Sähköpostin turvallisuuden parantaminen Procmaililla: uhkat, hyökkäykset ja hyökkäykset

0

Source: http://www.impsec.org/email-tools/sanitizer-threats.html

Sähköpostiperusteiset hyökkäykset

Sähköisen postin kautta voidaan suorittaa neljä tyyppistä verkon turvallisuutta koskevia hyökkäyksiä:

  • Aktiivisen sisällön iskuja, jotka hyödyntävät erilaisia ​​aktiivisia HTML- ja skriptiominaisuuksia ja virheitä.
  • Puskurin ylivuoto-hyökkäykset, joissa hyökkääjä lähettää jotain, joka on liian suuri sopivaksi kiinteäksi muistipuskuriksi sähköpostiohjelmassa, toivossa, että osa, joka ei sovi, korvaa kriittiset tiedot sen sijaan, että ne hylättäisiin turvallisesti.
  • Troijan hevoskatkokset, joissa ohjattu ohjelma tai makronkielinen komentosarja, joka antaa pääsyn, aiheuttaa vahinkoa, itsemääräämistä tai muita epätoivottuja asioita on lähetetty uhreille tiedostoon liitetiedostona, joka on merkitty jotain harmittomana, kuten tervehdyskortille tai näytönsäästäjälle , Tai piilotettu uhrin odottamaan, kuten laskentataulukkoon tai asiakirjaan. Tätä kutsutaan myös Social Engineering -hyökkäykseksi, jossa hyökkäyksen tavoitteena on saada uhri avaamaan viestin liitetiedosto.
  • Shell-skripti-iskuja, joissa Unix-komentojonon fragmentti sisältyy viestien otsikoihin toivoen, että väärin määritetty Unix-sähköpostiohjelma suorittaa komennot.

Toinen hyökkäys käyttäjän yksityisyydelle, mutta ei järjestelmän turvallisuutta, on ns. Web-bugien käyttö, joka voi ilmoittaa seuranta-sivustolle, milloin ja missä tietyn sähköpostiviestin lukeminen tapahtuu.

Aktiiviset sisällön hyökkäykset, esimerkiksi selainten hyökkäykset, aktiiviset HTML-hyökkäykset tai komentosarjojen hyökkäykset

Nämä hyökkäykset on suunnattu ihmisille, jotka käyttävät verkkoselaimen tai HTML-yhteensopivaa sähköpostiosoitetta lukea heidän sähköpostejaan, jotka nykyään ovat erittäin suuri osa tietojenkäsittelyyhteisöä. Tyypillisesti nämä hyökkäykset yrittävät käyttää HTML: n tai sähköpostiohjelman (tyypillisesti Javascriptin tai VBScript: n) scripting-ominaisuuksia hakeakseen yksityisiä tietoja uhrin tietokoneelta tai suorittamaan koodin uhrin tietokoneella ilman uhrin suostumusta (ja mahdollisesti ilman uhrin tietämystä) .

Näiden hyökkäysten vähemmän vaaralliset muodot voivat automaattisesti aiheuttaa vastaanottajan tietokoneelle jonkin sisällön, jonka hyökkääjä haluaa, kuten avaamalla mainos- tai pornografian web-sivun automaattisesti, kun viesti avataan tai suorittamaan Denial-of-Service-hyökkäyksen vastaanottajan tietokoneella Koodi, joka jumittaa tai kaatuu selaimen tai koko tietokoneen.

Yksinkertaisin tapa välttää täysin tällaiset hyökkäykset on olla käyttämättä verkkoselaimen tai HTML-yhteensopivaa sähköpostiosoitetta lukea sähköpostisi. Koska monet näistä hyökkäyksistä eivät ole riippuvaisia ​​sähköpostiohjelmien ohjelmistovirheistä, niitä ei voida estää korjaustiedostojen avulla sähköpostiasiakkaalle. Jos käytät verkkoselainta tai HTML-tajuista sähköpostiosoitetta, olet altis tällaisille hyökkäyksille.

Koska jotkut näistä hyökkäyksistä riippuvat siitä, että sähköpostiohjelma pystyy suorittamaan komentosarjan HTML: n sen sijaan, että tietyn käyttöjärjestelmän heikkoudet riippuvat, nämä hyökkäykset voivat olla ristikkäisillä alustoilla. HTML-yhteensopiva sähköpostiohjelma Macintoshissa on yhtä haavoittuva kuin aktiivisen HTML-sähköpostin hyökkäykset kuin HTML-yhteensopiva sähköpostiohjelma Windowsissa tai Unixissa. Haavoittuvuus vaihtelee järjestelmästä toiseen, joka perustuu sähköpostiasiakkaaseen eikä käyttöjärjestelmään.

Vaihtaminen muuhun kuin HTML-yhteensopivaan sähköpostiasiakkaaseen ei ole realistinen vaihtoehto monille ihmisille. Vaihtoehtona on suodattaa tai muokata rikkovan HTML- tai kirjoituskoodin ennen kuin sähköpostiasiakkaalle annetaan mahdollisuus käsitellä sitä. Voi myös olla mahdollista määrittää sähköpostiohjelmasi komentojen koodin tulkinnan poistamiseksi käytöstä. Katso lisätietoja ohjelman dokumentaatiosta. Skriptien poistaminen sähköpostiohjelmistosta on suositeltavaa – ei ole hyvä syy tukea komentosarjoja.

Microsoft Outlook -käyttäjien tulisi vierailla sivulla, jossa kuvataan Outlookin suojausasetusten tiukentaminen.

Viime aikoina ilmoitetut Outlook-sähköposti-matoja ovat esimerkki tästä hyökkäyksestä. Katso lisätietoja Bugtraq-heikkoustietokannasta.

Toinen tapa puolustaa aktiivisen sisällön iskuista on hallita komentosarjoja ennen kuin sähköpostiohjelmalla on mahdollisuus nähdä se. Tämä tapahtuu postipalvelimella, kun viesti vastaanotetaan ja tallennetaan käyttäjän postilaatikkoon, ja sen yksinkertaisimmassa muodossa on pelkkä muutos <SCRIPT> -tunnisteiden (esim.) <DEFANGED-SCRIPT> tunnisteisiin, mikä aiheuttaa Sähköpostin ohjelmaa ohittamaan ne. Koska on olemassa monia paikkoja, joita scripting-komentoja voidaan käyttää muiden tunnisteiden sisällä, defraging -prosessi on käytännössä monimutkaisempi kuin tämä.

Puskurin ylivuoto-hyökkäykset

Puskuri on muistin alue, jossa ohjelma tallentaa tilapäisesti tietoja, joita se käsittelee. Jos tämä alue on ennalta määritetty ja kiinteä koko ja jos ohjelma ei toteuta toimenpiteitä sen varmistamiseksi, että tiedot sopivat kyseiseen kokoon, on vika: jos tietoja luetaan enemmän kuin ne sopivat puskurissa, ylitys on edelleen kirjoitettu , Mutta se ulottuu puskurin loppupuolella, todennäköisesti korvaamalla muut tiedot tai ohjelmatiedot.

Puskurin ylivuoto-hyökkäys on yritys yrittää hyödyntää tätä heikkoutta lähettämällä ohjelman odottamattoman pitkä merkkijono ohjelman käsittelemiseksi. Esimerkiksi sähköpostisovelluksen tapauksessa hyökkääjä voi lähettää väärennetyn päivämäärän: otsikko, joka on useita tuhansia merkkiä pitkä, sillä oletuksella, että sähköpostiohjelma odottaa vain päivämäärää: otsaketta, joka on korkeintaan sata merkkiä pitkä ja ei ” T tarkista tallennettavan datan pituus.

Näitä hyökkäyksiä voidaan käyttää Denial-of-Service-hyökkäyksinä, koska kun ohjelman muisti satunnaisesti korvataan, ohjelma yleensä kaatuu. Kuitenkin käsittelemällä huolellisesti puskurin ylivuoto tarkka sisältö on joissakin tapauksissa mahdollista toimittaa uhrin tietokoneen ohjelmaa koskevat ohjeet suorittamaan ilman uhrin suostumusta. Hyökkääjä lähettää ohjelman uhreille, ja sitä johtaa uhrin tietokone pyytämättä uhrin lupaa.

Huomaa, että tämä on seurausta hyökkäävän ohjelman virheestä. Oikein kirjoitettu sähköpostiohjelma ei salli satunnaisia ​​vierasryhmiä suorittamaan ohjelmia tietokoneellasi ilman suostumustasi. Puskurin ylivuotoihin kuuluvat ohjelmat kirjoitetaan virheellisesti ja ne on korjattava pysyvästi korjaamaan ongelma.

Postiohjelmien ylivuotoja käsitellään viestien otsikoiden ja liitetiedostojen käsittelemisessä. Tämä on informaatiota, jota sähköpostiasiakkaan on käsiteltävä tiedottaakseen viestin yksityiskohdista ja mitä tehdä sen kanssa. Tekstin tekstiä, joka näkyy vain näytöllä ja jonka uskotaan olevan suuri määrä tekstiä, ei käytetä puskurin ylivuoto-hyökkäysten ajoneuvoina.

Outlook, Outlook Express ja Netscape Mail ovat äskettäin ilmoittaneet ylivuotovirheen esimerkkejä tästä. Outlookin korjaustiedostot ovat saatavilla Microsoftin tietoturva-sivuston kautta.

Postin palvelin voi esikäsitellä viestien otsikot ja liitetiedostot rajoittamaan niiden pituudet turvallisiin arvoihin. Tämä estää käyttäjiä hyökkäämään sähköpostiasiakkaaseen.

Puskurin ylivuoto-hyökkäyksen muunnelma on jättää tietoja, joissa ohjelma odottaa löytävänsä. Esimerkiksi Microsoft Exchange reagoi huonosti, kun sitä pyydetään käsittelemään MIME-liitetiedostoja, jotka ovat nimenomaisesti tyhjiä – esimerkiksi filename = “”. Tätä hyökkäystä voidaan käyttää vain palvelun hylkäämiseen.

Troijalaiset hyökkäykset

Troijan hevonen on haittaohjelma, joka masquerades kuin jotain hyväntahtoista yrittää saada epävarma käyttäjä suorittaa sen.

Näitä hyökkäyksiä käytetään tavallisesti tietoturvan loukkaamiseen ottamalla luotettu käyttäjä ohjelmaan, joka sallii epäluottamattomalle käyttäjälle pääsyn (esimerkiksi asentamalla kauko-ohjattavien takaoven ohjelmiston) tai vahingoittaa esimerkiksi pyrkimystä poistaa kaikki Tiedostoja uhrin kiintolevylle. Troijan hevoset voivat toimia tietojen tai resurssien varastamiseksi tai hajautetun hyökkäyksen toteuttamiseksi esimerkiksi jakamalla ohjelmaa, joka yrittää varastaa salasanat tai muut tietoturvatiedot, tai se voi olla itselähetysohjelma, joka lähettää itselleen sähköpostiviestejä (“mato” ) Ja myös postittaa tavoite tai poistaa tiedostoja (mato, jolla asenne :).

“Minä rakastan” -mato on erinomainen esimerkki troijalaisen hyökkäyksestä: näennäisesti harmittomasta rakkauskirjeestä oli itsepainuva ohjelma.

Jotta tämä hyökkäys onnistuisi, uhrin on ryhdyttävä toimiin ohjelmaan, jonka he ovat saaneet. Hyökkääjä voi käyttää erilaisia ​​”social engineering” -menetelmiä vakuuttaakseen uhrin suorittavan ohjelman; Esimerkiksi ohjelma voi olla naamioituna rakkauskirjeenä tai vitsi-luettelona, ​​jonka tiedostonimi on erityisesti suunniteltu hyödyntämään Windowsin taipumusta piilottaa tärkeät tiedot käyttäjältä.

Useimmat ihmiset tietävät, että .txt-laajennetta käytetään osoittamaan, että tiedoston sisältö on pelkkää tekstiä, toisin kuin ohjelma, mutta Windowsin oletusasetuksena on piilottaa tiedostonimiä koskevia laajennuksia käyttäjältä, joten hakemistossa, joka sisältää tiedostoa nimeltä textfile .txt tulee näkyviin vain “textfile” (jotta käyttäjä ei sekaisi).

Hyökkääjä voi hyödyntää tätä yhdistelmää lähettämällä liitteen nimeltään “attack.txt.exe”. – Windows kätkee kätevästi .exe-laajennuksen, jolloin liite näyttää hyvältä tekstitiedostolta nimeltä “attack.txt” sen sijaan, että ohjelma. Jos käyttäjä kuitenkin unohtaa, että Windows piilottaa varsinaisen tiedostonimen laajennuksen ja kaksoisnapsautuu liitetiedostoon, Windows käyttää koko tiedostonimeä päättäessään mitä tehdä, ja koska .exe osoittaa suoritettavaa ohjelmaa, Windows suorittaa liitteen. Blam! Olet omistuksessa.

