Что такое vfemail net
Security Week 08: взлом VFEMail в прямом эфире
Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об устранении Zero-Day в Windows, а чуть раньше был закрыт баг в Android, позволяющий взламывать телефон подготовленной картинкой в формате PNG. Но мы довольно редко видим последствия эксплуатации этих уязвимостей: пострадавшие компании по понятным причинам не спешат делиться такой информацией. Еще реже можно наблюдать последствия атаки практически в прямом эфире, что на прошлой неделе произошло с почтовым сервисом VFEMail.
Этот сервис был основан в 2001 году жителем США, и с тех пор обслуживал частных клиентов (бесплатно предлагал всего 50 мегабайт места для писем) и организации на их собственных доменах. В 2015 году он упоминался наряду с сервисом защищенной почты ProtonMail как жертва вымогателей — владелец сервиса цитировал требование организаторов DDoS-атаки выплатить пять биткойнов. 11 февраля без предварительных угроз злоумышленники стерли информацию на всех основных и резервных серверах VFEMail, буквально за несколько часов уничтожив бизнес компании почти полностью.
В списке тарифов почтового сервиса самая дорогая опция предлагает 15 гигабайт (в другом месте сайта 20, показания расходятся) за 50 долларов в год — столько же, сколько Google Mail дает бесплатно. Либо однократный платеж в 25 долларов за 1 гигабайт почты навсегда. Принимается оплата в криптовалюте. VFEMail не позиционирует себя как защищенная почта, предлагая достаточно стандартные опции вроде фильтрации спама, проверки аттачей на вирусы и доступа из почтовых программ. И еще: «Мы не читаем ваши письма, чтобы продавать вам рекламу».
В общем, это была такая почта для тех, кто сто лет назад завел почтовый ящик и с тех пор ленится переехать куда-то еще. Вполне работающая схема, если бы не события 11 февраля. Все началось с этого сообщения в Твиттере почтового сервиса: владелец заметил, что у него серьезные проблемы.
This is not looking good. All externally facing systems, of differing OS’s and remote authentication, in multiple data centers are down.
Еще через два часа на одном из серверов владелец вживую увидел, как злоумышленник стирает данные:
Почтовый сервис был атакован с болгарского IP, скорее всего с арендованной виртуальной машины. Еще через несколько минут стало понятно, что это был не единственный атакованный сервер:
nl101 is up, but no incoming email. I fear all US based data may be lost.
Спустя час основатель сервиса диагностирует, вероятно, полную потерю всех данных пользователей:
This is all I can do at this time. I will need to get into the datacenter to see if the one file server I caught during formatting can be recovered. If it can, we can restore mail, but most of the infrastructure is lost.
Были атакованы сразу несколько серверов на разных площадках в разных странах. По словам владельца VFEMail, на серверах использовались разные способы и ключи авторизации, и тем не менее они были взломаны, с последующим уничтожением данных, практически одновременно. Через неделю даунтайма владельцу сервиса удалось восстановить один из серверов с данными по 2016 год:
Mailboxes prior to August 2016 are now available on https://t.co/HOlNUYmbdo port 1144
You can point your own mail client, or configure a Remote Account in Horde Prefs
Click Advanced, then enter:
Name, Secure if Avail, IMAP, localhost, your_vfemail_login, 1144
В комментарии сайту Bleeping Computer основатель и единственный владелец почтового сервиса Рик Ромеро сообщил, что угроз от кого-либо не получал, в отличие от ситуации с DDoS-атакой в 2015 году. Скорее всего, сервис восстановлен не будет, хотя позднее клиентам все же была обеспечена возможность принимать и отправлять почту, без доступа к архивным сообщениям за последние два с лишним года. Журналист Брайан Кребс в своем блоге приводит свидетельство корпоративного клиента VFEMail: десять лет почтовой переписки и более 60 тысяч сообщений было потеряно.
Интересно, что на сайте VFEMail приводился аргумент в пользу стороннего почтового сервиса по сравнению с собственной почтой: так надежнее, обо всех настройках безопасности уже позаботились, и вам не нужно принимать входящие подключения в своей собственной сети.
В некотором смысле — жаль. VFEMail появился на закате романтической эпохи Интернета, когда нынешние гиганты представляли собой гаражные стартапы с наверняка похожим уровнем безопасности. Дальнейшее развитие кибератак сделало расходы на защиту неподъемными для всех, кто не успел стать достаточно большим. Хотя мы пока не знаем, как именно удалось взломать почтовый сервис (а возможно, не узнаем никогда), эта история — печальный пример, когда компания оказывается не готова ни отразить кибератаку, ни преодолеть ее последствия. И если с первым пунктом проблемы бывают и у крупнейших компаний, невозможность восстановиться после киберудара — это как раз та ситуация, которую стоит избегать всеми силами.
Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
В поисках анонимной почты
Как мыть голову, не снимая фольгированную шапочку?
Неизвестный автор
Не так давно у меня возникла необходимость в полностью анонимном адресе электронной почты, который, даже имея доступ к содержимому письма, нельзя было бы однозначно со мной связать. Мне было нужно отправить в больницу несколько вопросов по поводу лечения ребёнка, но очень не хотелось, чтобы эта информация осталась условно навечно ассоциированной c моим и его именами в логах провайдеров, поисковиков, почтовиков, товарища майора и кто знает каких ещё операторов Big Data, орудующих во Всемирной паутине. От адресата ожидалось получение файлов неизвестного размера с документами, необходимыми для госпитализации.
Мне казалось, что с регистрацией такой почты не будет трудностей, но, как выяснилось, я отстал от жизни. Известные почтовые сервисы, такие как gmail и outloook, теперь требуют номер телефона, поэтому пришлось немного потрудиться, чтобы найти устраивающий меня вариант. В данной статье я решил поделиться своим опытом решения этой проблемы.
Требования были следующие:
Поиск привёл меня на интересную англоязычную страничку, где под заголовком Free Webmail for Better Privacy перечислены 15 провайдеров анонимной электронной почты и их основные характеристики по состоянию на 25 октября 2016 года. В описании каждого сервиса указано много параметров. Среди них: наличие рекламы, работа через Тор, протоколы, размеры вложений и хранилищ и т. д., а также два-три абзаца с дополнительной информацией. Что интересно, там есть Яндекс и Mail.ru! Но на первом у меня основная почта, а к последней есть стойкое внутреннее недоверие.
Я пробежался по списку, сверяя свои требования с предложенным описанием, и начал пробовать. Что-то наверняка незаслуженно пропустил, но не судите строго — мне был нужен первый попавшийся работоспособный сервис и некоторые позиции списка я пропускал практически интуитивно.
ProtonMail
Проект на слуху, о нём много пишут и говорят. Деньги на эту почту собирали всем миром. Я думал, что там точно добьюсь цели. К моему сильному удивлению, ребята требуют подтверждение регистрации с телефона или другой почты, но при этом мамой клянутся, что не будут эту информацию сохранять. У меня возникли сомнения в их искренности, и я решил, что почта на ProtonMail мне не нужна.
Потом уже подумал, что можно было бы сделать ящик на том же самом VFEmail, с помощью неё подтвердить, что я не спамер, на ProtonMail и продолжать пользоваться последней. Но в тот момент это было уже неактуально. Следующий!
OpenMailBox
У меня слабость к любым явлениям, в названии которых есть строки Open или Libre, поэтому пошёл на сайт OpenMailBox практически не задумываясь. С удовлетворением отметил современность их сайта, преисполненный надежд, заполнил форму, нажал кнопочку SIGN UP и… получил сообщение о том, что регистрация новых пользователей пока приостановлена:
Жаль, но что поделаешь, поехали дальше.
VFEmail
Мне чем-то приглянулось описание этой почты в общем списке, и я решил попробовать зарегистрировать у них ящик. Их сайт выглядел как-то несовременно, но, к сожалению, меня это не остановило.
Регистрация прошла без проблем. Сервис предлагал на выбор несколько вариантов веб-интерфейса (Horde5, Horde (old), RoundCube и User Control Panel). Уж не знаю почему, но у меня по умолчанию при первом входе выбрался Horde (old), который выглядит так, будто его сделали в начале 90-х годов прошлого века, что, впрочем, вполне может оказаться недалеко от истины. Я написал письмо, нажал Send, зашёл в отправленные и с досадой обнаружил, что оно отображается там в виде последовательности четырёхзначных цифровых кодов. В таком же виде оно приходит адресату. Похоже, проблема в самом веб-интерфейсе. Два других (Horde5 и RoundCube) выглядят лучше и русский язык понимают. Но желания пользоваться сервисом у меня к этому времени уже поубавилось. Также выяснилось, что при бесплатном использовании он добавляет к отправляемым письмам рекламу, что уж совсем ни в какие ворота не лезет. В дополнение стоит отметить, что доставка может осуществляться с большой (до нескольких часов) задержкой.
Осталось общее ощущение ненадёжности сервиса и чрезмерной меркантильности его создателей. Не лучший вариант, но для тестирования других ящиков подойдёт.
