конфиденциальность переписки и подлинность серверов, участвующих в обмене по шифрованным каналам.

Выступая на конференции RSA 2017, Эли Бурштейн (Elie Bursztein), глава подразделения Google по расследованию злоупотреблений, заявил, что SMTP STS послужит серьезным препятствием для MitM-атак, полагающихся на подмену цифровых сертификатов поддельными, крадеными и прочими удостоверениями подлинности, которые на самом деле таковыми не являются. Спецификации SMTP STS были внесены на рассмотрение в IETF в марте прошлого года; помимо Google в этом проекте принимают деятельное участие Microsoft, Yahoo, LinkedIn и Comcast.

Закрепление сертификатов, или закрепление открытых ключей, полагается на список хэшей доверенных открытых ключей, назначаемых конкретному соединению, и отвергает все прочие. На настоящий момент при установке соединений проверяется лишь наличие сертификата TLS.

В ходе своего доклада Бурштейн привел примеры разных угроз корпоративным и персональным учетным записям Gmail, таких как спам, фишинг, вредоносное ПО, подмена личности, перехват сообщений, и показал, каким образом они могут варьироваться в зависимости от атакуемой отрасли и географического положения жертв. Эксперт также рассказал о новых механизмах защиты Gmail, реализованных за последние два года.

«Еженедельно мы блокируем сотни миллиардов атак, — говорит Бурштейн. — Каждую минуту нам приходится отражать более 10 млн атак с 99,9-процентной степенью уверенности. Достичь этого нам помогает быстрое реагирование на возникающие угрозы».

Докладчик также рассказал, каким образом на Gmail пресекаются атаки путем подмены участника переписки. В настоящее время 80% входящих сообщений от других провайдеров шифруются, как и 87% исходящих на внешние адреса, тогда как в июне 2014 года эти показатели составляли 65 и 50% соответственно.

Более широкому распространению шифрования, со слов Бурштейна, способствовало добавление визуальных подсказок, предупреждающих пользователя о том, что некоторые сообщения Gmail могут расцениваться как недоверенные. В частности, UI стал отображать значок сломанного замка в тех случаях, когда сообщение отправляется открытым текстом. «Это говорит о том, что письмо, готовое к отправке, не зашифровано и может быть перехвачено в ходе передачи, — поясняет эксперт. — Если пользователю это поставить на вид, он сможет сделать более разумный выбор».

После этого нововведения Google зафиксировала значительный рост входящего шифрованного трафика. «Улучшение визуального контроля помогло ускорить освоение (шифрования)», — с удовлетворением отметил Бурштейн.

Что касается спама, Google, по словам докладчика, сделала ставку на технологию глубокого обучения, позволяющую извлекать больше смысла из данных для высокоточного анализа и запоминания. Так, Gmail позаимствовала одну из страниц Google, иллюстрирующую сопровождение фотографии тегами, чтобы механизм глубокого обучения смог выявлять контекст и начал автоматически тегировать другие фото. «Это также хорошо помогает обнаруживать спам», — подчеркнул Бурштейн, отметив, что Gmail способна идентифицировать спам-сообщения с вероятностью 99,9%, при этом 3,5% спама детектируется благодаря глубокому обучению.

Бурштейн также призвал организации шире внедрять технологии аутентификации DMARC, DKIM и SPF, каждая из которых по-своему помогает защитить почтовую переписку: обеспечивает электронную подпись, удостоверяющую подлинность и сохранность; позволяет компаниям объявлять серверы, которым они доверяют, диктовать, каким образом получатель должен обходиться с неподписанными сообщениями (помещать в спам-карантин или попросту отказывать в доставке).

Говоря об аутентификации, представитель Google назвал соответствующие визуальные подсказки, существующие на Gmail. Так, например, доверенным пользователям присваиваются особые иконки, а недоверенные помечаются красным вопросительным знаком. Эта мера также позволила расширить применение защитных технологий и снизить соотношение неаутентифицированных писем за два года с 5,8 до 1,8%.

В заключение Бурштейн поделился результатами борьбы с вредоносным ПО, распространяемым по почтовым каналам, отметив, что использование почтовых антивирусов помогает вовремя отследить тренды в доставке разных зловредов. Так, программы-вымогатели, согласно детектам Gmail и поступлениям на VirusTotal, могут загружаться разными способами: через документы Office, макросы или дропперы JavaScript.

Категории: Кибероборона