Tyypilliset ilmeisen hyvänlaatuisen ja vaarallisesti suoritettavan laajennuksen yhdistelmät ovat:

  • xxx.TXT.VBS – executable script (Visual Basic -komento), joka kopioi tekstitiedoston
  • xxx.JPG.SCR – suoritettava ohjelma (näytönsäästäjä), joka kopioi kuvatiedoston
  • xxx.MPG.DLL – suoritettava ohjelma (dynaaminen linkkikirjasto), joka kopioi elokuvan

Tämä hyökkäys voidaan välttää yksinkertaisesti, kun ei ole käynnissä ohjelmia, jotka on vastaanotettu sähköpostissa, kunnes ne on tarkistettu yli, vaikka ohjelma näyttää olevan vaaratonta ja varsinkin jos se tulee joku, jota et tiedä hyvin ja luottaa.

Kaksoisnapsauttaminen sähköpostin liitteisiin on vaarallinen tapa.

Vielä äskettäin yksinkertaisesti sanomalla “Älä klikkaa liitetiedostoja kaksoisnapsauttamalla” riitti, jotta se olisi turvallinen. Valitettavasti näin ei enää ole.

Sähköpostiohjelmassa olevat virheet tai huono ohjelmasuunnittelu saattavat sallia, että hyökkäysviesti suorittaa Trojan hevonen -liittymä ilman käyttäjän toimia joko käyttämällä samaan viestiin sisältyvää aktiivista HTML-koodia, komentosarjoja tai puskurin ylivuoto-ominaisuuksia, kuten Troijan hevosen liitetiedosto tai Näiden yhdistelmä. Tämä on äärimmäisen vaarallinen skenaario, ja se on tällä hetkellä “luonnossa” itsetäyttävänä sähköpostimatoina, joka ei vaadi käyttäjän puuttumista infektioon. Voit olla varma, että se ei ole ainoa.

Yritettäessä estää tämän suoritettavien tiedostojen liitetiedostojen nimet voidaan muuttaa siten, että käyttöjärjestelmä ei enää usko, että ne ovat suoritettavia (esimerkiksi vaihtamalla “EXPLOIT.EXE” EXPLOIT.DEFANGED-EXE: ksi) . Tämä pakottaa käyttäjän tallentamaan ja nimeämään tiedoston uudelleen ennen kuin se voidaan suorittaa (antaa heille mahdollisuuden miettiä, pitäisikö sen suorittaa ja antaa virustentorjuntaohjelmistolle mahdollisuus tarkastella liitetiedostoa ennen kuin se käynnistyy), ja se vähentää Mahdollisuus, että samassa viestissä olevat muut hyödyt pystyvät löytämään ja suorittamaan Troijan hevonen -ohjelman automaattisesti (koska nimeä on muutettu).

Lisäksi tunnettuihin Troijan hevosohjelmiin itse liitetiedostomuoto voidaan torjua siten, että sähköpostiohjelma ei enää näe liitetiedostoa liitetiedostona. Tämä pakottaa käyttäjän ottamaan yhteyttä tekniseen tukeen hakeakseen liitetiedoston ja antaa järjestelmänvalvojalle mahdollisuuden tarkastella sitä.

Järjestelmänvalvojalle on melko suoraviivainen hajautetun liitetiedon poistaminen. Liitteen kiinnittämisessä alkuperäisen MIME-liitetiedoston otsikkoa siirretään alas ja hyökkäysvaroituksen liitetiedosto asetetaan. Tietoja ei ole poistettu.

Tässä on luettelo viimeisimmistä Troijan hevosohjelmista ja -dokumentteista, jotka on kerätty bugtraq- ja Usenet-uutisryhmän varoituksista ja virustentorjunnan toimittajista:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

Tietenkin, mato kirjoittajat ovat nyt laajentamassa ja nimeämällä liitetiedostot satunnaisesti, mikä johtaa päätelmään, että kaikki .EXE-tiedostot olisi estettävä.

Toinen kanava Troijalaisia ​​hyökkäyksiä varten on ohjelmaa varten, joka tarjoaa makro (ohjelmointi) -kielen, esimerkiksi modernit suuritehoiset tekstinkäsittelyohjelmat, laskentataulukot ja käyttäjätietokannan työkalut.

Jos et voi yksinkertaisesti hävittää liitteitä, jotka saattavat vaarantaa tietokoneesi, on suositeltavaa asentaa virustorjuntaohjelmisto (joka havaitsee ja estää makrotason troijalaiset) ja että avaat aina tiedostojen liitetiedostot ohjelman “ei suorita automaattisesti Makrot “-tilassa (esimerkiksi pitämällä [SHIFT] -näppäintä painettuna, kun kaksoisnapsautat liitetiedostoa).

