информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыВсе любят медПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Phrack #70/0x46 
 Возможно, Facebook наступил на... 
 50 лет электронной почте 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / theory
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Первый в Рунете публичный аудит почтовой системы 28.05.02 16:37  Число просмотров: 5835
Автор: S-Mail Статус: Незарегистрированный пользователь
Отредактировано 01.06.02 10:33  Количество правок: 1
<"чистая" ссылка>
Первый в Рунете публичный аудит почтовой системы

Компания Network Research Lab (NR Lab), владелец S-Mail.com, провела независимый аудит безопасности своего сервиса защищенной электронной почты.

Исследование проводилось по инициативе и при содействии компании Network Research Lab (NR Lab), владельца сервиса S-Mail.com. В связи с высокой общественной значимостью сервиса и желанием эксперта оставаться независимым в своих оценках экспертиза проводилась на некоммерческой основе.

«То, что компания NR Lab рискнула прибегнуть к публичному аудиту по
безопасности сервиса S-Mail, безусловно свидетельствует о серьёзном и ответственном подходе компании к заявленным ей целям по созданию системы защищенной почты мирового уровня» – заявил A.V. Komlin.

Тестирование безопасности почтового сервиса S-Mail.com проходило в течение недели с 14 по 19 мая 2002 года по следующим направлениям:

1) возможность несанкционированного доступа постороннего лица к частной переписке пользователей S-Mail;
2) возможность атаки злоумышленника на компьютер пользователя сервиса c использованием S-Mail.

С целью повышения достоверности исследование проводилось путем декомпиляции апплетов, выдаваемых сервером S-Mail, а также анализом открытых HTML-cтраниц и JavaScript-библиотек.

«История известных российских и зарубежных почтовых сервисов показывает, что все они содержат значительное количество ошибок, которые будут обнаруживаться вновь и вновь во всех без исключения системах – говорит г-н Комлин. – Поэтому при выборе службы электронной почты следует уделять большое внимание не перечню недочетов, а времени и качеству их устранения, а также политике владельцев сервиса в области поиска таких ошибок».

Главный итог проведенного аудита: подтвержден основной принцип сервиса S-Mail.com – высочайшая защищённость переписки. Раскодирование и прочтение сторонними злоумышленниками текстов писем признано невозможным.

В процессе тестирования экспертом A. V. Komlin также не выявлено возможностей захвата пользовательского почтового ящика при условии использования браузеров с установленными «заплатками» и внимательном поведении пользователя.


Обнаруженные и устраненные ошибки системы:

1. Неточность в процедуре аутентификации, позволявшая отслеживать логи входящей почты пользователя - адреса абонентов, дату и поле темы. Данная уязвимость не позволяла просмотреть содержание корреспонденции и не давала доступа к его паролю и секретному ключу.
Время устранения ошибки - 2 часа после извещения.

2. Возможность несанкционированного исполнения JavaScript из-за неточной обработки ссылок в тексте письма. Код выполнялся только при проведении курсора «мыши» над ссылкой. Видимый текст ссылки при этом содержал операторы JavaScript, что давало внимательному пользователю возможность избежать срабатывания кода. Данная ошибка также не давала доступа к паролю и секретному ключу абонента.
Время устранения - 3 часа после извещения.

Как рассказал Николай Гудов, технический директор S-Mail.com, «благодаря проведенной экспертизе мы получили возможность со стороны оценить надежность нашего сервиса. Квалифицированный аудит по сетевой безопасности, выполненный г-ном Комлиным, позволил нам ещё более защитить сервис S-Mail.com от посягательств третьих лиц.
Ведь мы всегда в ответе перед нашими пользователями за то, что S-Mail –
это действительно защищенная почта».

* * *

О Network Research Lab Ltd.

Компания Network Research Lab Ltd. (NR Lab) - это специализированная IT-компания, разрабатывающая
и продвигающая программные решения, которые обеспечивают высокий уровень защиты данных
при передаче и хранении в сети Интернет.
За дополнительной информацией обращайтесь по телефону (095) 937-4709
или e-mail: mailto:info@s-mail.com веб-сайт: http://www.nrlab.com/

Об A. V. Komlin

A.V. Komlin – признанный эксперт в области защиты информации в Интернете. Автор целого ряда статей по вопросам уязвимостей в системах web-почты. Победитель «HackZone’99».
За дополнительной информацией обращайтесь по e-mail: avkvladru@mail.ru



S-Mail
<theory> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach