Posílení zabezpečení e-mailu s Procmail: Hrozby, exploity a útoky

Source page: http://www.impsec.org/email-tools/sanitizer-threats.html

E-mailových útoků

Existují čtyři typy útoků na zabezpečení systému, které mohou být prováděny prostřednictvím elektronické pošty:

  • Aktivní obsah útoků, které využívají různých aktivních HTML a skriptovacích funkcí a chyb.
  • Přetečení zásobníku útoky, kde je útočník pošle něco, co je příliš velký, aby se vešly do vyrovnávací paměti pevné velikosti v e-mailového klienta, v naději, že ta část, která se nevejde přepíše důležité informace, spíše než být bezpečně zlikvidovat.
  • Trojský kůň útoky, kde spustitelný program nebo makro-skriptovací jazyk, který umožňuje přístup, způsobí škodu, self-šíří nebo má jiné nežádoucí věci je zaslán na oběti jako přílohu soubor s označením jako něco neškodný, jako blahopřání nebo spořič obrazovky nebo skrytý v něčem oběť očekává, jako jsou tabulky nebo dokumentu. To se také nazývá sociální inženýrství útoku, kde cílem útoku je přesvědčit oběť k otevření přílohy zprávy.
  • Shell Script útoky, kde je fragment shell skript Unix zahrnuté v záhlaví zprávy v naději, že nesprávně nakonfigurovaný e-mailového klienta Unix bude spouštět příkazy.

Další útok na soukromí uživatele, ale ne na bezpečnost systému, je použití takzvaných webových chyb, které mohou oznámit stránky sledování, kdy a kde je daná e-mailová zpráva je číst.


Aktivní obsah Útoky, alias prohlížeče útoků, Aktivní HTML útoky nebo útoky prostřednictvím skriptování

Tyto útoky jsou zaměřeny na lidi, kteří používají webový prohlížeč nebo e-mailový klient s podporou HTML povoleno číst své e-maily, které v těchto dnech je velmi velká část počítačovou komunitu. Typicky tyto útoky pokusí použít funkce skriptovacích HTML nebo na e-mailového klienta (obvykle Javascript nebo VBScript) pro získání soukromých informací z počítače oběti nebo spouštět kód na počítači oběti bez souhlasu oběti (a možná i bez vědomí oběti) ,
Méně nebezpečné formy těchto útoků mohou automaticky způsobit počítač příjemce zobrazit nějaký obsah útočník přání, jako je například automatické otevírání reklamní nebo pornografie webové stránky při otevření zprávy, nebo provést denial of service v počítači příjemce prostřednictvím kód, který zmrazí nebo zhroucení prohlížeče nebo celý počítač.

Nejjednodušší způsob, jak zcela vyhnout se takovým útokům je nepoužívat webový prohlížeč nebo e-mailový klient s podporou HTML povoleno na čtení e-mailů. Protože mnoho z těchto útoků nejsou závislé na chyby v softwaru e-mailového klienta, které nelze zabránit pomocí záplat pro e-mailového klienta. Máte-li používat webový prohlížeč nebo e-mailový klient s podporou HTML vědomi, budete náchylnější k těmto druhům útoků.

Také, jak se někteří z těchto útoků jsou závislé na e-mailový klient je schopen vykonat skriptované HTML, spíše než v závislosti na slabiny konkrétního operačního systému, jsou tyto útoky mohou být cross-platform. HTML povoleno e-mailového klienta na počítači Macintosh je stejně náchylná k aktivním HTML e-mailových útoků jako e-mailový klient s podporou HTML v systému Windows nebo Unix. Vulnerabilty se bude lišit od systému založeného na e-mailového klienta, nikoli operačním systémem.

Přechod na non-HTML vědomi e-mailový klient není realistickou možností pro mnoho lidí. Alternativou je odfiltrovat nebo změnit problematický HTML nebo kód skriptu, než e-mailový klient dostane šanci ji zpracovat. Může být také možné nastavit e-mailový klient pro vypnutí interpretaci kódu skriptu. Najdete v dokumentaci programu pro podrobnosti. Vypnutí skriptování v e-mailovém klientu se důrazně doporučuje – není tam žádný dobrý důvod pro podporu podle scénáře e-mailových zpráv.

Uživatelé Microsoft Outlook by měl navštívit tuto stránku, která popisuje zpřísnění dolů nastavení zabezpečení aplikace Outlook.

