Сотрудник Mail.ru Group раскритиковал почту «Моего Офиса», который ранее раскритиковал почту Mail.ru.
Недавно ребята из МойОфис выпустили резонансное исследование безопасности почтовых сервисов, используемых госучреждениями в России: http://rosgospochta.ru/
Выводы были вкратце таковы:
1) Не используйте для рабочей переписки Mail.Ru, Яндекс и Gmail, потому что ящики на них подвержены “высокой вероятности взлома” (это практически цитата);
2) Используйте Почту МойОфис, потому что она “защищенная” и сертифицированная (да, так и написано).
Естественно, нам стало интересно, что это за “защищенная почта”.
“Защищенность” проявилась сразу: зарегистрироваться на сайте просто так нельзя.
Мне пришлось 2 недели переписываться и созваниваться с интеграторами, чтобы наконец получить промокод для регистрации.
Запасшись пиццей, я уже было приготовился провести ночь в тяжелой схватке с защищенной российской почтой, но не тут-то было: первая XSS в теле письма нашлась за 10 минут.
Дальше - больше. Еще одна XSS, CSRF, опять XSS.
То есть, в прямом смысле: ты думаешь, какая еще “типичная” уязвимость может найтись в веб-почте, проверяешь, и либо эта уязвимость там есть, либо этот функционал еще не реализован :) Например, нет XSS в превью почтовых аттачей. Потому что превью почтовых аттачей пока не сделали.
Для тех, кто не глубоко погружен в тему, XSS - это клиентсайд-уязвимость, которая позволяет хакеру получить доступ к аккаунту жертвы, например, если жертва перейдет по специальной вредоносной ссылке. От XSS в теле письма не защитит ни установка продукта на своих серверах, ни запрет на доступ к сервису снаружи.
Детали уязвимостей я, естественно, пока раскрывать не буду (выслал коллегам из МойОфис подробное описание на contact@ncloudtech.ru).
Получается, на данный момент МойОфис по уровню защищенности находится далеко позади Mail.Ru, Яндекса и других публичных почтовых сервисов, раскритикованных в этом исследовании. Пока трудно рекомендовать этот продукт к использованию тем, кто заботится о своей безопасности, и тем более, госструктурам.
С одной стороны, абсолютно безопасных систем не бывает, везде есть уязвимости, особенно в молодых сервисах, которые только начинают развиваться. МойОфис явно работает над улучшением своей защищенности: недавно появилась новость о том, что они заказали аудит у DSec. Если бы не одно но: когда ваш продукт на таком уровне, несколько преждевременно пиариться на безопасности, называя “дырявыми” конкурентов.
И да, если уж сравнивать уровень безопасности, давайте делать это честно: открывайте доступ для всех желающих, запускайте Bug Bounty программу, ищите и репортите баги у других сервисов. В конце концов, честная конкуренция в этой сфере полезна для всех :)Posted by Karim Valiev on Friday, 1 July 2016
Добавить 8 комментариев
Так! «УБИЙЦУ» всех почтовых серверов мы уже видим ;) С нетерпением ждем-с лицезреть «УБИЙЦУ» микрософта офиса. Там дела скорее всего еще хуже чем с почтой :) Гюльчатай, личико-то открой ;) Во всяком случае, то что лежит на торенте и в онлайне не тянет даже на позорище :)
Тредик у Фёдора Скуратова (работает в Моём Офисе). На всякий случай заскринил (там Лобушкин из MRG есть).
В полном размере тут: https://roem.ru/wp-content/uploads/2016/07/screencapture.www.facebook.com.photo.php.1467379591149.png
Хорошо когда лупить и клизьмовать «конкурента» за воображаемые недостатки выставляют не исследователя безопасности, а пиарщика. И отвечает ему — пиарщик. При том, что в этой сфере уже лет 20 как, стали стандартом прямые обращения известных безопасников к народу, к конкуренту или к специалистам. Так держать!
Примечание: бизнесовые разновидности почты есть и у Mail.ru (под руководством экс яндексойда) и у Яндекса, да и у «всех» они есть https://roem.ru/tag/email-hosting/ — раз бизнесовые версии существуют — не очень понятны ходы Фёдора (и непонятно почему Георгий не знает о бизнесовых продуктах своего ходинга).
Сергей, Иван, безотносительно прочего, хочу отметить, что я не работаю в МойОфис .)
Я их евангелист и, к слову, на добровольных началах.
Работаю я в собственном проекте, Combot и мы занимаемся маркетингом и аналитикой в мессенджерах .)
Фёдор, тогда логичнее называть должность «Ванга». Для неё характерно знамение молота: «покайтесь, суки (то есть чиновники и обычные грешники из черни, пользователи публичных почтовых служб), скоро конец света, конец Mail.ru!»
«Евангелисту» логичнее заниматься прозелитизмом.
В офисе сидишь? (фотки видел) Деньги получаешь? (нет, что ли? тогда нематериальное возмещение?) В конфликты на стороне МО впрягаешься? (однозначно)
Значит — работаешь. ☺
Сергей, нет, не сижу .) Приезжаю раз пару недель на пару часов. Деньги не получаю, все на чистой дружбе и хорошем отношении к команде и продукту.
Так что только разве что в плане публичной активности .) Но это отдельный разговор и он связан с тем, как относятся «бесплатные евангелисты» и core community к проектам вообще и коммерческим проектам в частности.
Иван, твоя правда, мне вообще не стоило лезть в тему ИБ, потому что я хорошо разбираюсь в коллаборации, совместной работе и работе с сообществами, но никак не в ИБ :D
Ну конечно. Допустим, то что сделали МойОфис и правда можно считать «наездом». Но наезд абсолютно справедливый — никто не будет спорить, что популярные почтовики не очень подходят для корпоративной или государственной переписки. Встерпенулись и полезли в дешевые «взломы» только мейлру, почему-то. Рамблер да гугл молчат. Молчат потому, что не планируют отжать у МоегоОфиса кусок рынка. Мейлру же не так давно собиралось заняться разработкой мессенджера для чиновников, вот и сидят теперь постят тупые картинки.