Zvýšenie Zabezpečenia E-Mailov S Procmail

Link: http://impsec.org/email-tools/sanitizer-threats.html

e-mail-based Útoky

Existujú štyri typy útokov na zabezpečenie systému, ktorá môže byť vykonávaná prostredníctvom elektronickej pošty:

  • Aktívny Obsah útoky, ktoré využite rôzne aktívne HTML a skriptovacie funkcie a chyby.
  • Pretečenie Medzipamäte útoky, kde útočník pošle niečo, čo je príliš veľké, aby sa zmestili do pevnej veľkosti vyrovnávacej pamäte v e-mailový klient, v nádeji, že tá časť, ktorá nesedí, prepíše dôležité informácie, skôr než byť bezpečne odstránené.
  • Trójsky Kôň útoky, kde spustiteľný program alebo makro-jazyk skript, ktorý zaručuje prístup, spôsobuje poškodenie, self-propaguje alebo nemá iné nepríjemné veci, je zaslaný na obeť ako prílohu súbor označený ako niečo neškodné, ako pohľadnicu alebo šetrič obrazovky, alebo skryté vo niečo obeťou očakával, ako je napríklad hárok alebo dokument. To je tiež nazývaný Sociálne Inžinierstvo útoku, kde cieľom útoku je presvedčiť obeť otvorte prílohu správy.
  • Shell Skript útoky, kde fragment Unix shell skript je zahrnuté v hlavičky správ v nádeji, že nesprávne konfigurovaný Unix mailový klient bude vykonávať príkazy.

Ďalší útok na súkromia používateľa, ale nie na zabezpečenie systému, je použitie tzv. Web Chyby, ktoré môžu upozorniť na sledovanie lokality, kde a kedy sa daný e-mailovú správu čítať.

Aktívny Obsah Útoky,.k.a. Prehliadač Útoky, Aktívne HTML Útoky alebo Skriptov Útoky

Tieto útoky sú zamerané na ľudí, ktorí pomocou webového prehľadávača alebo HTML s podporou e-mailového klienta čítať svoje e-maily, ktoré v týchto dňoch je veľmi veľká časť computing spoločenstva. Zvyčajne tieto útoky pokus použiť skriptovacie funkcie HTML, alebo e-mailového klienta (zvyčajne Javascript alebo VBScript) získavať osobné informácie od obete počítača alebo spustiť ľubovoľný kód na obete počítača bez obete súhlas (a možno aj bez obete znalosti).

Menej nebezpečné formy týchto útokov, môže automaticky spôsobiť príjemcu počítača ak chcete zobraziť určitý obsah útočník chce, ako sú automaticky otvorením inzercie alebo pornografické webové stránky, keď sa správa sa otvorí, alebo vykonať Denial-of-Service útok v počítači príjemcu cez kód, ktorý zamrzne alebo padá prehliadač alebo celý počítač.

Najjednoduchší spôsob, ako úplne sa vyhnúť takýchto útokov je, že nebude používať webový prehliadač, alebo HTML s podporou e-mailového klienta čítať váš e-mail. Keďže mnohé z týchto útokov nie je závislá na chyby v e-mailového klienta, softvér, nemôžu byť zabránené pomocou škvrny na e-mailového klienta. Ak používate webový prehliadač alebo HTML-vedomí, e-mailový klient, budete sa byť citlivé na tieto druhy útokov.

Tiež, ako sa niektoré z týchto útokov závisí na e-mailový klient je schopný vykonávať napísaný HTML skôr než v závislosti na nedostatky konkrétny operačný systém, tieto útoky môžu byť cross-platform. HTML s podporou e-mailového klienta na Macintosh je rovnako zraniteľní aktívne-HTML e-mail útoky ako HTML s podporou e-mailového klienta na Windows alebo Unix. Na vulnerabilty bude líšiť v závislosti od systému k systému, ktorý je založený na e-mail klienta skôr než na operačný systém.

Prechod na non-HTML-vedomí, e-mailový klient nie je reálna možnosť pre mnoho ľudí. Alternatívou je na filtrovanie alebo zmeniť konfliktných alebo HTML kód skriptu pred e-mailový klient dostane šancu spracovať. To môže tiež byť možné nastaviť e-mailového klienta na vypnutie výklad kód skriptu. Pozrite si program dokumentácia pre detaily. Vypnutie skriptovanie na váš e-mailového klienta je silneodporúčané – nie je žiadny dobrý dôvod na podporu napísaný e-mailových správ.

Používatelia programu Microsoft Outlook, mali by navštíviť túto stránku, ktorá popisuje uťahovací dole Outlook security settings.

