高校邮件系统安全事件分析及应对
垃圾邮件事件
近期不少学校反映邮件系统被黑客尝试登录,进而利用正常账号发送垃圾邮件的安全事件。此类针对邮件系统的安全事件不是近期开始发生的,早在2016年中国科学技术大学邮件系统就观察到国内部分城市大量的IP地址尝试登录问题。
初步判断为有黑客试图通过穷举法来获取密码简单的用户密码。
为此做了如下应对处理:
1. 对于连续尝试密码错误的IP地址,禁止使用POP/IMAP/SMTP等客户端方式登录,封禁的时间随错误的次数逐步变长。对于多个IP地址进行尝试的网段,直接禁止该网段的IP使用客户端登录。以上封禁的IP地址,在https://blackip.ustc.edu.cn/mailblackip.php 有记录(早期封禁记录已经删除,目前看到的是2019年2月开始的记录);
2. 定期统计当日用户发邮件数量及IP来源数量,超过一定的阈值一般是密码泄漏,强制更改用户密码;
3. 向管理机构反映该问题,管理机构答复因未造成明显损失,不方便处理。
上述1、2处理均由程序自动完成,一定程度上缓解了用户账号被黑客登录的行为。
2017年7月至今,已经强制修改了约3500个账号的密码,表1是各个时间段强制修改密码用户的数量统计。
表1 强制修改密码用户的数量统计
从统计可以看到,2020年出现异常的邮件账号数量急剧变多。发送的垃圾邮件内容,集中在网络赌博、网络贷款、网络诈骗话题。其他高校也均反馈有类似问题,且近期急剧增多。
这种密码泄漏,通常是以下5种途径:
途径1:服务器端密码泄漏。服务器被攻击导致加密的密码库泄漏,攻击者可以通过碰撞手段获取密码强度不高的密码;
途径2:用户密码简单,被黑客持续尝试后获取;
途径3: 用户访问邮件系统时未使用加密传输方式,在不安全的网络环境下,黑客截取传输过程中的数据直接获取密码;
途径4:用户在其他网站使用了相同的密码,其他网站的密码泄漏导致密码泄漏;
途径5:用户的终端被安装了恶意木马软件,该软件窃取了用户输入的密码。
其中,途径1属于邮件服务器安全,与用户不直接相关;途径2则与服务器和用户都有关系;途径3~途径5,则是用户原因,单独加强服务器安全并不能解决问题。
为了排除途径1,并了解用户使用简单密码的总体情况, 4月份开发了密码碰撞程序(https://github.com/bg6cq/checkwkpass),对学校邮件系统8.5万个账号进行弱密码测试。碰撞的密码共170多万个,测试需要的运算量较大,经优化后在学校超算中心10台服务器上30秒钟可以执行一轮测试。
4月份碰撞测试并进行后续处理,弱密码的用户数变化如表2。
表2 用户数变化
从表2可以推测,假如黑客曾经获取过服务器上的加密密码库,可以很轻松获取近万人的有效密码。因此途径1服务器被攻击泄漏密码的可能性很小。
目前,仍有3100多个用户使用的是弱密码,我们会继续督促用户修改,必要时采取强制修改的方式。而即便是这样的弱密码,想通过穷举测试的方式尝试出来,由于有IP的自动封锁,对于黑客来说也并不是容易的事。
追溯与测试
为了推测黑客获取密码的方式,我们向部分用户发送调查邮件了解情况。以邮件账号chen***的陈某某老师为例,其反馈自己密码相对复杂,仅仅在几个相对安全的重要系统使用。经查询邮件系统日志,相关事件如下:
1. 黑客碰撞密码过程
123.185.150.18 IP掌握有一批我校邮件用户名和密码,在2月27日 12:22:13 开始碰撞,第18个就是chen***,碰撞成功。这个IP因错误多次,在12:22:18被我校封锁,但是碰撞chen***密码是在封锁前4秒钟。
2. 发送垃圾邮件的过程
黑客获取密码后,一共发送过9次垃圾邮件,均是赌博类邮件。其他用户也是类似情况:某个IP集中测试若干用户和密码,成功率很高。测试成功后不久,开始发送垃圾邮件。
如2020年5月8日,发现有若干用户发送垃圾邮件,日志显示IP 182.122.84.189(河南平顶山)在凌晨01:33测试了25个用户,其中22个用户密码正确。后续开始使用这些账号发送垃圾邮件。
