English Version: http://www.impsec.org/email-tools/sanitizer-threats.html

Sporirea securității pe E-Mail cu Procmail Amenințare, exploatare si atacuri


Bazate pe atacuri in Email

Există patru tipuri de atacuri asupra securității sistemului, care pot fi realizate prin intermediul poștei electronice:

  • Atacurile de conținut activ, care vor să profite de diferite caracteristici HTML, scripting activ si bug-uri.
  • Atacurile Buffer Overflow, se produc în cazul în care atacatorul trimite ceva care este prea mare pentru a se potrivi într-o memorie buffer cu dimensiune fixă în e-mailul clientului, în speranța că partea care nu se potrivește se va suprascrie decât să fie eliminata în condiții de siguranță.
  • Atacuri de tip Trojan Horse , în cazul în care un program executabil sau un script macro-language care permite accesul, provoacă daune, auto-propagă sau alte lucruri nedorite, este trimis prin mail-ul victimei ca un fișier atașat etichetat ca fiind ceva inofensiv, cum ar fi o felicitare, o imagine de funda, sau ascuns în ceva ce victima nu se așteaptă, cum ar fi o foaie de calcul sau un document. Aceasta se numește, de asemenea, un atac de inginerie socială, în cazul în care obiectivul atacului este de a convinge victima sa deschida atașamentul mesajului.
  • Atacurile Shell Script, în cazul în care un fragment dintr-un script de tip Unix shell este inclus în anteturile mesajelor, în speranța că un utilizator de e-mail Unix are setarile configurate incorect, se vor executa comenzile.

 

Un alt atac asupra vieții private a utilizatorului, dar nu și a securitatii sistemului, este utilizarea așa-numitelor Bug-uri web care poate notifica un site de urmărire atunci când și în cazul în care un mesaj de e-mail este citit.


Atacuri de conținut activ, a.k.a. Atacuri Browser, Atacuri HTML Active sau Atacuri scriptate

Aceste atacuri sunt destinate persoanelor care folosesc un browser web sau un client de e-mail HTML activat pentru a citi e-mailurile lor, care in zile noastre este o mare parte a comunității de calculatoare. De obicei aceste atacuri încearcă să folosească funcțiile de scripting ale HTML sau ale clientului de e-mail (de obicei, Javascript sau VBScript) pentru a prelua informații private de pe computerul victimei sau de a executa cod de pe calculatorul victimei fără consimțământul acesteia (și, eventual, fără știrea victimei).
Formele mai puțin periculoase ale acestor atacuri pot cauza folosirea în mod automat al computerul destinatarului pentru a afișa un anumit conținut pe care atacator il dorește, cum ar fi deschiderea automată a unei pagini web de publicitate sau de pornografie atunci când mesajul este deschis, sau de a efectua un atac Denial-of-Service pe calculatorul destinatarului prin intermediul unui cod care îngheață sau blochează browser-ul sau chiar intregul calculator.

 

Cel mai simplu mod de a evita complet astfel de atacuri nu este de a folosi un browser sau un e-mail-HTML de client activat pentru a citi e-mailul. Din moment ce multe dintre aceste atacuri nu depind de bug-uri în software-ul e-mailului de client, acestea nu pot fi prevenite prin patch-uri pentru e-mailul clientului. Dacă folosești un browser sau un e-mail-HTML de client priceput, veți fi vulnerabili la aceste tipuri de atacuri.

 

De asemenea, deoarece unele dintre aceste atacuri depind de e-mailul clientului fiind capabil de a executa HTML scriptate, mai degrabă decât depinzand de punctele slabe ale oricărui sistem de operare special, aceste atacuri pot fi cross-platform. Un e-mail-HTML de client activat pe un Macintosh este la fel de vulnerabil la atacuri active al unui e-mail HTML cat si la un e-mail-HTML activat pe Windows sau Unix. Vulnerabiltatea va varia de la un sistem la altul bazat pe e-mailul de client, mai degrabă decât pe sistemul de operare.

 

Trecerea de la un non-HTML- email de client priceput nu este o opțiune realistă pentru mulți oameni. O alternativă este de a filtra sau modifica HTML-urile ofensatoare sau codarea de script înainte ca e-mailul de client sa aiba o șansă să-l proceseze. Acesta poate fi, de asemenea, posibil să configureze e-mailul clientului pentru a opri interpretarea codului de script. Consultați documentația programului pentru detalii. Dezactivând scriptul în  e-mailul clientului, este foarte recomandat – nu există nici un motiv bun pentru a sprijini mesajele de e-mail scriptate.

 

Utilizatorii Microsoft Outlook ar trebui să viziteze această pagină care descrie  tightening down Outlook’s security settings.