Nedávno oznámil, Outlook e-mailové červy sú príkladom takéhoto útoku. Pozrite si Bugtraq Zraniteľnosť databázy pre viac informácií.

Ďalší spôsob, ako sa brániť proti aktívny obsah útokov je mangle skriptov pred mailový program má šancu vidieť. Toto je robené na poštovom serveri v čase správa je prijaté a uložené v schránke používateľa, a v jeho najjednoduchšej forme sa skladá iba zmena všetky <SCRIPT> tagy (napríklad) <DEFANGED-SCRIPT> značiek, ktoré spôsobuje mailový program ignorovať. Pretože existuje veľa miest, ktoré skriptovanie príkazy môžu byť použité v iných značiek, defanging proces je zložitejšie, ako to v praxi.

Pretečenie Medzipamäte Útoky

buffer je oblasť pamäte, kde program dočasne ukladá údaje, ktoré je spracovanie. Ak táto oblasť je podľa vopred, nemenná, a ak program nie je podniknúť kroky, aby sa zabezpečilo, že údaje sa hodí do tejto veľkosti, tam je chyba: ak je viac dáta čítať, ako sa zmestí do buffra, prebytok bude ešte napísané, ale to rozšíri minulosti koniec buffra, pravdepodobne výmena ďalších dát alebo programu podľa pokynov.

pretečenie medzipamäte útok je snahe využiť tento slabosť zaslaním nečakane dlhý reťazec údajov pre program, aby proces. Napríklad, v prípade e-mailový program, útočník môže poslať kované Termín: hlavičku, ktorá je o niekoľko tisíc znakov, v predpoklade, že e-mailový program len očakáva Termín: hlavičku, ktorá je najviac sto znakov a nemá pozrite sa na dĺžku dát je úspora.

Tieto útoky môžu byť použité ako Denial-of-Service útoky, pretože keď program pamäti dostane náhodne prepísať program sa vo všeobecnosti havárie. Avšak, pozorne crafting presný obsah toho, čo pretečie buffera, je v niektorých prípadoch možné zásobovať program pokyny pre obete počítača, vykonať bez obeť jeho súhlasu. Je útočník mailing program na obeť, a to bude beh na obete počítača bez pýtania obete povolenie.

Upozorňujeme, že toto je výsledok chyba v programe pod útokom. Správne napísaný e-mail bude klientovi nie povoliť náhodné cudzinci spustiť programy na vašom počítači bez vášho súhlasu. Programy predmetom buffer pretečie, sú nesprávne písomné a musí byť oprava natrvalo vyriešiť problém.

Buffer prietokov v mailové programy dôjsť pri manipulácii hlavičky správ a príloh hlavičky, ktoré je informácie na e-mailový klient potrebuje procesu s cieľom zistiť podrobnosti o správe a čo s tým robiť. Text v tele správy, ktorá je jednoducho zobrazia na displeji a, ktorá je očakávaná, že bude veľké množstvo textu, nie je používané ako vozidlo pre pretečenie medzipamäte útoky.

Nedávno oznámil, pretečenie chyby v programe Outlook, Outlook Express a Netscape Mail je toho príkladom. Opráv pre program Outlook, sú dostupné cez Microsoft security stránok.

Hlavičky správ a príloh hlavičky možno preprocessed podľa mailový server, ak chcete obmedziť ich dĺžok na bezpečné hodnoty. Pritom sa zabránilo ich používa na útok na e-mailového klienta.

Variácia na pretečenie medzipamäte útok je vynechať informácie, kde program je v očakávaní, že nájde nejaké. Napríklad, Microsoft Exchange reaguje zle, keď je požiadaný, aby proces MIME prílohu hlavičky, ktoré sú výslovne prázdny – napríklad: filename="". Tento útok sa môže použiť len na poprieť služby.

Trójsky Kôň Útoky

Trójsky Kôň je škodlivý program, ktorý sa maskuje ako niečo neškodné, v snahe získať unwary používateľ spustiť.

Tieto útoky sú obvykle používané na porušenie bezpečnosti získať dôveryhodné používateľ spustiť program, ktorý zaručuje prístup na nedôveryhodný používateľa (napríklad inštalácia diaľkového prístupu zadné dvere softvér), alebo spôsobiť škody ako pokus vymazať všetky súbory na obete pevného disku. Trójske Kone môžu pôsobiť, aby sa kradnúť informácie alebo zdrojov alebo implementovať distribuovaný útok, napríklad rozposlať program, ktorý sa snaží ukradnúť heslá alebo iné bezpečnostné informácie, alebo môže byť “self-množiteľského” program, ktorý maily sám v okolí (“červ“) a tiež mailbombs cieľ alebo odstráni súbory (červa s postoj :).

