Source: http://www.impsec.org/email-tools/sanitizer-threats.html
E-mail zasnovani napada
Postoje četiri vrste napada na sigurnosni sistem koji se može izvršiti putem elektronske pošte:
- Aktivni sadržaj napada, koji iskoriste različite aktivne HTML i scripting karakteristike i bugova.
- Buffer overflow napada, gdje je napadač šalje nešto što je prevelika da stane u fiksne veličine memorije buffer u klijenta e-pošte, u nadi da onaj dio koji se ne uklapa će prepisati kritične informacije umjesto da se sigurno baciti.
- Trojanski konj napada, gdje je izvršni program ili makro-jezik skriptu koja odobrava pristup, dovodi do oštećenja, samo-propagira ili obavlja i druge nepoželjne stvari koje se šalju na žrtve kao vezanost datoteku označen kao nešto bezazleno, kao što je čestitku ili screen saver ili skriveni u nešto žrtva očekuje, kao što su proračunske tablice ili dokumente. Ovo se zove socijalni inženjering napad, gdje je cilj napada uvjeriti žrtvu da otvori attachment poruke.
- Shell script napada, gdje je uključena fragment Unix shell skriptu u zaglavlja poruka u nadi da će se nepravilno konfiguriran Unix mail klijent izvršava naredbe.
Još jedan napad na privatnost korisnika, ali ne i na sigurnosni sistem, je upotreba tzv Web Greške koje mogu obavijestiti praćenje mjestu kada i gdje dati e-mail poruke se čita.
Aktivni sadržaj napada, a.k.a. napadi pretraživača, aktivni HTML napadi ili scripting napada
Ovi napadi su usmjereni na ljude koji koriste web preglednika ili HTML-omogućen e-mail klijent za čitanje e-pošti, koji ovih dana je vrlo veliki dio računarstva zajednice. Tipično ovih napada pokušavaju koristiti skriptiranje značajke HTML ili klijenta e-pošte (obično JavaScript ili VBScript) da preuzme privatnih informacija iz kompjutera žrtve ili da se izvrši kod na računalu žrtve bez pristanka žrtve (a možda i bez znanja žrtve) .
Manje opasna oblici ovih napada može automatski uzrokovati računar primaoca da prikažete neki sadržaj napadač želje, kao što su automatski otvara web stranice reklame ili pornografije pri otvaranju poruka, ili izvesti napad Denial-of-Service na kompjuteru primatelja kroz kod koji se zamrzava ili ruši browser ili cijelo računalo.
Najjednostavniji način da u potpunosti izbjeći takvi napadi je da ne koristite web browser ili HTML-omogućen e-mail klijent za čitanje e-pošte. Budući da mnogi od tih napada ne zavise od bube u softveru e-mail klijent, oni se ne mogu spriječiti kroz zakrpe na e-mail klijent. Ako koristite web browser ili HTML-svjesni klijent e-pošte, od vas će biti ranjiva na ovakve napade.
Isto tako, kao što neki od tih napada zavisi od klijenta e-pošte u stanju da izvrši HTML-a ne ovisno o slabosti svakog pojedinog operativnog sistema, ovi napadi mogu biti cross-platform. HTML-omogućen klijent e-pošte na Macintosh je jednako ranjiv na aktivne HTML napada e-mail kao HTML omogućen e-mail klijent na Windows ili Unix. U vulnerabilty će se razlikovati od sistema do sistema zasniva se na e-mail klijent, a ne operativni sistem.
Prelazak na ne-HTML-svjesni e-mail klijent nije realna opcija za mnoge ljude. Alternativa je za filtriranje ili mijenjati prekršitelja HTML ili skriptu kod pre e-mail klijent dobiva priliku da ga obradi. To može biti moguće konfigurirati klijenta e-pošte da biste isključili tumačenje pisma koda. Pogledajte svoju programsku dokumentaciju za detalje. Isključivanje skriptiranje u klijentu e-pošte Preporučuje se – ne postoji dobar razlog da podrže scripted e-mail poruka.
korisnici Microsoft Outlook trebali posjetiti ovu stranicu koja opisuje zatezanje dole sigurnosne postavke Outlook-a.
Nedavno je najavio Outlook e-mail crvi su primjer ovog napada. Pogledajte Bugtraqovoj ranjivosti baze podataka za više detalja.
Još jedan način da se brani od napada aktivno-sadržaj je komadate skripta pred mail program ima priliku da ga vidim. To se radi na mail serveru u vrijeme kada je poruka primljena i skladišti u poštanski sandučić korisnika, a u svom najjednostavnijem obliku sastoji od samo mijenjaju <script> oznaka (na primjer) <DEFANGED-script> tagove, što dovodi do mail program da ih ignorisati. Jer postoje mnoga mjesta koja skript naredbe se mogu koristiti u druge tagove, proces defanging je složeniji nego u praksi.
Buffer overflow napada
A buffer je područje memoriju u kojoj je program privremeno pohranjuje podatke koji se obrađuje. Ako je ova regija je unaprijed definiranog, fiksne veličine, a ako program ne poduzeti korake kako bi se osiguralo da podaci uklapa u te veličine, postoji bug: ako više podataka čitaju nego će se uklopiti u tampon, višak će i dalje biti napisan , ali da će produžiti prošlosti kraju tampon, vjerovatno zamjena druga uputstva podataka ili programa.
A buffer overflow napad je pokušaj da se iskoriste ovu slabost slanjem neočekivano dugog niza podataka za program za obradu. Na primjer, u slučaju programa e-pošte, napadač može poslati krivotvorenu Datum: zaglavlje da je dug nekoliko hiljada znakova, u pretpostavci da je program e-mail očekuje samo datum: zaglavlje to je dugo najviše stotinu likova i Doesn ‘ t provjerite dužinu podataka se štedi.
Ovi napadi se mogu koristiti kao Denial-of-Service napada, jer kada memoriji programa bude nasumično prepisani program će uglavnom pasti. Međutim, pažljivo crafting tačan sadržaj onoga što preliva tampon, što je u nekim slučajevima moguće dostaviti program uputstva za kompjuter žrtve da izvrši bez pristanka žrtve. Napadač je mailing program za žrtve, i to će upravljati računalo žrtve bez traženja dozvole žrtve.
Imajte na umu da je to rezultat bug u programu pod napadom. A pravilno napisana klijent e-pošte neće dozvoliti slučajne strancima za pokretanje programa na vašem računalu bez vašeg pristanka. Programi podliježu buffer overflow su pogrešno napisana i moraju se zakrpati da trajno ispraviti problem.
Prekoračenja buffera u poštu programa javljaju u rukovanju poruke zaglavlja i zaglavlja prilog, što je informacija e-mail klijent treba da obradi kako bi se zna detalje o poruci i šta da radi s njim. Tekst u tijelu poruke, koja se jednostavno prikazuju na ekranu i koji se očekuje da će biti velike količine teksta, se ne koristi kao sredstvo za buffer overflow napada.
Nedavno je najavio preljevom bugova u programu Outlook, Outlook Express i Netscape Mail su uzorci ove. Zakrpe za Outlook su dostupni putem sigurnost lokaciji Microsoft.
Poruke zaglavlja i zaglavlja vezanost može biti Pred procesirani od mail servera da ograniči svoje dužine do sigurne vrijednosti. Tako ćete spriječiti da se koristi za napad na e-mail klijent.
Varijacija na napad buffer overflow je izostaviti informacije gdje se program očekuje da nađem. Na primjer, Microsoft Exchange reagira loše kad se od nje traži da obradi MIME vezanost zaglavlja koja su izričito prazna – na primjer, filename = “”. Ovaj napad se može koristiti samo da odbije uslugu.
Trojanski konj napada
Trojanski konj je maliciozni program koji maskira kao nešto benigno, u pokušaju da dobije neoprezne korisnik da biste ga pokrenuli.
Ovi napadi se obično koriste da povredi sigurnosti dobivanje pouzdanih korisnika da pokrenete program koji daje pristup nepouzdanom korisniku (na primjer, postavljanjem daljinski pristup back softver vrata), ili da dovede do oštećenja kao što pokušaju da izbriše sve datoteka na tvrdom disku žrtve. Trojanski konji mogu djelovati za krađu informacija ili resursa ili implementirati distribuirani napad, kao što je u distribuciji programa koji pokušava da ukrade lozinke ili druge sigurnosne informacije, ili može biti program “samo-razmnožavanje” koja se oko (a “crv” mailove ), kao i mailbombs meta ili briše datoteke (crv sa stavom :).
“I Love You” crv je odličan primjer napada Trojanskog konja: naizgled-bezopasna ljubavno pismo je zapravo program samoprenosiva.
Za ovaj napad uspjeti žrtva mora preduzeti mere za pokretanje programa koji su dobili. Napadač može koristiti razne “socijalnog inženjeringa” metode uvjeriti žrtvu da biste pokrenuli program; na primjer, program može biti maskiran kao ljubavno pismo ili liste šala, sa filename posebno izgrađenim iskoristiti Windows ‘sklonost za skrivanje važne informacije od korisnika.
Većina ljudi zna da je .txt se koristi da označi da sadržaj datoteke su samo običan tekst, za razliku od programa, ali Windows ‘default konfiguracija je da se sakrije filename ekstenzije od korisnika, tako da je u Popis direktorija datoteku pod nazivom tekstualne datoteke .txt će se pojaviti samo kao “tekstualne datoteke” (kako bi izbjeglo zbunjivanje korisnik?).
Napadač može iskoristiti ovu kombinaciju stvari slanjem u prilogu pod nazivom “attack.txt.exe” – Windows će uslužno sakriti .exe ekstenzijom, što se pojavljuju u prilogu kao benigni tekstualnu datoteku pod nazivom “attack.txt” umjesto programa. Međutim, ako korisnik zaboravi da je Windows krije stvarni Ekstenzija datoteke i dvaput klikne na prilogu, Windows će koristiti puni naziv datoteke da odluči šta da radim, a od .exe pokazuje izvršni program, Windows pokreće prilog. Blam! Ti vlasništvu.
Tipična kombinacija očigledno-benigne i opasno izvršne ekstenzije su:
- xxx.TXT.VBS – izvršnu skriptu (Visual Basic skripte) maskirana kao tekstualnu datoteku
- xxx.JPG.SCR – izvršni program (screen saver) maskirana kao sliku
- xxx.MPG.DLL – izvršni program (dinamičkih veza knjižnica) maskirana kao video zapis
Ovaj napad može se izbjeći jednostavnim ne pokrenute programe koje su dobili u e-mail dok su provjereni preko, čak i ako je program izgleda bezopasno, a posebno ako dolazi od nekoga koga ne poznaju dobro i povjerenje.
Duplim klikom na priloge e-pošte je opasna navika.
Do nedavno, jednostavno govoreći “ne dvaput kliknite na priloge” je bilo dovoljno da bude siguran. Nažalost, to više nije slučaj.
Bube u klijent e-pošte ili loš dizajn programa može dopustiti napad poruku automatskog trojanskog konja dodatak bez intervencije korisnika, ili kroz korištenje aktivnih HTML, skriptiranje ili tampon preljevom podviga uključeni u istu poruku kao Trojanski konj prilog ili kombinaciju ovih. Ovo je izuzetno opasan scenario i trenutno je “u divljini” kao samoprenosiva e-mail crv koji ne zahtijeva intervenciju korisnika za infekciju da se dogodi. Možete biti sigurni da to neće biti samo jedan.
U pokušaju da spriječi to, imena izvršnih priloge datoteke može se mijenjati na takav način da je operativni sistem više ne misli da su izvršne (na primjer, mijenjanjem “EXPLOIT.EXE” do “EXPLOIT.DEFANGED-EXE”) . To će prisiliti korisnika da sačuva i preimenovali datoteku prije nego što se može izvršiti (dajući im priliku da razmisle o tome da li treba da se izvrši, i daju svoj antivirusni softver priliku da ispita prilogu prije nego što počne radi), a smanjuje mogućnost da drugi exploit u istom poruka će biti u stanju da automatski pronaći i izvršiti program Trojanski konj (jer ime je promijenjeno).
Osim toga, za poznate trojanski konj programe format sam po sebi vezanost može biti unakažena na takav način da je e-mail klijent više ne vidi u prilogu kao prilog. To će prisiliti korisnika da se obratite tehničkoj podršci da preuzmete prilog, a daje administrator sistema priliku da ga ispita.
Unmangling je osakaćen vezanost je prilično jednostavan za administratora. U komadanja prilogu originalni MIME prilog zaglavlju se pomiče dolje i napad upozorenje zaglavlje vezanost je umetnuta. Nema informacija se briše.
Ovdje je popis nedavnih trojanskog konja izvršne i dokumenata, prikupljene iz bugtraq i Usenet news upozorenja i antivirusnog softvera savjeti:
Anti_TeRRoRisM.exe Ants[0-9]+set.exe Binladen_bra[sz]il.exe Common.exe Disk.exe IBMls.exe MWld.exe MWrld.exe MissWorld.exe Rede.exe Si.exe UserConf.exe WTC.exe amateurs.exe anal.exe anna.exe anniv.doc anti_cih.exe antivirus.exe aol4free.com asian.exe atchim.exe avp_updates.exe babylonia.exe badass.exe black.exe blancheneige.exe blonde.exe boys.exe buhh.exe celebrity?rape.exe cheerleader.exe chocolate.exe compu_ma.exe creative.exe cum.exe cumshot.exe doggy.exe dwarf4you.exe emanuel.exe enanito?fisgon.exe enano.exe enano?porno.exe famous.exe fist-f?cking.exe gay.exe girls.exe happy99.exe happy[0-9]+.exe hardcore.exe horny.exe hot.exe hottest.exe i-watch-u.exe ie0199.exe images_zipped.exe jesus.exe joke.exe kinky.exe leather.exe lesbians.exe list.doc lovers.exe matcher.exe messy.exe misworld.exe mkcompat.exe nakedwife.exe navidad.exe oains.exe oral.exe orgy.exe path.xls photos17.exe picture.exe pleasure.exe pretty park.exe pretty?park.exe prettypark.exe qi_test.exe raquel?darian.exe readme.exe romeo.exe sado.exe sample.exe seicho_no_ie.exe serialz.hlp setup.exe sex.exe sexy.exe slut.exe sm.exe sodomized.exe sslpatch.exe story.doc suck.exe suppl.doc surprise!.exe suzete.exe teens.exe virgins.exe x-mas.exe xena.exe xuxa.exe y2kcount.exe yahoo.exe zipped_files.exe
Naravno, crv autori su sada, koje namjerava i imenovanja priloge nasumično, što dovodi do zaključka da su svi .exe datoteke treba biti blokiran.
Još jedan kanal za Trojanski konj napada je preko datoteke podataka za program koji pruža makro (programiranje) jezika, na primjer, moderna high-powered obradu teksta, proračunske tablice i alate korisnik baze podataka.
Ako ne možete jednostavno odbaciti priloge koji možete staviti na rizik, preporučuje se da instalirate antivirusni softver (koji otkriva i onemogućava makro-jezik trojanski konji) i da ste uvijek otvoreni priloge datoteke podataka u programu je “automatski ne izvršavaju makroi “modu (na primjer, držeći pritisnutu tipku [Shift] kada dvaput kliknete prilogu).
