Jačanje e-mail sigurnost sa Procmail: prijetnje, exploit i napada

Source: http://www.impsec.org/email-tools/sanitizer-threats.html


E-mail zasnovani napada

Postoje četiri vrste napada na sigurnosni sistem koji se može izvršiti putem elektronske pošte:

  • Aktivni sadržaj napada, koji iskoriste različite aktivne HTML i scripting karakteristike i bugova.
  • Buffer overflow napada, gdje je napadač šalje nešto što je prevelika da stane u fiksne veličine memorije buffer u klijenta e-pošte, u nadi da onaj dio koji se ne uklapa će prepisati kritične informacije umjesto da se sigurno baciti.
  • Trojanski konj napada, gdje je izvršni program ili makro-jezik skriptu koja odobrava pristup, dovodi do oštećenja, samo-propagira ili obavlja i druge nepoželjne stvari koje se šalju na žrtve kao vezanost datoteku označen kao nešto bezazleno, kao što je čestitku ili screen saver ili skriveni u nešto žrtva očekuje, kao što su proračunske tablice ili dokumente. Ovo se zove socijalni inženjering napad, gdje je cilj napada uvjeriti žrtvu da otvori attachment poruke.
  • Shell script napada, gdje je uključena fragment Unix shell skriptu u zaglavlja poruka u nadi da će se nepravilno konfiguriran Unix mail klijent izvršava naredbe.

Još jedan napad na privatnost korisnika, ali ne i na sigurnosni sistem, je upotreba tzv Web Greške koje mogu obavijestiti praćenje mjestu kada i gdje dati e-mail poruke se čita.


Aktivni sadržaj napada, a.k.a. napadi pretraživača, aktivni HTML napadi ili scripting napada

Ovi napadi su usmjereni na ljude koji koriste web preglednika ili HTML-omogućen e-mail klijent za čitanje e-pošti, koji ovih dana je vrlo veliki dio računarstva zajednice. Tipično ovih napada pokušavaju koristiti skriptiranje značajke HTML ili klijenta e-pošte (obično JavaScript ili VBScript) da preuzme privatnih informacija iz kompjutera žrtve ili da se izvrši kod na računalu žrtve bez pristanka žrtve (a možda i bez znanja žrtve) .
Manje opasna oblici ovih napada može automatski uzrokovati računar primaoca da prikažete neki sadržaj napadač želje, kao što su automatski otvara web stranice reklame ili pornografije pri otvaranju poruka, ili izvesti napad Denial-of-Service na kompjuteru primatelja kroz kod koji se zamrzava ili ruši browser ili cijelo računalo.

Najjednostavniji način da u potpunosti izbjeći takvi napadi je da ne koristite web browser ili HTML-omogućen e-mail klijent za čitanje e-pošte. Budući da mnogi od tih napada ne zavise od bube u softveru e-mail klijent, oni se ne mogu spriječiti kroz zakrpe na e-mail klijent. Ako koristite web browser ili HTML-svjesni klijent e-pošte, od vas će biti ranjiva na ovakve napade.

Isto tako, kao što neki od tih napada zavisi od klijenta e-pošte u stanju da izvrši HTML-a ne ovisno o slabosti svakog pojedinog operativnog sistema, ovi napadi mogu biti cross-platform. HTML-omogućen klijent e-pošte na Macintosh je jednako ranjiv na aktivne HTML napada e-mail kao HTML omogućen e-mail klijent na Windows ili Unix. U vulnerabilty će se razlikovati od sistema do sistema zasniva se na e-mail klijent, a ne operativni sistem.

Prelazak na ne-HTML-svjesni e-mail klijent nije realna opcija za mnoge ljude. Alternativa je za filtriranje ili mijenjati prekršitelja HTML ili skriptu kod pre e-mail klijent dobiva priliku da ga obradi. To može biti moguće konfigurirati klijenta e-pošte da biste isključili tumačenje pisma koda. Pogledajte svoju programsku dokumentaciju za detalje. Isključivanje skriptiranje u klijentu e-pošte Preporučuje se – ne postoji dobar razlog da podrže scripted e-mail poruka.

korisnici Microsoft Outlook trebali posjetiti ovu stranicu koja opisuje zatezanje dole sigurnosne postavke Outlook-a.

Nedavno je najavio Outlook e-mail crvi su primjer ovog napada. Pogledajte Bugtraqovoj ranjivosti baze podataka za više detalja.

