април 20, 2017

Подобрување на E-пошта Безбедност Со Procmail

Закани, експлоатира и напади

Source: http://www.impsec.org/email-tools/sanitizer-threats.html

Е-пошта базирани напади

Постојат четири видови на напади врз безбедносните систем кој може да се врши преку електронска пошта:

Активно напади содржина, кои ги искористат предностите на различни активни HTML и скриптирање карактеристики и грешки.

Бафер претекување напади, каде напаѓачот испраќа нешто што е премногу голем за да ги собере во баферот фиксна големината на меморијата во е-мејл клиент, со надеж дека дел што не се вклопува ќе ги избрише критични информации, наместо да бидат безбедно отфрлени.

Тројански коњ напади, каде што извршна програма или макро јазик скрипта, кој дава пристап, предизвикува штета, само-пропагира или некој друг несакан работи е испратен на жртвата како прилог датотека етикетирани како нешто безопасно, како на пример картичка или заштита на екранот , или скриени во нешто жртвата се очекува, како што се на табела или документ. Ова е исто така се нарекува Социјален инженеринг напади, каде што целта на нападот е да се убедат на жртвата да се отвори прилог на пораката.

Шел скрипта напади, каде што еден дел од школка скрипта Unix е вклучена во заглавјето на пораката со надеж дека неправилно конфигурирани Unix пошта клиент ќе се изврши команди.

Уште еден напад врз приватноста на корисникот, но не и на системот за безбедност, е употребата на т.н. веб грешки кои можат да го извести еден сајт за следење кога и каде даден е-пораки е прочита.


Активно напади содржина, исто така познат како прелистувач напади, активни HTML напади или скриптирање напади

Овие напади се насочени кон луѓе кои ги користат веб прелистувач или HTML-от е-мејл клиент да ги читаат своите е-мејл, која овие денови е многу голем дел од компјутери заедница. Обично овие напади обидат да го користат скриптирање карактеристики на HTML или на клиентот за е-пошта (обично Javascript-от или VBScript) да ги врати приватните информации од компјутерот на жртвата или да се изврши код во компјутерот на жртвата без согласност на жртвата (а можеби и без знаење на жртвата).

Помалку опасни форми на овие напади може автоматски да предизвика компјутерот на примателот да се прикаже некоја содржина напаѓачот желби, како што се автоматски отворање на веб-страница рекламирање или порнографија кога пораката е отворена, или да изврши напад на одбивање-на-служба на компјутерот на примателот преку код кој замрзнува или се урна на прелистувачот, или на целиот компјутер.

Наједноставниот начин за да се избегне целосно ваквите напади е да не користите интернет-прелистувач или HTML-от е-мејл клиент да ја прочитате вашата е-мејл. Бидејќи многу од овие напади не зависат од грешки во е-мејл клиент софтвер, тие не може да се спречи со закрпи за е-мејл клиент. Ако користите веб прелистувач или HTML-свесен е-мејл клиент, ќе биде подложен на овие видови на напади.

Исто така, како што некои од овие напади, зависи од е-мејл клиент да биде во можност да се изврши испишана HTML наместо во зависност од слабостите на некој посебен оперативен систем, овие напади може да се крос-платформа. На HTML-от е-мејл клиент на Macintosh е само како ранливи на активна HTML-мејл напади како HTML-от е-мејл клиент на Windows или Unix. На ранливоста ќе варира од систем до систем врз основа на е-мејл клиент, отколку на оперативниот систем.

Префрлување на не-HTML-свесни e-пошта клиент не е реална опција за многу луѓе. Алтернатива е да ги филтрираат или да се измени навреда HTML или скрипта код пред-мејл клиент добива шанса да го обработи. Исто така, може да биде можно да ги конфигурирате вашите е-мејл клиент за да го исклучите толкување на сценариото код. Види вашата програма документацијата за повеќе детали. Исклучување на скриптирање во вашата e-пошта клиент строго се препорачува – нема добра причина за поддршка испишана-мејл пораки.

Microsoft Outlook корисници треба да ја посетите оваа страница, која ја опишува затегнување надолу поставки за безбедност Outlook.

Неодамна објави Outlook e-пошта црви се пример за овој напад. Види ранливост база на податоци Bugtraq за повеќе детали.

Друг начин да се одбранат од нападите активна содржина е да се маш за скриптирање пред програма за пошта има шанса да ја видите. Ова е направено на сервер за пошта во времето на пораката е примена и се чуваат во поштенското сандаче на корисникот, и во својата наједноставна форма се состои од само промена на сите тагови <SCRIPT> до <DEFANGED-SCRIPT> таговите (на пример), што предизвикува поштова програма да ги игнорираат. Бидејќи постојат многу места кои скриптирање команди може да се користи во рамките на други ознаки, процесот на дефангинг е посложена од ова во пракса.


Бафер претекување напади

Бафер е регион на меморија каде програма привремено ги зачувува податоците што ги обработува. Ако овој регион е на предефинирани, фиксна големина, и ако програмата не се преземат чекори за да се обезбеди дека податоците се вклопува во таа големина, има бубачка: ако повеќе податоците се читаат од ќе се вклопуваат во рамките на тампон, вишокот се уште ќе бидат писмено , но тоа ќе се прошири минатото на крајот на тампон, веројатно замена на други инструкции податоци или програма.

