Спам от името на държавни институции?

Миналата седмица от името на МВР беше изпратен спам. МВР не е хакнато, но в интернет всеки може да се представи за всеки и да изпрати вирус или линк, в който да си въведете паролата или номера на кредитната карта.

Изпращането на спам/фишинг от името на някоя държавна институция е хитра стретегия – изпращат ти фиш, данъчно задължение, призовка, болничен лист, документи за обществена поръчка и дори, защо не, съобщение от министър-председателя. Ако домейнът на изпращача наистина е съответстващия на институцията (mvr.bg, nap.bg, government.bg, parliament.bg), е по-вероятно повече хора „да се вържат“.

Какво могат да направят институциите, обаче? На пръв поглед – нищо. Всеки може да прати имейл от фалшив адрес и да се представи за институция. Само че институциите всъщност има какво да направят – поне за да не могат злонамерените изпращачи да злоупотребяват с домейна им и така да дават допълнителна достоверност на своя имейл. Има няколко настройки (DNS записи), които всеки притежател на домейн може и трябва да направи, за да гарантира, че никой няма да може да изпраща имейли от негово име. Или по-скоро – ако изпраща, системите за електронна поща ще ги класифицират автоматично като спам.

Техническите детайли съм описал тук, но с две думи, собственикът на домейна посочва от кои IP адреси е позволено да се изпращат мейли от името на неговия домейн, както и публичния ключ, с който да се валидира електронния подпис върху имейлите (да, мейлите автоматично се подписват електронно от системата за електронна поща, макар че това не е познатия ни квалифициран електронен подпис). И не на последно място – посочва какво да прави получателят на писма от неговия домейн, ако някоя от предходните проверки се провали – дали да го праща в „спам“ или не. Това са т.нар. SPF, DKIM и DMARC DNS записи.

Реших да проверя колко от институциите са направили тези настройки. И за съжеление, резултатът не е твърде добър. В таблицата по-долу съм показал 39 институции и дали те имат или нямат съответния DNS запис. На места има въпросителни – по принцип DKIM може да се провери само ако си получил имейл от съответния домейн, защото DNS записът включва селектор, който може да е произволен. Направил съм проверката с най-често срещаните селектори (default, selector, dkim, selector1) и съм допълнил информацията с ръчна проверка в собствената ми поща с мейли от съответните институции. Ако не мога да определя дали има или няма DKIM, съм сложил въпросителна. На места има „не“ по презумпция – ако нямаш нито един от другите два записа, едва ли ще имаш DKIM. Със звездичка в колоната DMARC са отбелязани институциите, които имат DMARC политика, но тя инструктира получателя да не прави нищо специално, ако проверките се провалят (вместо да го инструктира да сложи писмото в спам). С болд са „шампионите“ – тези, които са си настроили нещата както трябва.

Институция домейн SPF DMARC DKIM
Агенция по вписванията registryagency.bg Да Да Не
Агенция Митници customs.bg Да Да* Да
АГКК cadastre.bg Да Да Да
ВСС justice.bg Да Да Да
ГРАО grao.bg Да Да ?
ДАЕУ e-gov.bg Да Не Не
ДАНС dans.bg Да Да* ?
ДАТО dato.bg Не Не Не
МВнР mfa.bg Да Не Не
МВР mvr.bg Да Не Не
Министерство на енергетиката me.government.bg Да Да* Да
Министерство на здравеопазваенто mh.government.bg Да Не Не
Министерство на икономиката mi.government.bg Да Да* Да
Министерски съвет government.bg Да Не Не
Министерство на спорта mpes.government.bg Не Не Не
Министерство на културата mc.government.bg Не Не Не
Министерство на отбраната mod.bg Да Да* ?
МОН mon.bg Да Не Не
МОСВ moew.government.bg Да Не Не
Министерство на правосъдието justice.government.bg Да Не Не
МРРБ mrrb.bg Да Не Не
Министерство на туризма tourism.government.bg Да Не Не
МТИТС mtitc.government.bg Да Да* Не
МТСП mlsp.government.bg Да Не Не
МФ minfin.bg Да Да Да
НАП nap.bg Да Не Не
НАП nra.bg Да Да* Не
НЗОК nhif.bg Не Не Не
Народно събрание parliament.bg Не Не Не
Президент president.bg Да Да* Да
Община Бургас burgas.bg Да Не Да
Община Варна varna.bg Не Не Не
Община Пловдив plovdiv.bg Да Не Не
Столична община sofia.bg Да Не Не
Търговски регистър brra.bg Не Не Не
КЗЛД cpdp.bg Да Да Да
КЗК cpc.bg Не Не Не
КФН fsc.bg Да Да* ?
КРС crc.bg Не Не Не
CERT govcert.bg Не Не Не

Това ли е най-важната мярка за киберсигурност? Не – в киберсигурността (и киберустойчивостта) няма най-важна мярка. Всичко е серия от мерки, които покриват серия от рискове и уязвимости. Има много какво да се желае от киберсигурността в публичния сектор. Базовите настройки са едно добро начало – както за изпращане на имейли, така и за криптирането им.

Но продължаваме да нямаме системно усилие за адекватна киберсигурност, което да дава резултат. Има закон, наредба, съвет, вицепремиер. Но явно на много места няма кой да преведе абстрактните цели към конкретика, дори в случаите, в които има грамотен сисадмин. И няма политика, насочена към увеличаване на човешкия ресурс в тази посока.

2 comments

  1. Това не е лошо да се гледа в комбинация с DNSSec – освен, че се/трябва да се проверяват от получаващите пощенски сървъри, тези конфигурации се извличат от DNS-а, който ако не е подписан може лесно да се промени при MitM.
    Иначе, добре е, че има и болднати изобщо 😉

  2. В „примера“ приложен в сайта на МВР мейла идваше точно от техният мейл сървър – защо не мога да кажа. Не е толкова лесно да се представиш за работещ мейл съръвър. Повечето „хакери“ попълват „уж мейла“ в полето с името. До ден днешен не мога да разбера защо АБВ са такива кретени и вместо да показват основно мейл адреса показват измисленото поле с името, което дори не е коректно, когато получаваш мейл от друг (т.е. не от АБВ) мейл сървър. Като казвам АБВ – останалите са същите кретени.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *