Повышение безопасности электронной почты с помощью Procmail

Оригинал статьи / Original: http://www.impsec.org/email-tools/sanitizer-threats.html

Угрозы, эксплойты и атаки


Атаки по электронной почте

Существует четыре типа атак на систему безопасности, которые могут быть выполнены с помощью электронной почты:

  • Атаки активного контента, которые используют различные активные HTML и скриптовые функции и ошибки.
  • Атаки с переполнением буфера, когда злоумышленник отправляет что-то слишком большое, чтобы вписаться в буфер памяти фиксированного размера в почтовом клиенте, в надежде, что часть, которая не подходит, перепишет критическую информацию, а не будет безопасно отброшена.
  • Атаки троянского коня, когда исполняемый файл или сценарий на макроязыке, который предоставляет доступ, причиняет вред, самораспространяется или другие нежелательные вещи отправляются по почте жертве в виде прикрепленного файла, помеченного как что-то безобидное, например, открытку или экранную заставку , Или скрыты в чем-то, чего ожидает жертва, например, в электронной таблице или документе. Это также называется атакой социальной инженерии, цель атаки – убедить жертву открыть вложение.
  • Shell Скрипт атаки, где фрагмент скрипта оболочки Unix включается в заголовки сообщений в надежде, что неправильно настроенный почтовый клиент Unix выполнит команды.
    Другим нападением на конфиденциальность пользователя, но не на безопасность системы, является использование так называемых «Web-Bugs», которые могут уведомлять сайт отслеживания, когда и где читается данное сообщение электронной почты.

Активные атаки на контент, a.k.a. Атаки браузера, активные атаки HTML или сценарии атаки

Эти атаки нацелены на людей, которые используют веб-браузер или почтовый клиент с поддержкой HTML, чтобы читать их электронную почту, которая в наши дни является очень значительной частью вычислительного сообщества. Обычно эти атаки пытаются использовать скриптовые функции HTML или почтового клиента (обычно Javascript или VBScript) для извлечения частной информации с компьютера жертвы или для выполнения кода на компьютере жертвы без согласия жертвы (и, возможно, без ведома жертвы) .
Менее опасные формы этих атак автоматически приводят к тому, что компьютер получателя может отображать содержимое, которое хочет нападавший, например, автоматически открывать рекламную или порнографическую веб-страницу при открытии сообщения или совершать атаку типа «отказ в обслуживании» на компьютере получателя посредством Код, который замораживает или приводит к сбою в работе браузера или всего компьютера.

Самый простой способ полностью избежать таких атак – не использовать веб-браузер или почтовый клиент с поддержкой HTML для чтения электронной почты. Поскольку многие из этих атак не зависят от ошибок в клиентском программном обеспечении электронной почты, их нельзя предотвратить с помощью исправлений для почтового клиента. Если вы используете веб-браузер или почтовый клиент с поддержкой HTML, вы будете уязвимы для этих видов атак.

Кроме того, поскольку некоторые из этих атак зависят от того, что почтовый клиент может выполнять скриптовый HTML, а не в зависимости от слабых мест в любой конкретной операционной системе, эти атаки могут быть кросс-платформенными. Почтовый клиент с поддержкой HTML на Macintosh так же уязвим для атак типа «активный-HTML» как почтовый клиент с поддержкой HTML в Windows или Unix. Эта уязвимость будет отличаться от системы к системе на основе почтового клиента, а не операционной системы.

Переключение на почтовый клиент, не поддерживающий HTML, не является реалистичным вариантом для многих людей. Альтернативой является отфильтровать или изменить нарушающий HTML или код сценария, прежде чем почтовый клиент получит возможность обработать его. Также может быть возможным настроить ваш почтовый клиент, чтобы отключить интерпретацию кода скрипта. Подробнее см. В документации к программе. Отказ от написания сценариев в вашем почтовом клиенте настоятельно рекомендуется – нет оснований поддерживать скриптовые сообщения электронной почты.

Пользователи Microsoft Outlook должны посетить эту страницу, описывающую ужесточение параметров безопасности Outlook.