 

Recent anunțati pe Outlook  „viermi” de e-mail care sunt un exemplu de acest atac. See the Bugtraq Vulnerability database for more details.

O altă modalitate de a te apăra împotriva atacurilor active de conținut este de a mutila scripting înainte sa aiba o sansa sa-l vada programul de mail. Acest lucru se face pe serverul de e-mail în momentul în care mesajul este recepționat și stocat în cutia utilizatorului, iar forma sa cea mai simplă constă în simpla schimbare a tuturor <SCRIPT> tag-uri la (de exemplu) <DEFANGED-SCRIPT> tag-uri, care provoacă programului de mail sa le ignore. Deoarece există mai multe locuri pe care comenzile de scripting pot fi utilizate în cadrul altor tag-uri, procesul este mai complicat decât acesta în practică.


Atacuri Buffer Overflow

Zona tampon este o zonă de memorie în care un program stochează temporar date pe care le procesează. În cazul în care această regiune este de o dimensiune predefinită, fixă, iar programul nu ia măsuri pentru a se asigura că datele se încadrează în această dimensiune, există un bug: în cazul în care se citesc mai multe date decât se prevedeau in zona tampon, excesul va fi în continuare scris , dar se va extinde dincolo de capătul tamponului, probabil, înlocuind alte instrucțiuni de date sau de program.

Un atac buffer overflow este o încercare de a utiliza această slăbiciune prin trimiterea unui șir neașteptat de lung a datelor catre programul ce urmeaza a le procesa. De exemplu, în cazul unui program de e-mail, atacatorul poate trimite un Data fals: antet, care este de câteva mii de caractere, iar programul de e-mail se asteapta doar la Data: antet care are cel mult o sută de caractere și nu verifica lungimea datelor pe care le salvează.

Aceste atacuri pot fi folosite ca atacuri de tip denial-of-Service, pentru că atunci când memoria unui program va fi rescrisA în mod aleatoriu programul se va prăbuși. Cu toate acestea, prin crafting cu atenție a conținutului exact a ceea ce debordează buffer-ul, acesta este, în unele cazuri, posibil să furnizeze instrucțiuni de program pentru calculatorul victimei care sunt executate fără consimțământul victimei. Atacatorul este un program de discuții pentru victimă, și va fi condusă de computerul victimei, fără a cere permisiunea victimei.

Rețineți că acest lucru este rezultatul unui bug în program sub atac. Un e-mail de client scris în mod corespunzător, nu va permite străinilor aleatorii sa ruleze programe pe computer fără consimțământul dumneavoastră. Programele care fac obiectul buffer overflow sunt incorect scrise și trebuie să fie patch-uri pentru a corecta problema permanent.

Buffer overflows în programele de mail apar în manipularea anteturilor mesajelor și antetele de atașare, sunt informații care e-mailului de client are nevoie pentru a procesa, în scopul de a cunoaște detalii despre mesaj și ce să facă cu el. Textul din corpul mesajului, care este pur și simplu afișat pe ecran și care este de așteptat să aiba o cantitate mare de text, nu este utilizat ca vehicul pentru atacuri buffer overflow.

Recent anunțate bug-uri overflow  în Outlook, Outlook Express și Netscape sunt exemple pentru aceasta. Patch-uri pentru Outlook sunt disponibile prin intermediul site-ului de securitate Microsoft.

Anteturile mesajelor și antetele de atașare pot fi preprocesate de către serverul de e-mail pentru a limita lungimea lor la valori sigure. Făcând acest lucru le va împiedica să fie folosite pentru a ataca e-mailul clientului.

O variație pe atacul buffer overflow este de a omite informații în cazul în care programul se așteaptă să găsească ceva. De exemplu, Microsoft Exchange reacționează negativ atunci când i se cere să proceseze MIME antete de atașament, care sunt în mod explicit goale – de exemplu, , filename=””.Acest atac poate fi folosit numai pentru a refuza serviciul.


Atacuri de tip Trojan Horse

Un Trojan Horse este un program rău intenționat care este mascat ca ceva benigne într-o încercare de a obține un utilizator neinițiat pentr a-l rula.

Aceste atacuri sunt de obicei folosite pentru încălcarea securității prin obținerea unui utilizator de încredere pentru a rula un program care permite accesul la un utilizator care nu este de încredere (de exemplu, prin instalarea accesului de la distanță back door  software), sau de a provoca daune, cum ar fi încercarea de a șterge toate fișierele de pe hard disk-ul victimei. Trojan Horses pot acționa pentru a fura informații sau resurse sau să pună în aplicare un atac distribuit, cum ar fi distribuirea unui program care încearcă să fure parole sau alte informații de securitate, sau poate fi un program de “auto-înmulțire”, un program care trimite mailuri singur (un “worm“) și, de asemenea spamarea unei tinte cu mailuri sau ștergerea de fișiere (un vierme cu o atitudine :).

