Har du sikret din Exchange-server godt nok mod de såkaldte phishing-angreb, hvor en e-mail-afsender med onde hensigter udgiver sig for at være en anden person, end han egentlig er?
Dét spørgsmål mener den 30-årige Microsoft Certified Systems Engineer Henrik Svendsen, at alle virksomheder bør stille sig selv, hvis de benytter Microsofts mailløsninger internt i virksomheden.
Han arbejder til daglig i it-drift hos Region Syddanmark, hvor han har speciale i perimetersikkerhed.
Alt for mange lader nemlig et potentielt sikkerhedshul, der kan udnyttes til phishing-angreb, stå på vid gab, siger Henrik Svendsen.
»Jeg kan sende en e-mail, der fremgår at være fra en kontakt internt i firmaet, og man vil kun kunne se forskellen ved at kigge på afsenders IP-adresse. Det gør, at mailen ser ud til at komme eksempelvis fra chefen, men i virkeligheden kan den indeholde et viruslink eller et phishinglink,« forklarer Henrik Svendsen.
I en længere skriftlig redegørelse, som Version2 vælger kun at offentliggøre uddrag af, viser Henrik Svendsen, hvordan en tænkt person, Phisher-Philip, spreder et ondsindet link til alle medarbejdere i en kommune ved at udgive sig for at være servicedesk@kommune.dk.
Afsender kontrolleres ikke
Kernen i demonstrationen er, at mailsystemet siger god for en e-mail og anser den for at stamme fra internt hold, hvis blot navn og e-mailadresse genkendes i systemet.
Phisher-Philip udgiver sig altså for at være en officiel afsender internt i kommunens eget e-mail-system, som kommunens medarbejdere er vant til at stole på.
I virkeligheden har han afsendt e-mailen fra sin egen SMTP-server og blot anskaffet sig e-mailadresserne på medarbejderne i kommunen ved at gennemsøge kommunens hjemmeside med et særligt program.
Når Phisher-Philip kan lykkes med sit forehavende, skyldes det ifølge Henrik Svendsen en indbygget sårbarhed i Microsofts mailarkitektur, der normalt består af én eller flere Exchange-servere og et Active Directory med et indbygget Global Directory.
Når Exchange-serveren modtager en e-mail til aflevering, laver den et opslag i sit Active Directory, som besvarer Exchange-serverens spørgsmål om, hvorvidt navn og e-mailadresse kendes i systemet.
Men ved som Phisher-Philip at sætte afsenderen til at have et navn og en e-mailadresse, som i forvejen eksisterer i Microsoft-systemet, kan Exchange-serveren og Active Directory snydes til at tro, at e-mailen kommer fra en intern konto.
»Kernen i problemet er, at det kun kontrolleres, om modtageren eksisterer i mailsystemet, mens afsenderen ikke kontrolleres,« siger Henrik Svendsen.
Han mener derfor, at mailløsninger som eksempelvis Microsofts burde have en indbygget sikkerhed mod den slags angreb.
Microsoft: En 'svaghed' i SMTP
Hos Microsoft Danmark bekræfter sikkerhedschef, Morten Juul Nielsen, at det kan lade sig gøre at udgive sig for at være end anden e-mailafsender.
Det skyldes dog ikke en sårbarhed i Microsofts mailprodukter, men derimod den måde, SMTP-protokollen er designet på fra begyndelsen, siger han.
»Det er en styrke - eller en svaghed, om man vil - som er generel for mailløsninger, der benytter SMTP-protokollen. Styrken er, at protokollen frit tillader, at alle kan sende e-mails til hinanden. Svagheden er så, at protokollen tillader, at man via e-mailadressen kan udgive sig for at være en anden afsender,« siger Morten Juul Nielsen.
SMTP ? Simple Mail Transfer Protocol - blev første gang defineret som en internetstandard for e-mailafsendelse i 1982 og er i dag stadig de facto-standarden for e-mailudveksling. Protokollen benytter TCP port 25.
Morten Juul Nielsen fortæller, at mange i it-branchen tilbage i 1990'erne brugte 'svagheden' i SMTP-protokollen til at sende morsomme e-mails rundt internt i virksomheden ? for eksempel omkring juletid, hvor e-mails med afsenderen julemanden@microsoft.com blev rundsendt til medarbejderne.