Još jedan način da se brani od napada aktivno-sadržaj je komadate skripta pred mail program ima priliku da ga vidim. To se radi na mail serveru u vrijeme kada je poruka primljena i skladišti u poštanski sandučić korisnika, a u svom najjednostavnijem obliku sastoji od samo mijenjaju <script> oznaka (na primjer) <DEFANGED-script> tagove, što dovodi do mail program da ih ignorisati. Jer postoje mnoga mjesta koja skript naredbe se mogu koristiti u druge tagove, proces defanging je složeniji nego u praksi.


Buffer overflow napada

A buffer je područje memoriju u kojoj je program privremeno pohranjuje podatke koji se obrađuje. Ako je ova regija je unaprijed definiranog, fiksne veličine, a ako program ne poduzeti korake kako bi se osiguralo da podaci uklapa u te veličine, postoji bug: ako više podataka čitaju nego će se uklopiti u tampon, višak će i dalje biti napisan , ali da će produžiti prošlosti kraju tampon, vjerovatno zamjena druga uputstva podataka ili programa.

A buffer overflow napad je pokušaj da se iskoriste ovu slabost slanjem neočekivano dugog niza podataka za program za obradu. Na primjer, u slučaju programa e-pošte, napadač može poslati krivotvorenu Datum: zaglavlje da je dug nekoliko hiljada znakova, u pretpostavci da je program e-mail očekuje samo datum: zaglavlje to je dugo najviše stotinu likova i Doesn ‘ t provjerite dužinu podataka se štedi.

Ovi napadi se mogu koristiti kao Denial-of-Service napada, jer kada memoriji programa bude nasumično prepisani program će uglavnom pasti. Međutim, pažljivo crafting tačan sadržaj onoga što preliva tampon, što je u nekim slučajevima moguće dostaviti program uputstva za kompjuter žrtve da izvrši bez pristanka žrtve. Napadač je mailing program za žrtve, i to će upravljati računalo žrtve bez traženja dozvole žrtve.

Imajte na umu da je to rezultat bug u programu pod napadom. A pravilno napisana klijent e-pošte neće dozvoliti slučajne strancima za pokretanje programa na vašem računalu bez vašeg pristanka. Programi podliježu buffer overflow su pogrešno napisana i moraju se zakrpati da trajno ispraviti problem.

Prekoračenja buffera u poštu programa javljaju u rukovanju poruke zaglavlja i zaglavlja prilog, što je informacija e-mail klijent treba da obradi kako bi se zna detalje o poruci i šta da radi s njim. Tekst u tijelu poruke, koja se jednostavno prikazuju na ekranu i koji se očekuje da će biti velike količine teksta, se ne koristi kao sredstvo za buffer overflow napada.

Nedavno je najavio preljevom bugova u programu Outlook, Outlook Express i Netscape Mail su uzorci ove. Zakrpe za Outlook su dostupni putem sigurnost lokaciji Microsoft.

Poruke zaglavlja i zaglavlja vezanost može biti Pred procesirani od mail servera da ograniči svoje dužine do sigurne vrijednosti. Tako ćete spriječiti da se koristi za napad na e-mail klijent.

Varijacija na napad buffer overflow je izostaviti informacije gdje se program očekuje da nađem. Na primjer, Microsoft Exchange reagira loše kad se od nje traži da obradi MIME vezanost zaglavlja koja su izričito prazna – na primjer, filename = “”. Ovaj napad se može koristiti samo da odbije uslugu.


Trojanski konj napada

Trojanski konj je maliciozni program koji maskira kao nešto benigno, u pokušaju da dobije neoprezne korisnik da biste ga pokrenuli.

Ovi napadi se obično koriste da povredi sigurnosti dobivanje pouzdanih korisnika da pokrenete program koji daje pristup nepouzdanom korisniku (na primjer, postavljanjem daljinski pristup back softver vrata), ili da dovede do oštećenja kao što pokušaju da izbriše sve datoteka na tvrdom disku žrtve. Trojanski konji mogu djelovati za krađu informacija ili resursa ili implementirati distribuirani napad, kao što je u distribuciji programa koji pokušava da ukrade lozinke ili druge sigurnosne informacije, ili može biti program “samo-razmnožavanje” koja se oko (a “crv” mailove ), kao i mailbombs meta ili briše datoteke (crv sa stavom :).

“I Love You” crv je odličan primjer napada Trojanskog konja: naizgled-bezopasna ljubavno pismo je zapravo program samoprenosiva.