Yandex Mail
К этому времени я уже начал злиться, так как мне хотелось побыстрее закрыть вопрос, на решение которого потратил слишком много времени. Начал думать, что чёрт с ним, сделаю на Яндексе — уж с ним-то не должно быть проблем. У меня, правда, были опасения, что это повысит вероятность того, что моё имя будет связано с этим письмом, так как Яндекс знает о моей персоне очень и очень много, но к тому моменту мне было уже почти всё равно.
Сразу скажу, что я испытываю постоянные проблемы с заходом в Яндекс через Тор. Иногда приходится по 10 раз менять личность, чтобы перестать получать сообщение «403 Доступ к нашему сервису временно запрещён!». Интересно, это у всех так? Найти в Интернете других жалующихся я не смог. Писал в поддержку, но они один раз ответили, запросив информацию со странички yandex.ru/internet, а потом пропали.
Ну ладно, выходную ноду, устраивающую Яндекс, подобрал, регистрацию прошёл, написал письмо, жму «Отправить», а в ответ получают ошибку «Incorrect contact address». Поиск по самой ошибке ничего не дал. Смена адресата также не помогла. Запросы в поддержку через Тор не отправляются. Ну что ж, нет так нет. Не очень-то и хотелось.
Tutanota
Для русского уха название сервиса звучит немного нелепо, но для моей задачи это не имело значения. Регистрация прошла быстро, открылся очень приятный, функциональный, минималистичный веб-интерфейс, и появилось сообщение, что в целях защиты от спамеров, мой аккаунт будут проверять до 48 часов, в течение которых я не смогу ни отправлять, ни принимать письма. Ну что ты будешь делать! Что они там проверяют? Это меня совсем не устраивало, так как ждать совершенно не хотелось. Но времени в тот день на дальнейшие поиски больше не оставалось, и мне пришлось отложить решение вопроса.
Когда же я снова зашёл на tutanota.com примерно через 36 часов, моя почта уже была работоспособна. Несколько тестовых писем на VFEmail отправились без проблем.
Заодно решил проверить функциональность отправки зашифрованных сообщений. Оказалось, он работает очень просто и эффективно: для каждого внешнего адресата создаётся пароль, который надо ему как-то передать. Когда вы отправляете защищённое письмо, по факту приходит лишь ссылка на специальный аккаунт на сайте tutanota.de, где после ввода пароля, полученного от отправителя письма, можно войти в специальную версию веб-интерфейса, прочитать письмо и отправить ответ. Очень, на мой взгляд, удобное решение.
В итоге я остановился на Тутаноте. А ответа из больницы пока нет, но, думаю, почта здесь не виновата.
Хакеры уничтожили данные почтового сервиса VFEmail
Linux для хакера
Представители защищенного почтового сервиса VFEmail сообщили, что, скорее всего их ресурсу пришел конец, и он вряд ли снова заработает в полном объеме. Дело в том, что в минувший понедельник, 11 февраля 2019 года, неизвестные злоумышленники проникли на американские серверы проекта и уничтожили там все данные, до которых только смогли добраться.
At this time, the attacker has formatted all the disks on every server. Every VM is lost. Every file server is lost, every backup server is lost. NL was 100% hosted with a vastly smaller dataset. NL backups by the provideer were intact, and service should be up there.
Not ‘A’, an entire infrastructure.
Mail hasts, VM hosts,sql server cluster, hosted vms.
If they all had one password, sure, but they didn’t. That’s the scary part.
Представители VFEmail пишут, что взломщики буквально отформатировали диски на всех машинах, и в результате были потеряны все виртуальные машины, все бекапы и файловый сервер.
«Да, VFEmail практически уничтожен. Скорее всего, он уже не вернется. Никогда не думал, что кого-то будет настолько волновать мой безвозмездный труд, что его захотят целиком и полностью уничтожить», — пишет основатель VFEmail, Рик Ромеро (Rick Romero) у себя в Twitter.
В настоящее время специалисты VFEmail пытаются хотя бы частично восстановить работу сервиса. Судя по обновляющемуся сообщению на главной странице официального сайта, отправка писем уже частично работает (по крайней мере, для платных пользователей), однако американские пользователи обнаружат свои аккаунты девственно чистыми, и их данные, судя по всему, восстановить уже не удастся. Также пока не функционируют кастомные фильтры, проверки на спам и так далее.
Сообщается, что взломщики не пытались шантажировать владельцев сервиса и требовать выкуп. Судя по всему, уничтожение данных являлось основной целью этой странной атаки. В Twitter Ромеро подчеркивает, что пострадавшие части инфраструктуры VFEmail не имели одинаковых или слабых паролей. Что именно сделали злоумышленники и как сумели нанести VFEmail такой урон, пока еще только предстоит выяснить.