Примером этой атаки являются недавно анонсированные почтовые черви Outlook. Подробнее см. В базе данных Bugtraq Vulnerability.

Еще один способ защитить от атак с активным содержанием – это сгладить скрипты, прежде чем почтовая программа сможет их увидеть. Это делается на почтовом сервере в момент получения и хранения сообщения в почтовом ящике пользователя, и в его простейшей форме заключается в простом изменении всех тегов <SCRIPT> на (например) <DEFANGED-SCRIPT>, что вызывает Чтобы игнорировать их. Поскольку существует много мест, в которых скриптовые команды могут использоваться в других тегах, процесс дефинирования на практике оказывается более сложным.


Атаки переполнения буфера

Буфер – это область памяти, в которой программа временно хранит данные, которые она обрабатывает. Если этот регион имеет предопределенный фиксированный размер и если программа не предпринимает шагов для обеспечения того, чтобы данные соответствовали размерам, есть ошибка: если будет прочитано больше данных, чем поместится в буфере, превышение все равно будет записано , Но он будет расширяться до конца буфера, возможно, заменяя другие данные или инструкции программы.

Атака переполнения буфера – это попытка использовать эту слабость, отправив неожиданно длинную строку данных для программы, которую нужно обработать. Например, в случае почтовой программы злоумышленник может отправить поддельный заголовок Date: длиной в несколько тысяч символов, исходя из предположения, что программа электронной почты ожидает только заголовок Date: длиной не более ста символов и doesn ‘ T проверить длину сохраняемых данных.

Эти атаки могут быть использованы в качестве атак типа «Отказ в обслуживании», поскольку при случайной перезаписи памяти программы обычно происходит сбой. Тем не менее, тщательно продумывая точное содержимое того, что переполняет буфер, в некоторых случаях возможно предоставить инструкции программы для компьютера жертвы для выполнения без согласия жертвы. Злоумышленник отправляет программу жертве по почте, и она будет запускаться на компьютере жертвы, не спрашивая разрешения жертвы.

Обратите внимание, что это результат ошибки в атакуемой программе. Правильно написанный почтовый клиент не позволит случайным незнакомцам запускать программы на вашем компьютере без вашего согласия. Программы, подверженные переполнению буфера, неправильно написаны и должны быть исправлены, чтобы постоянно исправить проблему.

Переполнение буфера в почтовых программах происходит при обработке заголовков сообщений и заголовков вложений, что является информацией, которую должен обрабатывать клиент электронной почты, чтобы узнать подробности сообщения и что с ним делать. Текст в теле сообщения, который просто отображается на экране и который ожидается большим объемом текста, не используется в качестве средства для атак переполнения буфера.

Примером могут служить недавно объявленные переполнения в Outlook, Outlook Express и Netscape Mail. Патчи для Outlook доступны через сайт безопасности Microsoft.

Заголовки сообщений и заголовки вложений могут быть предварительно обработаны почтовым сервером, чтобы ограничить их длины до безопасных значений. Это предотвратит их использование для атаки на почтовый клиент.

Вариацией атаки переполнения буфера является исключение информации, которую программа ожидает найти. Например, Microsoft Exchange реагирует плохо, когда его просят обрабатывать заголовки вложений MIME, которые явно пусты, например, filename = “”. Эта атака может быть использована только для отказа в обслуживании.


Троянский конь

Троянский конь – это вредоносная программа, которая маскируется как что-то мягкое в попытке заставить неосторожного пользователя запустить его.

Эти атаки обычно используются для нарушения безопасности, когда доверенный пользователь запускает программу, которая предоставляет доступ к ненадежному пользователю (например, при установке программного обеспечения для скрытого доступа с удаленного доступа), или для нанесения ущерба, такого как попытка стереть все Файлы на жестком диске жертвы. Троянские кони могут совершать кражи информации или ресурсов или осуществлять распределенную атаку, например, распространять программу, которая пытается украсть пароли или другую информацию о безопасности, или могут быть самораспространяющейся программой, которая сама себя отправляет («червь», ), А также mailbombs цель или удаляет файлы (червь с отношением :).

Червь «I Love You» – отличный пример атаки троянского коня: казалось бы, безобидное любовное письмо было на самом деле самораспространяющейся программой.