Za ovaj napad uspjeti žrtva mora preduzeti mere za pokretanje programa koji su dobili. Napadač može koristiti razne “socijalnog inženjeringa” metode uvjeriti žrtvu da biste pokrenuli program; na primjer, program može biti maskiran kao ljubavno pismo ili liste šala, sa filename posebno izgrađenim iskoristiti Windows ‘sklonost za skrivanje važne informacije od korisnika.

Većina ljudi zna da je .txt se koristi da označi da sadržaj datoteke su samo običan tekst, za razliku od programa, ali Windows ‘default konfiguracija je da se sakrije filename ekstenzije od korisnika, tako da je u Popis direktorija datoteku pod nazivom tekstualne datoteke .txt će se pojaviti samo kao “tekstualne datoteke” (kako bi izbjeglo zbunjivanje korisnik?).

Napadač može iskoristiti ovu kombinaciju stvari slanjem u prilogu pod nazivom “attack.txt.exe” – Windows će uslužno sakriti .exe ekstenzijom, što se pojavljuju u prilogu kao benigni tekstualnu datoteku pod nazivom “attack.txt” umjesto programa. Međutim, ako korisnik zaboravi da je Windows krije stvarni Ekstenzija datoteke i dvaput klikne na prilogu, Windows će koristiti puni naziv datoteke da odluči šta da radim, a od .exe pokazuje izvršni program, Windows pokreće prilog. Blam! Ti vlasništvu.

Tipična kombinacija očigledno-benigne i opasno izvršne ekstenzije su:

  • xxx.TXT.VBS – izvršnu skriptu (Visual Basic skripte) maskirana kao tekstualnu datoteku
  • xxx.JPG.SCR – izvršni program (screen saver) maskirana kao sliku
  • xxx.MPG.DLL – izvršni program (dinamičkih veza knjižnica) maskirana kao video zapis

Ovaj napad može se izbjeći jednostavnim ne pokrenute programe koje su dobili u e-mail dok su provjereni preko, čak i ako je program izgleda bezopasno, a posebno ako dolazi od nekoga koga ne poznaju dobro i povjerenje.

Duplim klikom na priloge e-pošte je opasna navika.

Do nedavno, jednostavno govoreći “ne dvaput kliknite na priloge” je bilo dovoljno da bude siguran. Nažalost, to više nije slučaj.

Bube u klijent e-pošte ili loš dizajn programa može dopustiti napad poruku automatskog trojanskog konja dodatak bez intervencije korisnika, ili kroz korištenje aktivnih HTML, skriptiranje ili tampon preljevom podviga uključeni u istu poruku kao Trojanski konj prilog ili kombinaciju ovih. Ovo je izuzetno opasan scenario i trenutno je “u divljini” kao samoprenosiva e-mail crv koji ne zahtijeva intervenciju korisnika za infekciju da se dogodi. Možete biti sigurni da to neće biti samo jedan.

U pokušaju da spriječi to, imena izvršnih priloge datoteke može se mijenjati na takav način da je operativni sistem više ne misli da su izvršne (na primjer, mijenjanjem “EXPLOIT.EXE” do “EXPLOIT.DEFANGED-EXE”) . To će prisiliti korisnika da sačuva i preimenovali datoteku prije nego što se može izvršiti (dajući im priliku da razmisle o tome da li treba da se izvrši, i daju svoj antivirusni softver priliku da ispita prilogu prije nego što počne radi), a smanjuje mogućnost da drugi exploit u istom poruka će biti u stanju da automatski pronaći i izvršiti program Trojanski konj (jer ime je promijenjeno).

Osim toga, za poznate trojanski konj programe format sam po sebi vezanost može biti unakažena na takav način da je e-mail klijent više ne vidi u prilogu kao prilog. To će prisiliti korisnika da se obratite tehničkoj podršci da preuzmete prilog, a daje administrator sistema priliku da ga ispita.

Unmangling je osakaćen vezanost je prilično jednostavan za administratora. U komadanja prilogu originalni MIME prilog zaglavlju se pomiče dolje i napad upozorenje zaglavlje vezanost je umetnuta. Nema informacija se briše.

Ovdje je popis nedavnih trojanskog konja izvršne i dokumenata, prikupljene iz bugtraq i Usenet news upozorenja i antivirusnog softvera savjeti:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

Naravno, crv autori su sada, koje namjerava i imenovanja priloge nasumično, što dovodi do zaključka da su svi .exe datoteke treba biti blokiran.