Lisäksi: jos järjestelmänvalvoja (tai joku, joka haluaa olla järjestelmänvalvoja) lähettää sinulle sähköpostiviestin ja pyytää sinua suorittamaan sen, tulee välittömästi erittäin epäilyttävä ja tarkista sähköpostin alkulähde ottamalla yhteyttä järjestelmänvalvojaasi suoraan muulla tavoin kuin sähköpostilla. Jos saat liitetiedoston, joka väittää olevan käyttöjärjestelmän päivitys tai virustentorjuntaohjelma, älä suorita sitä. Käyttöjärjestelmän toimittajat eivät koskaan lähetä päivityksiä sähköpostin välityksellä, ja virustentorjuntavälineet ovat helposti saatavilla virustentorjunnan verkkosivustoilla.

Shell-komentosarjan hyökkäykset

Monet Unixin ja vastaavien käyttöjärjestelmien välityksellä käynnissä olevat ohjelmat tukevat kykyä upottaa lyhyet komentosarjat (komentoja, jotka ovat samanlaisia ​​kuin DOS: n erätiedostoja) niiden asetustiedostoissa. Tämä on yhteinen tapa mahdollistaa joustavien valmiuksien laajentaminen.

Jotkin postinkäsittelyohjelmat pidentävät väärin ulotettuja komentojonoja tukevia tukitoimia käsiteltäviin viesteihin. Yleensä tämä ominaisuus sisältyy virheellisesti kutsumalla konfigurointitiedostosta otetun komentosarjan käsittelemään joidenkin otsakkeiden tekstiä. Jos otsikko on erikoisesti muotoiltu ja sisältää komentosarjoja, on mahdollista, että nämä komentotulkit saadaan myös suoritetuksi. Tämän voi estää ohjelma, joka skannaa otsikkotekstin erityisestä muotoilusta ja muuttaa tätä muotoilua ennen kuin se siirtyy kuorelle jatkokäsittelyä varten.

Koska kuori komentosarjan upottamiseen tarvittava muotoilu on varsin erikoinen, se on melko helppo havaita ja muuttaa.

Web-bugi-tietosuojahyökkäykset

HTML-sähköpostiviesti voi viitata sisältöön, joka ei ole varsinaisesti sanoman sisällä, aivan kuten web-sivu voi viitata sisältöön, joka ei ole tosiasiallisesti verkkosivuilla, joka ylläpitää sivua. Tämä näkyy tavallisesti bannerimainoksissa – http://www.geocities.com/ -sivustossa voi olla bannerimainos, joka haetaan palvelimelta osoitteessa http://ads.example.com/ – kun sivu on tehty , Web-selain ottaa automaattisesti yhteyttä web-palvelimeen osoitteessa http://ads.example.com/ ja hakee bannerimainoksen. Tiedoston haku tallennetaan palvelimen lokeihin osoitteessa http://ads.example.com/, jolloin haettu aika on, ja tietokoneen verkko-osoite, joka hakee kuvan.

Hakemuksen lähettäminen HTML-sähköpostiosoitteeseen edellyttää kuvasignaalin lähettämistä sähköpostiviestissä. Kun postiohjelma hakee kuvatiedoston osana viestin näyttämistä käyttäjälle, verkkopalvelin kirjaa pyynnön ajan ja verkko-osoitteen. Jos kuvassa on ainutlaatuinen tiedostonimi, on mahdollista määrittää täsmällisesti, mikä sähköpostiviesti synnytti pyynnön. Tyypillisesti kuva on jotain, joka ei näy viestin vastaanottajalle, esimerkiksi kuvasta, joka koostuu vain yhdestä läpinäkyvästä pikselistä, joten termi “Web Bugi” – loppujen lopuksi on tarkoitus olla “peiteton valvonta”.

Voit myös käyttää taustaäänitunnistetta saman tuloksen saavuttamiseksi.

Useimpiin sähköpostiasiakkaita ei voi määrittää ottamatta näitä tunnisteita huomioon, joten ainoa tapa estää tämä tähystys on hallita kuvan ja äänen viitetunnisteita sähköpostipalvelimella.

Tekijä voi ottaa yhteyttä osoitteeseen <jhardin@impsec.org> – voit myös käydä hänen kotisivullansa.

Paras katseltu minkä tahansa selaimen avulla

$ Id: sanitizer-threats.html, v 1.37 2017-04-14 11: 44: 55-07 jhardin Exp jhardin $
Sisältö Copyright (C) 1998-2017 John D. Hardin – Kaikki oikeudet pidätetään. Käännös kannustetaan, ilmoittakaa minulle, jotta voin lisätä linkkejä.

Comments are closed, but trackbacks and pingbacks are open.