„Viermele”  “Te iubesc” este un exemplu excelent al unui atac Trojan Horse: o scrisoare de dragoste aparent inofensivă care a fost de fapt un program de auto-propagare.

Pentru acest atac in scopul de a prinde victima trebuie să ia măsuri pentru a rula programul pe care l-au primit. Atacatorul poate folosi diverse metode de “inginerie socială“, pentru a convinge victima să ruleze programul; de exemplu, programul poate fi deghizat ca o scrisoare de dragoste sau o listă cu glume, cu numele de fișier special construit pentru a profita de predilecția Windows-ului pentru a ascunde informații importante fata de utilizator.

Cei mai mulți oameni știu că extensia.txt este utilizata pentru a indica faptul că conținutul fișierului este doar un text simplu, spre deosebire de un program, dar configurația implicită pentru Windows’ este de a ascunde extensii de fișiere de la utilizator, astfel încât într-o lista indrumatoare un fișier numit textfile.txt va apărea doar ca “textfile” (pentru a evita confuzia utilizatorului?).

Un atacator poate profita de această combinație de lucruri prin trimiterea unui atașament numit “attack.txt.exe” – Windows va ascunde în mod util extensia.exe, ceea ce face atașamentul sa para să fie un fișier text numit benigne “attack.txt” în loc de un program. Cu toate acestea, în cazul în care utilizatorul a uitat că Windows ascunde extensia numelui de fișier real și da dublu click pe fișierul atașat, Windows va utiliza numele complet al fișierului pentru a decide ce să facă, și din moment ce .exe indică un program executabil, Windows rulează atașamentul. Blam! Esti stapanit.

Combinații tipice de extensii aparent-benigne și periculos de-executabil sunt:

  • xxx.TXT.VBS - un script executabil (script Visual Basic) deghizat ca un fișier text
  • xxx.JPG.SCR - un program executabil (screen saver) travestit ca un fișier imagine
  • xxx.MPG.DLL - un program executabil (biblioteca de link-uri dinamice) ca un film mascat

Acest atac poate fi evitat, pur și simplu prin faptul că nu rulează programe care au fost primite în e-mail până când nu au fost verificate, chiar și în cazul în care programul pare a fi inofensiv și mai ales dacă vine de la cineva pe care nu cunosc bine și care nu e de încredere.
Dublu-clic pe atașamentele de pe e-mail este un obicei periculos.
Până nu demult, sa se spuna pur și simplu “nu da dublu-clic pe atașamente” a fost suficient pentru a fi în siguranță. Din păcate, acest lucru nu se mai pune.

Bug-urile în e-mailul clientului sau programele cu design prost pot permite mesajului de atac sa fie executat în mod automat fișierului atașat Trojan Horse, fără nici o intervenție din partea utilizatorului, fie prin utilizarea de HTML activ, scripting sau buffer overflow incluse în același mesaj ca atașament Trojan Horse sau o combinație a acestora. Acesta este un scenariu extrem de periculos și este în prezent “în sălbăticie”, ca un  self-propagating email worm care necesită intervenția utilizatorului pentru ca infecția să aibă loc. Poți fi sigur că acest lucru nu va fi singurul.

Într-o încercare de a preveni acest lucru, numele de atașamente de fișiere executabile pot fi modificate în așa fel încât sistemul de operare sa nu mai creada că sunt executabile (de exemplu, prin schimbarea “EXPLOIT.EXE” la “EXPLOIT.DEFANGED-EXE”) . Acest lucru va forța utilizatorul pentru a salva și a redenumi fișierul înainte de a putea fi executat (oferindu-le o șansă să se gândească dacă ar trebui să fie executat și dând programului de antivirus o șansă de a examina atașamentul înainte de a începe să ruleze) și reduce posibilitatea ca alte exploatari in acelasi mesaj capabil să găsească și să execute programul Trojan Horse automat (deoarece numele a fost modificat).

In plus, pentru a detecta programele de tip Trojan Horse formatul de atașament în sine poate fi mutilat în așa fel încât e-mailul clientului nu mai vede atașamentul ca atașament. Acest lucru va forța utilizatorul să contacteze suportul tehnic pentru a prelua atașamentul, și dă administratorului de sistem o șansă să-l examineze.