Nedávno oznámil, Outlook E-mailoví červi jsou příkladem tohoto útoku. Viz databázi bugtraq zranitelnosti pro více informací.

Dalším způsobem, jak se bránit proti útokům aktivní obsah je mandl skriptování před mailový program má šanci to vidět. To se provádí na poštovním serveru v době, kdy je zpráva přijímána a ukládána v poštovní schránce uživatele, a ve své nejjednodušší podobě se skládá z pouze změnou všechny tagy <script> se (například) <DEFANGED-script> značky, které způsobí mailový program ignorovat. Vzhledem k tomu, existuje mnoho míst, které skriptovací příkazy mohou být použity v rámci jiných značek, proces defanging je mnohem komplikovanější, než to v praxi.


Útoky přetečením vyrovnávací paměti

Vyrovnávací paměť je oblast paměti, kde byl zaveden program dočasně ukládá data, která se zpracovává. Pokud tento region má předem definovanou, pevnou velikostí, a pokud program nepřijme opatření, aby zajistil, že údaje zapadá do takové velikosti, že je chyba: je-li více dat je číst, než se vejde do paměti, přebytek bude i nadále být psán , ale bude přesahovat konec vyrovnávací paměti, pravděpodobně nahradí jiné datové či programové instrukce.

Útoky přetečením vyrovnávací paměti je pokusem využít této slabosti zasláním nečekaně dlouhý řetězec dat do programu pro zpracování. Například v případě, že e-mailový program, útočník by mohl poslat kované Datum: hlavičku, která je několik tisíc znaků, v předpokladu, že e-mailový program očekává pouze Datum: záhlaví, které je nanejvýš sto znaků dlouhé a doesn‘ t zjistit délku dat je úspora.

Tyto útoky mohou být použity jako Denial-of-Service útoku, protože když paměti program se dostane náhodně přepsány program bude obecně selhání. Avšak tím, že pečlivě tvorbě přesný obsah toho, co přeteče vyrovnávací paměti, je v některých případech možné dodávat programové instrukce pro počítač oběti vykonat bez souhlasu oběti. Útočník je poštovní program pro oběti, a bude řízen počítačem oběti, aniž by požádal o svolení oběti.

Všimněte si, že toto je výsledek chyby v programu pod útokem. Správně napsaný e-mailový klient neumožní náhodné cizinci spouštět programy v počítači bez vašeho souhlasu. Programy podléhají přetečení zásobníku jsou nesprávně písemné a musí být oprava pro trvalé odstranění problému.

Přetečení zásobníku v e-mailových programů nastat při manipulaci s záhlaví zprávy a přílohy záhlaví, což je informace o e-mailový klient potřebuje ke zpracování s cílem zjistit informace o zprávě a co s tím dělat. Text v těle zprávy, které se jednoduše na obrazovce, a která by měla být velké množství textu, není použita jako prostředek pro buffer overflow útoky.

Nedávno oznámil, přetečení chyby v aplikaci Outlook, Outlook Express a Netscape Mail jsou příklady tohoto. Záplaty pro Outlook jsou k dispozici prostřednictvím bezpečnostního serveru.

Záhlaví zprávy a přílohy hlavičky mohou být předem zpracovaný pomocí poštovního serveru omezit jejich délky do bezpečných hodnot. Tím se zabrání jim být použit k útoku na e-mailového klienta.

Variace na útok přetečení vyrovnávací paměti je vynechat informace, pokud je program očekával najít některé z nich. Například Microsoft Exchange špatně reaguje, když je požádán, aby zpracovat MIME příloh hlaviček, které jsou výslovně prázdná – například filename = „“. Tento útok může být použit pouze popřít služby.


Trojský kůň Útoky

Trojský kůň je škodlivý program, který se maskuje jako něco benigní ve snaze získat neopatrného uživatele, aby jej spustit.

Tyto útoky jsou obvykle používány k porušení bezpečnosti tím, že důvěryhodný uživatel spustit program, který umožňuje přístup k nedůvěryhodné uživateli (například tím, že instaluje vzdálený přístup zadní dveře softwaru), nebo způsobit škodu, jako pokoušet se vymazat všechny soubory na pevném disku oběti. Trojské koně mohou působit ukrást informace nebo zdroje nebo implementovat distribuovaný útok, například tím, že distribuuje program, který se snaží ukrást hesla nebo jiných bezpečnostních informací, nebo to může být „self-sadba“ program, který se kolem (a „červ“ maily ) a také mailbombs cíl nebo odstraní soubory (červa s postojem :).