黑客测试25个用户,其中22个密码正确,说明黑客之前已经掌握了一批用户名和密码,而不是漫无目的地测试。这些用户名和密码,可能是通过途径3、途径4或途径5获取。
对于途径3,只要用户使用加密方式访问邮件服务器,就可以避免中间人在传输过程中截取数据包直接获取密码。我校邮件服务器从2015年起就支持各种服务的加密方式,在邮件系统帮助页公布有相关的加密服务端口信息。
为了更好地提醒用户使用加密方式,网络信息中心在4月17日向所有用户群发了“电子邮件安全使用小帖士”,强调尽量使用加密方式。我们推测使用不正规的运营商家庭宽带上网、免费Wi-Fi上网环境或使用免费的翻墙软件,被中间人截取密码的风险很高。
途径4和途径5,只能依靠用户自己来解决。
综上所述,邮件系统被非授权登录,绝大部分是黑客通过其他途径,预先掌握了一批用户名和密码,因此单独增强邮件服务器的安全性并不容易解决被非授权登录的问题。
目前,学校的邮件服务器Web界面登录输入密码多次错误会弹出验证码,所以黑客一般使用SMTP/POP/IMAP等服务方式来测试密码。
这些服务由于本来就是用于程序之间的通信,无法增加辨认图形等人机识别(识别是人还是程序)过程,现已具备错误后禁止登录的手段(目前,系统已经有登录错误后短时间禁止登录,即便提供正确的用户名和密码也会失败)。
邮件系统使用建议
邮件系统是学校重要的信息系统之一,各学校都很重视其安全性。由于近期很多学校的邮件服务器均碰到类似问题,而各学校对邮件软件提出了增强安全性的功能需求。
邮件软件厂商拟提供的手段包括Web界面登录时增加扫码认证或短信认证;POP3/SMTP/IMAP登录使用独立的安全认证码。这些功能有些正在开发,有些因太繁琐很难被用户普遍接受,有些功能实现复杂收益率很低。如果这些新的功能合适,我们会引进增加到学校的邮件系统。
对于中科大的邮件系统用户,建议按照电子邮件安全使用小帖士中的要求使用,即可保障邮件账户的安全。
1. 严格做到“上网不涉密,涉密不上网”
严格按照国家有关保密法律法规,禁止使用互联网电子邮件传输或处理涉密信息。
2. 重要文件做好备份,敏感信息请勿通过邮件明文传送
重要文件及时做好备份,避免因各种软硬件故障或攻击导致数据丢失。敏感信息请勿通过邮件传送,或者使用GPG之类的软件加密后传送。
3. 使用相对复杂的密码,同样的密码请勿在其他网站使用
定期修改电子邮箱密码,密码强度达到“好”以上。发现有不正常的发信退信记录,第一时间修改登录密码
4. 使用SSL/TLS加密传输方式访问邮件服务器
学校邮件系统POP3、IMAP、SMTP、WEB等服务均支持SSL/TLS加密传输方式。使用加密传输方式能避免网络传输时的信息泄露。Web访问时,使用 https://mail.ustc.edu.cn 连接服务器,并选择“SSL安全登录”手机或PC端的邮件客户端访问时,设置对应的安全选项。
我校邮件服务器SSL/TLS加密端口如下:
o POP3 SSL/TLS加密端口 995
o IMAP SSL/TLS加密端口 993
o SMTP SSL/TLS加密端口 465
5. 谨防欺骗、钓鱼类邮件骗取重要信息
任何以邮箱停用、账号重新登记等名义要求提供邮箱密码的均为欺骗邮件,请勿相信。对于来历不明邮件、不明内容的链接,请勿盲目点击或下载打开,谨防钓鱼邮件。对于内容为勒索或威胁恐吓的邮件,冷静分析,请勿盲目按照其指令进行操作。
6. 定期查询登录信息,核对是否设置有自动转发
特别要关注登录成功的信息,确保是自己正常登录。定期检查是否被非法侵入并设置了自动转发。
此外,还需注意PC机或手机本身是否被植入监听木马等恶意程序。
本文刊载于《中国教育网络》杂志2020年6月刊,原标题为《中科大:邮件系统安全事件分析及应对》,作者:陈蕾、程雨、张焕杰,单位为中国科学技术大学网络信息中心。
投稿、转载或合作,请联系:eduinfo@cernet.com
相关阅读