Unmangling a mangled attachment este destul de simplu pentru un administrator. În mutilarea atașamentului original antetul de atașare MIME  este deplasat în jos și este introdus un atac de avertizare antetului de atașament. Nicio informație nu se elimină.
Aici este o listă cu recente executabile și documente de tip Trojan Horse, spicuite de la avertismente BugTraq și grupuri de reclame Usenet și Advisories:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

Desigur, autorii de „vierme” sunt acum prudenti și denumesc atașamentele în mod aleatoriu, ceea ce conduce la concluzia că toate fișierele .exe ar trebui să fie blocate.
Un alt canal pentru atacurile de Trojan Horse este printr-un fișier de date pentru un program care oferă un limbaj macro (programare), de exemplu, procesoare moderne de mare putere de text, foi de calcul, și instrumente de baze de date de utilizator.

Dacă nu se poate pur și simplu renunțați la atașamente care ar putea pune în pericol, este recomandat să instalați software-ul anti-virus (care detectează și dezactivează macro-limbajul Trojan Horse) și că întotdeauna deschideți fișierele atașate cu datele conținute în program “nu se execută în mod automat macro-uri “modul (de exemplu, ținând apăsată tasta [SHIFT] dand dublu clic pe fișierul atașat).
De asemenea: în cazul în care administratorul de sistem (sau cineva care pretinde a fi administratorul de sistem) vă trimite un program și vă cere să-l rulați, deveniti imediat foarte suspect și verificati originea email-ului prin contactarea administratorul direct de altele mijloace decât cele de e-mail. Dacă primiți un atașament care pretinde a fi un instrument de actualizare a sistemului de operare sau antivirus, nu-l rulați. furnizorii de sisteme de operare nu emit actualizări prin e-mail, și instrumentele antivirus sunt ușor disponibile pe site-urile antivirusului.

Atacuri de tip Shell Script

Multe programe care rulează sub Unix și sisteme similare de operare suporta capacitatea de a încorpora shell script-uri scurte (secvențe de comenzi similare cu seria de fișiere de pe DOS), în fișierele lor de configurare. Acesta este un mod comun de a permite extinderea flexibilă a capacității lor.
Anumite programe de procesare electronică extind în mod abuziv acest suport pentru comenzi shell încorporate la mesajele pe care le procesează. În general, această capacitate este inclusă din greșeală, prin apelarea unui script de shell preluat din fișierul de configurare pentru a procesa textul unor antete. Dacă antetul este special formatat și conține comenzi shell, este posibil ca aceste comenzi shell sa fie executate la fel de bine. Acest lucru poate fi prevenit prin programul de scanare a antetului pentru formatare specială și care au schimbat modul de formatare înainte de a se trece la shell pentru prelucrare ulterioară.
Din moment ce formatarea necesara pentru a încorpora un script shell într-un antet de e-mail este destul de specială, este destul de ușor pentru a detecta și modifica.

Atacurile de confidențialitate pe Web Bug

Un mesaj de e-mail HTML se poate referi la un conținut care nu este, de fapt, în cadrul mesajului, la fel ca o pagină web si se poate referi la un conținut care nu este, de fapt, ceea ce gazduieste pagina de pe site. Acest lucru poate fi frecvent vazut in reclame banner – un site web la http://www.geocities.com/ poate include un anunț banner pe care este preluat dintr-un server de la http://ads.example.com/ – atunci când pagina este redata, browserul web contactează automat serverul de web la http://ads.example.com/ și preia imaginea. Această regăsire a unui fișier este înregistrată în jurnalele de server de la http://ads.example.com/, dând momentul în care a fost preluat și adresa de rețea a calculatorului care a preluat imaginea.

Aplicând acest lucru pentru e-mailul HTML implică punerea unei referințe imaginii în corpul mesajului de e-mail. În cazul în care programul de e-mail preia fișierul de imagine ca parte a afișarii mesajului de mail către utilizator, serverul web înregistrează ora și adresa de rețea a cererii. În cazul în care imaginea are un nume de fișier unic, este posibil să se determine cu precizie care este mesajul de e-mail care a generat solicitarea. În mod tipic, imaginea este ceva care nu va fi vizibil pentru destinatarul mesajului, de exemplu, o imagine care constă dintr-un singur pixel transparent, prin urmare, termenul Web Bug – acesta este, la urma urmei, destinat să fie “supraveghere sub acoperire.”
Este de asemenea posibil să se utilizeze o etichetă de sunet de fundal pentru a obține același rezultat.
Cei mai mulți clienți de poștă electronică nu pot fi configura pentru a ignora aceste tag-uri, astfel încât singura modalitate de a preveni acest lucru este de a mutila imaginea si sunetul de referinta a tag-urilor la serverul de e-mail.


Pot fi contactat la <jhardin@impsec.org> – ai putea vizita , de asemenea, pagina mea de start .