Dále jen „Miluji tě“ červ je vynikajícím příkladem útoku trojského koně: zdánlivě-neškodné milostný dopis byl vlastně self-množit programu.

Z tohoto útoku uspět oběť musí podniknout kroky ke spuštění programu, které jste obdrželi. Útočník může používat různé metody „sociálního inženýrství“ přesvědčit oběť spustit program; Například, může být program se tváří jako milostný dopis nebo seznamu vtip s tím, že název souboru speciálně konstruována tak, aby využít Windows’ náchylnosti ke skrytí důležitých informací od uživatele.

Většina lidí ví, že přípona TXT se používá k označení, že obsah souboru jsou jen prostý text, na rozdíl od programu, ale výchozí nastavení Windows’ je skrýt přípony souboru od uživatele, tak v adresáři výpis souborů s názvem textového souboru .txt se objeví jen jako „textového souboru“ (aby se zabránilo matoucí uživatele?).

Útočník může využít této kombinace věcí zasláním přílohu s názvem „attack.txt.exe“ – Windows bude ochotně skrývat příponu EXE, takže nástavec se zdají být benigní textový soubor s názvem „attack.txt“ namísto program. Nicméně, v případě, že uživatel zapomene, že Windows se skrývá skutečné příponu souboru a poklepání na přílohu, Windows bude používat celý název souboru se rozhodnout, co má dělat, a protože .exe označuje spustitelný program, systém Windows spustí přílohu. Blam! Jste vlastnil.

Typické kombinace zřejmě-benigních a nebezpečně nespustitelných rozšíření jsou:

  • xxx.TXT.VBS – spustitelný skript (Visual Basic script), maskující se jako textový soubor
  • xxx.JPG.SCR – spustitelný program (spořič obrazovky), maskující se jako obrazový soubor
  • xxx.MPG.DLL – spustitelný program (dynamické knihovny), maskující se jako film

Tento útok se lze vyhnout jednoduše tím, že programy, které již byly přijaty v e-mailu, dokud nebudou zkontrolovány, a to iv případě, že program se zdá být neškodné a to zejména v případě, že pochází od někoho, koho dobře neznají a důvěra.

Poklepáním na e-mailových příloh je nebezpečný zvyk.

Až do nedávné doby, prostě říkat „ne poklepáním na příloh“ stačilo, aby se v bezpečí. Bohužel, toto je už ne případ.

Chyby v e-mailového klienta nebo špatné programové konstrukce může umožnit útok zpráva automaticky spustit přílohu trojský kůň bez zásahu uživatele, a to buď prostřednictvím využití aktivního HTML, skriptování nebo přetečení vyrovnávací paměti činy zahrnuté ve stejné zprávě jako přílohu trojský kůň nebo jejich kombinace. To je velmi nebezpečné, scénář a je v současné době „v přírodě“, jak self-množit email červa, který nevyžaduje zásah uživatele nastat infekce. Můžete si být jisti, že to nebude jediný.

Ve snaze zabránit tomu názvy spustitelných souborů příloh může být změněn tak, aby operační systém již myslí, že jsou spustitelný soubor (například změnou „EXPLOIT.EXE“ na „EXPLOIT.DEFANGED-EXE“) , To bude nutit uživatele k uložit a přejmenovat soubor před tím, než může být vykonán (dát jim šanci přemýšlet o tom, zda by měl být proveden, a dává jejich antivirový software, možnost zkoumat přílohu, než se rozběhne), a to snižuje možnost, že jiné činy ve stejné zprávě bude schopen automaticky najít a spustit program trojský kůň (protože jméno bylo změněno).

Kromě toho je u známých programů trojského koně formát připevnění samo o sobě může být rozbitý takovým způsobem, že e-mailový klient již vidí přílohu jako přílohu. To bude nutit uživatele kontaktovat technickou podporu načíst přílohu, a dává správce systému šanci ji zkoumat.

Unmangling si rozbitá nástavec je poměrně jednoduchý pro správce. V mandlování přílohu je původní záhlaví MIME příloha posunul dolů a vložení záhlaví přílohu útok varování. Žádné informace je odstraněn.