“Milujem ťa”, červ je vynikajúcim príkladom Trójskeho Koňa útok: na zdanlivo neškodné ľúbostný list bol vlastne self-množiteľského program.

Pre tento útok uspieť obete musia prijať opatrenia na spustiť program, ktorý som dostal. Útočník môže použiť rôzne “sociálne inžinierstvo” metódy presvedčiť obeť na spustenie programu; napríklad, program môže byť tvári ako ľúbostný list alebo vtip zoznam, s filename špeciálne konštruované využiť Windows’ sklon skrývať dôležité informácie od používateľa.

Väčšina ľudí vie, že .txt predĺženie sa používa na označenie, že súbor je obsahy sú len obyčajný text, na rozdiel od programu, ale Windows’ predvolené nastavenie je skryť súboru rozšírenia od užívateľa, takže v directory listing súbor s názvom textfile.txt, objaví sa ako len “textfile” (aby sa zabránilo mätúce užívateľ?).útočník môže využiť túto zmes veci zaslaním mailu s názvom “attack.txt.exe” – Systém Windows bude helpfully skryť .exe rozšírenie, takže prílohu zdajú byť neškodné, textový súbor s názvom “attack.txt“, namiesto programu. Avšak, ak používateľ zabudne, že systém Windows sa skrývajú skutočné prípona názvu súboru a dvakrát kliknite na prílohu, systém Windows bude používať celý názov súboru rozhodnúť, čo urobiť, a od .exeoznačuje spustiteľný program, systém Windows sa spustí prílohu. Blame! Ste vlastníctve.

Typické kombinácie zrejme-benígne a nebezpečne-spustiteľný rozšírenia sú:

  • xxx.TXT.VBS – spustiteľný skript (Visual Basic script), ktorá sa tvári ako textový súbor
  • xxx.JPG.SCR – spustiteľný program (šetrič obrazovky), ktorá sa tvári ako súbor s obrázkom
  • xxx.MPG.DLL – spustiteľný program (dynamic link library), ktorá sa tvári ako film

Tento útok sa dá vyhnúť jednoducho tým, že nie sú spustené programy, ktoré boli prijaté v e-maile, kým oni boli skontrolované a viac, aj v prípade, ak program sa zdá byť neškodné a , najmä, ak to prichádza od niekoho, neviete dobre a dôvery.

Dvojitým kliknutím na e-mailové prílohy, je nebezpečný zvyk.

Donedávna, stačí povedať “nie je dvakrát kliknite na prílohu” bol dosť bezpečné. Bohužiaľ, toto je už nie prípad.

Chyby v e-mailového klienta alebo zlá návrhu programu môže povoliť útok správy automaticky spustiť Trójsky Kôň príloha bez zásahu užívateľa, buď prostredníctvom použitie aktívneho HTML, skriptovanie alebo pretečenie medzipamäte využíva zahrnuté v rovnakú správu ako Trójsky Kôň prílohu, alebo ich kombinácia. Je to veľmi nebezpečné scenár a je v súčasnosti “v prírode” ako self-množiteľského e-mail červ, že nevyžaduje žiadny zásah užívateľa pre infekcie sa vyskytujú. Môžete si byť istí, že toto nebude len jeden.

V snahe, aby sa tomu zabránilo, názvy spustiteľných súborov príloh môže byť zmenená tak, že operačný systém už si myslia, že sú spustiteľné (napríklad zmenou “EXPLOIT.EXE” “VYUŽIŤ.DEFANGED-EXE“). To bude platnosti užívateľovi uložiť a premenovať súbor pred tým, ako môžu byť vykonané (dáva im šancu premýšľať o tom, či je to by byť vykonaný, a tým, že ich antivírusový softvér šancu preskúmať prílohu pred tým, ako začne beh), a tým znižuje možnosť, že zabezpecuje v rovnakej správy budú môcť nájsť a realizovať Trójsky Kôň program automaticky (od roku meno bolo zmenené).

Okrem toho, známych Trójskych Koní, formát prílohy sama o sebe môže byť rozbité tak, že e-mail klientom už vidí prílohu ako prílohu. Toto donúti užívateľa kontaktovať technickú podporu prevziať prílohu, a dáva sa na správcu systému šancu preskúmať.

Unmangling a skomolené príloha je pomerne jednoduchý pre administrátora. V mangling prílohu pôvodnom MIME prílohu hlavičky sa posunie dole a varovanie útoku prílohu hlavičky je vložená. Žiadne informácie nie sú odstránené.

Tu je zoznam posledných Trójsky Kôň spustiteľné súbory a dokumenty, získaný z bugtraq a diskusných skupín Usenet varovania a antivírusových programov odporúčania:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

Samozrejme, červ autori sú teraz wising hore a pomenovanie prílohy náhodne, čo vedie k záveru, že všetky .EXE súbory by mali byť blokované.