Ifølge Morten Juul Nielsen er det muligt at sikre sig internt mod disse ?morsomheder?, hvis man anser dén egenskab ved SMTP-protokollen for at udgøre et it-sikkerhedsproblem.
Men det er ikke et sikkerhedstjek, der bør ligge på mailserver-niveau, mener sikkerhedschefen.
»Der er generel konsensus blandt de softwarefirmaer, der udvikler email-løsninger, at det ikke er i selve e-mail-løsningen, at den sikkerhed skal placeres fra begyndelsen,« siger Morten Juul Nielsen.
Han peger på, at flere af Microsofts infrastrukturpartnere fremstiller add-ons til både Exchange og Outlook, som sikrer mod den omtalte sårbarhed.
»Det er vi naturligvis meget taknemmelige for, fordi vi ikke kan gardere os mod alle tænkelige scenarier i produktet ud af boksen,« siger Morten Juul Nielsen.
Sikkerhedschefen påpeger også, at de fleste phishing-angreb i dag kræver, at offeret for angrebet foretager sig noget aktivt for at aktivere en ondsindet kode. Det kan for eksempel være at klikke på et link i en e-mail eller på Facebook, en bannerreklame eller udfylde en særligt konstrueret formular.
Morten Juul Nielsen fastslår, at langt de fleste phishing-angreb, der for eksempel har til hensigt at høste kreditkortnumre fra intetanende brugere, når at blive standset med de eksisterende sikkerhedsværktøjer, e-mail-udbyderne anvender i dag, før de når frem til e-mail-brugerens pc.
»Man skal se på, hvor stort problemet er, i forhold til hvor mange et phishing-angreb rent faktisk rammer. Der mener jeg, det er vigtigere at oplyse brugerne om, at de ikke skal klikke på den slags links, end at lægge flere lag af sikkerhed ind i mailløsningerne. Det kan gøre e-mail-trafikken mindre smidig og mere besværlig at tilgå for brugerne,« siger Morten Juul Nielsen.
Hostingfirma principielt enig
Hos hostingfirmaet Solido Networks bekræfter sikkerhedschef Henrik Kramshøj, at Henrik Svendsens bekymringer omkring SMTP-protokollen i princippet er reelle nok.
»SMTP er en gammel protokol, der ikke har nogen indbygget sikkerhed. Den er baseret på, at man ganske enkelt stoler på de e-mails, der kommer ind,« siger Henrik Kramshøj.
Sikkerhedschefen er også enig med Henrik Svendsen i, at det er en god idé at verificere afsenderen af en e-mail. Specielt hvis e-mail stammer fra ens eget domæne - eller måske blot ser ud til at stamme fra det.
Henrik Kramshøj mener dog, at der findes flere gode bud på sikkerhedsforanstaltninger, som den it-ansvarlige for virksomhedens e-mailløsning bør kende.
Det gælder for eksempel Sender Policy Framework, SPF, der netop er sat i verden som et bolværk mod phishing og spam.
SPF giver administratoren mulighed for at opsætte en såkaldt SPF-record i DNS, hvori det angives, hvilke hosts der må afsende e-mails fra et bestemt domæne.
Det kan bruges til at tjekke, at en e-mail afsendt fra eksempelvis servicedesk@kommune.dk også stammer fra en host, der er godkendt at domænets administratorer.
»Derudover findes der sådan noget som DomainKeys, som er mere avanceret end SPF. Og det er noget, Microsoft både implementerer og benytter,« siger Henrik Kramshøj.
Efter Henrik Svendsens erfaring er det dog langt fra alle virksomheder, der i praksis gør sig ulejligheden med at sætte sikkerheden omkring e-mailløsningen ordentligt op.
»Det er mit indtryk efter at have arbejdet som konsulent, at mange virksomheder nøjes med den rene e-mailløsning og ikke bruger penge og resurser på at sikre den yderligere,« siger Henrik Svendsen.
Har du selv en holdning til, hvordan virksomhedens e-mailløsning sikres bedst muligt mod phishing? Giv dit besyv med i debatten nedenfor.