Zde je seznam nedávných trojský kůň spustitelné soubory a dokumenty, shromážděných z bugtraq a Usenet diskusní varování a antivirový dodavatele rad:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

Samozřejmě, šnekové autoři jsou nyní wising a pojmenování příloh náhodně, což vede k závěru, že všechny soubory EXE by měl být blokován.

Další kanál pro trojským koněm útoku je přes datový soubor pro program, který poskytuje makro (programovací jazyk), například, moderní procesory s vysokým výkonem slovo, tabulky a databáze uživatelské nástroje.

Pokud nemůžete jednoduše zbavit přílohy, které vás může ohrozit, je vhodné nainstalovat antivirový software (který detekuje a deaktivuje makro-jazyk, trojské koně), a že vždy otevřít přílohy dat souborů v programu je „nemají automaticky spouštět makra“režim (například tím, že podržíte klávesu [SHIFT], kdy poklepáním na přílohu).

Také: pokud váš správce systému (nebo někdo tvrdí, že je správce systému), e-maily, program a žádá, abyste jej spustit ihned stala velmi podezřelé a ověření pravosti e-mailu kontaktovat svého administrátora přímo nějakým jiným než email prostředky. Pokud obdržíte přílohu tvrdí, že je aktualizační operační systém nebo antivirový nástroj, ne jej spustit. Prodejci operační systém nikdy dodávat aktualizace prostřednictvím e-mailu, a antivirové nástroje jsou snadno dostupné u dodavatele antivirového softwaru webových stránek.


Shell Script Útoky

Mnoho programy běžící pod Unixem a podobné operační systémy podporují schopnost vložit krátkých skriptech (sekvence příkazů podobných dávkových souborů pod DOS) ve svých konfiguračních souborech. Jedná se o běžný způsob, jak umožnit pružné rozšíření svých schopností.

Některé programy poštovní zpracování nesprávně rozšířit tuto podporu vložených shell příkazy zprávy jsou zpracování. Obecně se tato schopnost je součástí omylem, tím, že volá skript převzatý z konfiguračního souboru pro zpracování textu některých hlaviček. Pokud záhlaví je speciálně formátované a obsahuje příkazy shellu, je možné, že tyto příkazy shellu dostane popraven stejně. Tomu lze zabránit program skenuje text záhlaví pro speciální formátování a měnící se, že formátování, než bude předán ke stěně k dalšímu zpracování.

Vzhledem k tomu, formátování potřeboval vložit shell skript v hlavičce e-mailu je docela zvláštní, je to poměrně snadno odhalit a změnit.


Web bug útoky na ochranu soukromí

E-mailové zprávy HTML může odkazovat na obsah, který není ve skutečnosti v rámci zprávy, stejně jako webové stránky mohou odkazovat na obsah, který je ve skutečnosti není na internetových stránkách hosting stránky. To může často být viděn v bannerové reklamy – webové stránky na http://www.geocities.com/ může zahrnovat bannerové reklamy, která je načtena ze serveru na http://ads.example.com/ – při vykreslení stránky , webový prohlížeč automaticky kontaktuje webový server na http://ads.example.com/ a načte banner obrázek reklamy. Toto vyhledávání souboru je zaznamenán v protokolech serverů na http://ads.example.com/, dávat čas to byla načtena a síťovou adresu počítače načítání obrazu.

Při použití těchto HTML e-mailu zahrnuje udělání referenčním snímku v těle e-mailové zprávy. Je-li poštovní program načte soubor s obrázkem jako součást zobrazení e-mailové zprávy pro uživatele, webový server zaznamenává čas a síťovou adresu žádosti. V případě, že obraz má jedinečný název, je možné přesně určit, které e-mailové zprávy generované žádosti. Typicky image je něco, co nebude viditelný pro příjemce zprávy, například obraz, který se skládá pouze z jednoho průhledného pixelu, proto termín Web Bug – je to koneckonců má být „skrytý dohled.“

Je také možné použít jako pozadí zvukový záznam k dosažení stejného výsledku.

Většina poštovních klientů nelze nastavit tak, aby tyto značky, takže jediný způsob, jak zabránit tomuto snooping je mandl značky obrazové a zvukové referenčních na poštovním serveru.


$Id: sanitizer-threats.html,v 1.1 2017-03-24 21:43:20-07 jhardin Exp jhardin $
Contents Copyright (C) 1998-2017 by John D. Hardin – All Rights Reserved.