This is not looking good. All externally facing systems, of differing OS’s and remote authentication, in multiple data centers are down.
Strangely, not all VMs shared the same authentication, but all were destroyed. This was more than a multi-password via ssh exploit, and there was no ransom. Just attack and destroy.
Хакеры уничтожили данные почтового сервиса VFEmail
Представители защищенного почтового сервиса VFEmail сообщили, что, скорее всего их ресурсу пришел конец, и он вряд ли снова заработает в полном объеме. Дело в том, что в минувший понедельник, 11 февраля 2019 года, неизвестные злоумышленники проникли на американские серверы проекта и уничтожили там все данные, до которых только смогли добраться.
At this time, the attacker has formatted all the disks on every server. Every VM is lost. Every file server is lost, every backup server is lost. NL was 100% hosted with a vastly smaller dataset. NL backups by the provideer were intact, and service should be up there.
Not ‘A’, an entire infrastructure.
Mail hasts, VM hosts,sql server cluster, hosted vms.
If they all had one password, sure, but they didn’t. That’s the scary part.
Представители VFEmail пишут, что взломщики буквально отформатировали диски на всех машинах, и в результате были потеряны все виртуальные машины, все бекапы и файловый сервер.
«Да, VFEmail практически уничтожен. Скорее всего, он уже не вернется. Никогда не думал, что кого-то будет настолько волновать мой безвозмездный труд, что его захотят целиком и полностью уничтожить», — пишет основатель VFEmail, Рик Ромеро (Rick Romero) у себя в Twitter.
В настоящее время специалисты VFEmail пытаются хотя бы частично восстановить работу сервиса. Судя по обновляющемуся сообщению на главной странице официального сайта, отправка писем уже частично работает (по крайней мере, для платных пользователей), однако американские пользователи обнаружат свои аккаунты девственно чистыми, и их данные, судя по всему, восстановить уже не удастся. Также пока не функционируют кастомные фильтры, проверки на спам и так далее.
Сообщается, что взломщики не пытались шантажировать владельцев сервиса и требовать выкуп. Судя по всему, уничтожение данных являлось основной целью этой странной атаки. В Twitter Ромеро подчеркивает, что пострадавшие части инфраструктуры VFEmail не имели одинаковых или слабых паролей. Что именно сделали злоумышленники и как сумели нанести VFEmail такой урон, пока еще только предстоит выяснить.
This is not looking good. All externally facing systems, of differing OS’s and remote authentication, in multiple data centers are down.
Strangely, not all VMs shared the same authentication, but all were destroyed. This was more than a multi-password via ssh exploit, and there was no ransom. Just attack and destroy.
Хакеры уничтожили данные почтового сервиса VFEmail
/red%20alert.png?width=550&name=red%20alert.png "Что такое vfemail net. Смотреть фото Что такое vfemail net. Смотреть картинку Что такое vfemail net. Картинка про Что такое vfemail net. Фото Что такое vfemail net")
Представители защищенного почтового сервиса VFEmail сообщили, что, скорее всего их ресурсу пришел конец, и он вряд ли снова заработает в полном объеме. Дело в том, что в минувший понедельник, 11 февраля 2019 года, неизвестные злоумышленники проникли на американские серверы проекта и уничтожили там все данные, до которых только смогли добраться.
Представители VFEmail пишут, что взломщики буквально отформатировали диски на всех машинах, и в результате были потеряны все виртуальные машины, все бекапы и файловый сервер.
«Да, VFEmail практически уничтожен. Скорее всего, он уже не вернется. Никогда не думал, что кого-то будет настолько волновать мой безвозмездный труд, что его захотят целиком и полностью уничтожить», — пишет основатель VFEmail, Рик Ромеро (Rick Romero) у себя в Twitter.
В настоящее время специалисты VFEmail пытаются хотя бы частично восстановить работу сервиса. Судя по обновляющемуся сообщению на главной странице официального сайта, отправка писем уже частично работает (по крайней мере, для платных пользователей), однако американские пользователи обнаружат свои аккаунты девственно чистыми, и их данные, судя по всему, восстановить уже не удастся. Также пока не функционируют кастомные фильтры, проверки на спам и так далее.
Сообщается, что взломщики не пытались шантажировать владельцев сервиса и требовать выкуп. Судя по всему, уничтожение данных являлось основной целью этой странной атаки. В Twitter Ромеро подчеркивает, что пострадавшие части инфраструктуры VFEmail не имели одинаковых или слабых паролей. Что именно сделали злоумышленники и как сумели нанести VFEmail такой урон, пока еще только предстоит выяснить