Чтобы эта атака имела успех, жертва должна принять меры для запуска программы, которую они получили. Злоумышленник может использовать различные методы «социальной инженерии», чтобы убедить жертву запустить программу; Например, программа может быть замаскирована как любовное письмо или список шуток, с именем файла, специально созданным, чтобы воспользоваться склонностью Windows к скрытию важной информации от пользователя.

Большинство людей знают, что расширение .txt используется, чтобы указать, что содержимое файла является простым текстом, а не программой, но настройка Windows по умолчанию заключается в скрытии расширений имени файла от пользователя, поэтому в каталоге, перечисляющем файл с именем textfile .txt будет отображаться как «текстовый файл» (чтобы не запутать пользователя?).
Злоумышленник может воспользоваться этой комбинацией вещей, отправив вложение с именем «attack.txt.exe» – Windows будет с пользой скрывать расширение .exe, в результате чего вложение будет представлять собой доброкачественный текстовый файл с именем «attack.txt» вместо программа. Однако если пользователь забыл, что Windows скрывает фактическое расширение имени файла и дважды щелкает на вложении, Windows будет использовать полное имя файла, чтобы решить, что делать, и поскольку .exe указывает исполняемую программу, Windows запускает приложение. Блам! Вы принадлежите.

Типичными комбинациями явно-доброкачественных и опасно исполняемых расширений являются:

Xxx.TXT.VBS – исполняемый скрипт (сценарий Visual Basic), маскирующийся как текстовый файл
Xxx.JPG.SCR – исполняемая программа (заставка), маскирующаяся как файл изображения
Xxx.MPG.DLL – исполняемая программа (динамическая библиотека ссылок), маскирующаяся как фильм
Эту атаку можно избежать просто не запуская программы, которые были получены по электронной почте, пока они не были проверены, даже если программа кажется безобидной и особенно если она исходит от кого-то, кого вы не знаете хорошо и не доверяете.

Двойной щелчок на вложениях электронной почты – опасная привычка.

До недавнего времени просто сказать «не делайте двойной щелчок на вложениях» было достаточно, чтобы быть в безопасности. К сожалению, это уже не так.

Ошибки в почтовом клиенте или плохой дизайн программы могут позволить атакующему сообщению автоматически выполнять вложение троянского коня без какого-либо вмешательства пользователя путем использования активных HTML, сценариев или эксплойтов переполнения буфера, включенных в то же сообщение, что и вложение Trojan Horse или Их комбинация. Это чрезвычайно опасный сценарий и в настоящее время «в дикой природе», как самораспространяющийся почтовый червь, который не требует вмешательства пользователя для заражения. Вы можете быть уверены, что это будет не единственный случай.

В попытке предотвратить это, имена вложений исполняемого файла могут быть изменены таким образом, что операционная система больше не думает, что они являются исполняемыми (например, изменив «EXPLOIT.EXE» на «EXPLOIT.DEFANGED-EXE») . Это заставит пользователя сохранить и переименовать файл, прежде чем он сможет быть выполнен (давая им возможность подумать о том, следует ли его выполнить, и дать антивирусному программному обеспечению возможность проверить вложение до его запуска), и это уменьшает Возможность того, что другие эксплоиты одного и того же сообщения смогут автоматически найти и выполнить программу «Троянская лошадь» (поскольку имя было изменено).

Кроме того, для известных программ Trojan Horse формат вложений может быть искажен таким образом, что почтовый клиент больше не видит вложение как вложение. Это заставит пользователя обратиться в службу технической поддержки, чтобы получить вложение, и даст системному администратору возможность изучить его.

Отмена искаженного вложения довольно проста для администратора. При искажении вложения исходный заголовок вложения MIME сдвигается вниз, и вставлен заголовок вложения для предупреждения о нападении. Информация не удаляется.

Вот список последних исполняемых файлов и документов Trojan Horse, собранных из предупреждений bugtraq и Usenet newsgroup и рекомендаций антивирусных вендоров:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

Конечно, авторы червя теперь муссируют и присваивают имена прикрепленным файлам случайным образом, что приводит к выводу, что все .EXE-файлы должны быть заблокированы.