Još jedan kanal za Trojanski konj napada je preko datoteke podataka za program koji pruža makro (programiranje) jezika, na primjer, moderna high-powered obradu teksta, proračunske tablice i alate korisnik baze podataka.

Ako ne možete jednostavno odbaciti priloge koji možete staviti na rizik, preporučuje se da instalirate antivirusni softver (koji otkriva i onemogućava makro-jezik trojanski konji) i da ste uvijek otvoreni priloge datoteke podataka u programu je “automatski ne izvršavaju makroi “modu (na primjer, držeći pritisnutu tipku [Shift] kada dvaput kliknete prilogu).

Također: Ako je administrator sistema (ili neko tvrdi da je svoj sistem administrator) e-pošti koju program i tražiti da ga pokrenuti, odmah postati vrlo sumnjivo i provjerite porijeklo e-mail kontaktiranjem administratora direktno na neki drugi od e-mail sredstvima. Ako dobijete prilog tvrdi da je alat za ažuriranje operativnog sistema ili antivirusnog, ne rade to proizvođači. Operativni sustav nikada dostaviti ažuriranja putem e-pošte, a antivirusni alati su dostupni na web stranicama na antivirusnog softvera.


Skriptu napada

Mnogi programi koji rade pod Unix i sličnim operativni sistemi podržavaju mogućnost da se ugradi kratak shell skripte (sekvence naredbi slična batch datoteke u DOS-u) u svojim konfiguracijskim datotekama. To je uobičajeni način da se dozvoli fleksibilno proširenje svojih mogućnosti.

Neki programi mail obrade nepropisno produžiti podršku za ugrađene naredbe ljuske na poruke koje se obrađuje. Generalno ova mogućnost uključena je greškom, pozivom shell skripta preuzet iz konfiguracijske datoteke za obradu teksta pojedinih zaglavlja. Ako se posebno formatiran zaglavlje i sadrži naredbe ljuske, moguće je da će se oni shell naredbi se izvršava kao dobro. To se može spriječiti program skenira tekst u zaglavlju za posebne formatiranje i mijenja da formatiranje prije nego što se prenosi da je granata na dalju obradu.

S obzirom da je formatiranje potrebno da ugradite skriptu u zaglavlju e-pošte je prilično poseban, to je prilično lako otkriti i mijenjati.


Web bug napada privatnost

HTML e-mail poruke mogu se odnositi na sadržaj koji nije zapravo u poruci, baš kao i web stranice mogu se odnositi na sadržaj koji nije zapravo na web stranici hosting stranice. To se može često može vidjeti u banner oglasa – stranica na http://www.geocities.com/ mogu uključivati ​​transparent oglas koji se preuzimaju sa servera na http://ads.example.com/ – kada se stranice donosi , web preglednika automatski kontakata web servera na http://ads.example.com/ i preuzima banner ad sliku. Ovo pronalaženje datoteka se evidentira u dnevnicima servera na http://ads.example.com/, dajući put je preuzeta, a mrežnu adresu računala preuzimanja sliku.

Primjenom ovog HTML-mail uključuje stavljanje referentne slike u tijelu poruke e-pošte. Kada program mail dohvaća datoteku slike kao dio prikazivanja poruke mail korisnika, web server prijavljuje vremena i adrese mreže zahtjeva. Ako slika ima jedinstveni datoteke, moguće je precizno utvrditi koje poruke e-pošte generira zahtjev. Tipično je slika nešto što neće biti vidljiva primatelju poruke, na primjer sliku koja se sastoji od samo jedne transparentne piksela, stoga termin Web Bug – to je, na kraju krajeva, treba da bude “tajnog nadzora.”

Također je moguće koristiti zvučne pozadine oznaku da se postigne isti rezultat.

Većina mail klijenti ne može biti konfiguriran da ignorišu ove oznake, tako da je jedini način da se spriječi ovo njuškanje je komadate slika i zvuk referentne oznake na mail server.


Autor se može kontaktirati na <[email protected]> – mogli posjetiti i moj dom stranici.


Najbolje su sa bilo koji browser

$ Id: Sanitizer-threats.html, v 1.37 2017/04/14 11: 44: 55-07 jhardin Exp jhardin $
Sadržaj Autorsko pravo (C) 1998-2017 John D. Hardin – Sva prava pridržana.

Leave a Reply

Your email address will not be published. Required fields are marked *