Ďalší kanál pre Trójsky Kôň útokov je prostredníctvom súboru dát pre program, ktorý obsahuje makro (programovanie) jazyka, napríklad, moderné high-powered textové procesory, tabuľkové procesory, databázy používateľov nástroje.

Ak nemôžete jednoducho odhodiť pripútanosti, ktoré môže dať si na riziko, odporúča sa nainštalovať anti-virus softvér (ktorý deteguje a likviduje makro-jazyk, Trójske Kone) a že budete vždy otvoriť údajový súbor príloh v programe “nie je automaticky spúšťať makrá” režim (napríklad, podržte stlačený kláves [SHIFT] tlačidlo, keď dvakrát kliknite na prílohu).

Tiež: ak sa na správcu systému (alebo niekto vydávajúc sa správcu systému) e-maily vás program požiada, aby ste ho spustiť, okamžite sa stanú veľmi podozrivé a overenie pôvodu e-mail, kontaktujte vášho správcu priamo niektorými inými prostriedkami ako e-mail. Ak sa zobrazí prílohu tvrdí, že je operačný systém aktualizovať alebo antivírusový nástroj, nebeží. Operačný systém dodávateľovnikdy dodať aktualizácie prostredníctvom e-mailu, a antivírusové nástroje sú ľahko dostupné v antivírusových programov webové stránky.

Shell Skript Útoky

Mnohé programy bežiace pod Unix a podobné operačné systémy podporujú možnosť vložiť krátke shell skriptov (sekvencie príkazov podobné dávkové súbory pod DOS) v ich konfiguračné súbory. Toto je bežný spôsob, ako umožniť flexibilné rozšírenie ich kapacity.

Niektoré e-programov na spracovanie nesprávne rozšíriť podporu pre vnorené príkazy shell správy sú spracovania. Vo všeobecnosti táto možnosť je zahrnuté omylom, telefonicky shell skript prevzaté z konfiguračného súboru na spracovanie textu niektoré hlavičky. Ak hlavička je špeciálne naformátovaný a obsahuje príkazy shell-u, je možné, že tieto príkazy shell dostane popravený ako dobre. Môže to byť zabránené program skenovania v záhlaví sa nachádza text pre špeciálne formátovanie a meniace sa, že formátovanie pred tým, ako sa dostane prešiel na shell pre ďalšie spracovanie.

Od formátovanie potrebné vložiť shell skript v e-mailovej hlavičke je pomerne zvláštne, je to pomerne jednoduché zistiť a zmeniť.

Web Chybu osobných útokov

HTML-mailové správy môžu odvolávať na obsah, ktorý nie je v skutočnosti v správe, rovnako ako webové stránky môžu odvolávať na obsah, ktorý nie je vlastne na webové stránky hosting stránky. Toto môžete bežne vidieť v bannerovej reklamy – webové stránky na adrese http://www.geocities.com/ môže obsahovať reklamný banner, ktorý sa načítajú zo servera na http://ads.example.com/ – keď sa načíta stránka, web prehliadač automaticky kontakty webový server na http://ads.example.com/ a získa reklamný banner obrázok. Tento výber súboru je zaznamenané v protokoloch servera na http://ads.example.com/, pričom čase, keď bola prevzatá a sieťová adresa počítača získavanie obrazu.

Uplatňovanie tohto HTML e-mail zahŕňa uvedenie obrázok odkaz v tele e-mailovej správy. Keď mailový program načíta súbor obrazu ako súčasť zobrazenia e-mailovej správy pre používateľa, webový server zaznamená čas a sieťovú adresu na žiadosť. V prípade, že obrázok má jedinečný názov súboru, je možné určiť presne, čo e-mailová správa generovaná žiadosť. Zvyčajne imidž je niečo, čo nebude viditeľný na príjemcu správy, napríklad obrázok, ktorý pozostáva iba z jedného transparentné pixel, teda termín Web Chyba – je po všetkom, určené na “skryté sledovanie.”

Je tiež možné použiť zvuk v pozadí značku na dosiahnutie rovnakého výsledku.

Väčšina e-mailových klientov nemôže byť nakonfigurovaný tak, aby ignorovať tieto tagy, takže jediný spôsob, ako zabrániť tejto odpočúvaniu je mangle obraz a zvuk referenčné značky na poštovom serveri.


Ja sa môžu kontaktovať na adrese <[email protected]>, môžete tiež navštívte moju domovskú stránku.

Ja by som sa veľmi zaujímajú o sluch od ľudí, ktorí by boli ochotní preložiť túto stránku.