Također: Ako je administrator sistema (ili neko tvrdi da je svoj sistem administrator) e-pošti koju program i tražiti da ga pokrenuti, odmah postati vrlo sumnjivo i provjerite porijeklo e-mail kontaktiranjem administratora direktno na neki drugi od e-mail sredstvima. Ako dobijete prilog tvrdi da je alat za ažuriranje operativnog sistema ili antivirusnog, ne rade to proizvođači. Operativni sustav nikada dostaviti ažuriranja putem e-pošte, a antivirusni alati su dostupni na web stranicama na antivirusnog softvera.
Skriptu napada
Mnogi programi koji rade pod Unix i sličnim operativni sistemi podržavaju mogućnost da se ugradi kratak shell skripte (sekvence naredbi slična batch datoteke u DOS-u) u svojim konfiguracijskim datotekama. To je uobičajeni način da se dozvoli fleksibilno proširenje svojih mogućnosti.
Neki programi mail obrade nepropisno produžiti podršku za ugrađene naredbe ljuske na poruke koje se obrađuje. Generalno ova mogućnost uključena je greškom, pozivom shell skripta preuzet iz konfiguracijske datoteke za obradu teksta pojedinih zaglavlja. Ako se posebno formatiran zaglavlje i sadrži naredbe ljuske, moguće je da će se oni shell naredbi se izvršava kao dobro. To se može spriječiti program skenira tekst u zaglavlju za posebne formatiranje i mijenja da formatiranje prije nego što se prenosi da je granata na dalju obradu.
S obzirom da je formatiranje potrebno da ugradite skriptu u zaglavlju e-pošte je prilično poseban, to je prilično lako otkriti i mijenjati.
Web bug napada privatnost
HTML e-mail poruke mogu se odnositi na sadržaj koji nije zapravo u poruci, baš kao i web stranice mogu se odnositi na sadržaj koji nije zapravo na web stranici hosting stranice. To se može često može vidjeti u banner oglasa – stranica na http://www.geocities.com/ mogu uključivati transparent oglas koji se preuzimaju sa servera na http://ads.example.com/ – kada se stranice donosi , web preglednika automatski kontakata web servera na http://ads.example.com/ i preuzima banner ad sliku. Ovo pronalaženje datoteka se evidentira u dnevnicima servera na http://ads.example.com/, dajući put je preuzeta, a mrežnu adresu računala preuzimanja sliku.
Primjenom ovog HTML-mail uključuje stavljanje referentne slike u tijelu poruke e-pošte. Kada program mail dohvaća datoteku slike kao dio prikazivanja poruke mail korisnika, web server prijavljuje vremena i adrese mreže zahtjeva. Ako slika ima jedinstveni datoteke, moguće je precizno utvrditi koje poruke e-pošte generira zahtjev. Tipično je slika nešto što neće biti vidljiva primatelju poruke, na primjer sliku koja se sastoji od samo jedne transparentne piksela, stoga termin Web Bug – to je, na kraju krajeva, treba da bude “tajnog nadzora.”
Također je moguće koristiti zvučne pozadine oznaku da se postigne isti rezultat.
Većina mail klijenti ne može biti konfiguriran da ignorišu ove oznake, tako da je jedini način da se spriječi ovo njuškanje je komadate slika i zvuk referentne oznake na mail server.
Autor se može kontaktirati na <[email protected]> – mogli posjetiti i moj dom stranici.
Najbolje su sa bilo koji browser
$ Id: Sanitizer-threats.html, v 1.37 2017/04/14 11: 44: 55-07 jhardin Exp jhardin $
Sadržaj Autorsko pravo (C) 1998-2017 John D. Hardin – Sva prava pridržana.