Другим каналом для атак Trojan Horse является файл данных для программы, которая предоставляет макроязык (язык программирования), например современные высокопроизводительные текстовые процессоры, электронные таблицы и инструменты пользовательской базы данных.

Если вы не можете просто удалить вложения, которые могут поставить вас под угрозу, рекомендуется установить антивирусное программное обеспечение (которое обнаруживает и отключает Trojan Horses на макроязыке) и что вы всегда открываете вложения файлов данных в программе «не выполняются автоматически» Макросы “(например, удерживая клавишу [SHIFT] при двойном щелчке на вложении).

Кроме того: если ваш системный администратор (или кто-то, заявляющий, что является вашим системным администратором) отправляет вам по электронной почте программу и просит ее запустить, сразу же становитесь очень подозрительными и проверяете источник электронной почты, связавшись с вашим администратором напрямую с помощью каких-либо средств, кроме электронной почты. Если вы получаете приложение, претендующее на то, чтобы быть обновлением операционной системы или антивирусным программным обеспечением, не запускайте его. Поставщики операционных систем никогда не доставляют обновления по электронной почте, а антивирусные инструменты легко доступны на веб-сайтах антивирусных поставщиков.


Атаки сценария оболочки

Многие программы, работающие под Unix и подобными операционными системами, поддерживают возможность встраивания коротких командных сценариев (последовательности команд, подобные командам файлов под DOS) в свои файлы конфигурации. Это распространенный способ гибкого расширения их возможностей.

Некоторые программы обработки почты ненадлежащим образом расширяют эту поддержку встроенных команд оболочки для сообщений, которые они обрабатывают. Обычно эта возможность включается по ошибке, вызывая сценарий оболочки из файла конфигурации для обработки текста некоторых заголовков. Если заголовок специально отформатирован и содержит команды оболочки, возможно, что эти команды оболочки также будут запущены. Это может быть предотвращено программой, сканирующей текст заголовка для специального форматирования и изменяющим это форматирование до того, как оно будет передано в оболочку для дальнейшей обработки.

Поскольку форматирование, необходимое для включения сценария оболочки в заголовок электронной почты, является довольно особенным, его довольно легко обнаружить и изменить.


Атаки конфиденциальности в Интернете

Сообщение электронной почты в формате HTML может ссылаться на контент, который фактически не находится внутри сообщения, так же, как веб-страница может ссылаться на контент, который фактически не находится на веб-сайте, на котором размещена эта страница. Это обычно можно увидеть в рекламных баннерах – на сайте http://www.geocities.com/ может быть размещено баннерное объявление, которое извлекается с сервера по адресу http://ads.example.com/ – когда страница отображается , Веб-браузер автоматически связывается с веб-сервером по адресу http://ads.example.com/ и извлекает изображение баннера. Это извлечение файла записывается в журналах сервера по адресу http://ads.example.com/, указывая время его получения и сетевой адрес компьютера, загружающего изображение.
Применение этого к электронной почте в формате HTML подразумевает размещение ссылки на изображение в теле сообщения электронной почты. Когда почтовая программа извлекает файл изображения как часть отображения почтового сообщения для пользователя, веб-сервер регистрирует время и сетевой адрес запроса. Если изображение имеет уникальное имя файла, можно точно определить, какое электронное сообщение сгенерировало запрос. Обычно изображение – это то, что не будет видно получателю сообщения, например изображение, состоящее только из одного прозрачного пикселя, поэтому термин «Web-Bug» – в конце концов, предназначен для «скрытого наблюдения».

Также можно использовать фоновый звуковой тег для достижения того же результата.

Большинство почтовых клиентов не могут быть сконфигурированы так, чтобы игнорировать эти теги, поэтому единственный способ предотвратить это отслеживание – это поменять местами ссылки на изображения и звук на почтовом сервере.


Со мной можно связаться по адресу <jhardin@impsec.org> – вы также можете посетить мою домашнюю страницу.

Мне было бы очень интересно получить письма людей, которые захотят перевести эту страницу.

Leave a Reply

Your email address will not be published. Required fields are marked *