А бафер претекување напад е обид да се искористи оваа слабост со испраќање на е неочекувано долга низа на податоци за програмата за да се процесира. На пример, во случај на програмата е-мејл, напаѓачот може да испрати фалсификувани Date: насловот дека е неколку илјади карактери, во претпоставката дека програмата е-мејл очекува само еден Date: заглавието тоа е долга и не најмногу сто знаци проверете должината на податоци се штеди.

Овие напади може да се користи како напади одбивање-на-служба, бидејќи кога меморијата на програмата добива случајно препишани на програма генерално ќе се сруши. Сепак, со внимателно изработката точната содржина на она што се прелева тампон, тоа е во некои случаи е можно да се обезбеди упатства програма за компјутерот на жртвата да се изврши без согласност на жртвата. Напаѓачот е мејлинг програма на жртвата, и тоа ќе се кандидира од страна на компјутерот на жртвата без да побара дозвола на жртвата.

Имајте на ум дека ова е резултат на бубачки во програмата под напад. А правилно напишани мејл клиент нема да дозволи случаен странци да се кандидира програми на вашиот компјутер без ваша согласност. Програми се предмет на бафер поплавите се неправилно напишан и мора да биде скоро трајно да го реши проблемот.

Тампон поплавите во програмите пошта се случи во справување со заглавија на пораки и приврзаност заглавија, кој е клиент информации на e-пошта треба да се процес, со цел да знаат детали за пораката и што да прават со него. Текстот во телото на пораката, што е едноставно прикажани на екранот и која се очекува да биде голема количина на текст, не се користи како средство за бафер претекување напади.

Неодамна објави претекување грешки во Outlook, Outlook Express и Netscape Mail се примери за тоа. Закрпи за Outlook се достапни преку сајт за безбедност на Microsoft.

Заглавија пораката и приврзаност заглавија може да се предобработени страна на сервер за пошта да се ограничи нивната висина до безбедна вредности. Правејќи го тоа, ќе се спречи нив да се користи за напад врз клиентот за електронска пошта.

А варијација на напад на бафер претекување е да се изостави информации, каде што на програмата се очекува да се најдат некои. На пример, Microsoft Exchange реагира лошо кога тоа е побарано да се процесира MIME прилог заглавја кои се експлицитно празна – на пример, filename=””. Овој напад може да се користи само за да се одрече од услугите.


Тројански коњ напади

Тројанскиот коњ е злопамтило програма која се маскира како нешто бенигни, во обид да се добие неупатени корисникот да го работи.

Овие напади обично се користат за нарушување на безбедноста од страна на добивање на доверлив корисник извршување на програма која дава пристап до недоверлив корисник (на пример, со инсталирање на далечински пристап назад софтвер врата), или да предизвика штета, како што се обидуваат да ги избришете сите датотеки на хард дискот на жртвата. Тројански коњи може да дејствува за да украдат информации или ресурси или спроведување на дистрибуирани напад, како на пример со дистрибуција на програма која се обидува да украде лозинки или други информации за безбедноста, или може да биде програма “само-за размножување”, кој себе околу (а “црв” пораки), а исто така поштови бомби цел или бришење датотеки (црв со став :).

“I Love You” црв е одличен пример за напад на Тројанскиот коњ: навидум безопасни-љубовно писмо беше, всушност, само-за размножување програма.

За овој напад да успее жртвата мора да преземат акција за да ја стартувате програмата, кога тие го добиле. Напаѓачот да го користите различни “социјален инженеринг” методи за да го убеди жртвата да ја стартувате програмата; на пример, програмата може да се маскирани како љубовно писмо или листа шега, со датотеката специјално конструирани за да ги искористат предностите на склоноста на Windows за криење на важни информации од корисникот.

Повеќето луѓе знаат дека .txt екстензија се користи за да се покаже дека содржината на датотеката се само обичен текст, што е спротивно на програмата, но конфигурација на Windows е да се скрие екстензии име на датотека од страна на корисникот, така што во директориумот датотека со име textfile.txt ќе се појави само како “textfile” (за да се избегне збунувачки корисник?).

Напаѓачот може да ги искористат предностите на оваа комбинација на работи со испраќање на прилогот со наслов “attack.txt.exe” – Windows помогне целосно ќе се скрие .exe проширување, со што прилогот се појави да биде бенигно текстуална датотека со име “attack.txt” наместо програма. Меѓутоа, ако на корисникот заборава дека Windows се крие вистинската наставкатанаимето и двоен-клик на прилогот, Windows ќе користат целосна името на датотеката за да одлучи што да се направи, а од .exe укажува на извршна програма, Windows ќе трае прилогот. И! Ти си сопственост.

Типични комбинации на навидум бенигна и опасно-извршна екстензии се:

• xxx.TXT.VBS – извршна скрипта (Visual Basic скрипта) маскиран како текстуална датотека
• xxx.JPG.SCR – извршна програма (заштита на екранот) маскиран како една датотека со слика
• xxx.MPG.DLL – извршна програма (динамички линк библиотека) маскиран како филм

Овој напад може да се избегне со едноставно не работи програми кои биле примени во е-мејл додека тие биле проверени во текот, дури и ако програмата се чини дека се безопасни, а особено ако доаѓа од некој што не го знаат добро и доверба.

Двоен-клик на e-пошта атачменти е опасна навика.

До неодамна, едноставно велејќи “не е двоен клик на додатоци”, беше доволно за да бидат безбедни. За жал, ова веќе не е случај.

Грешки во е-мејл клиент, или слаба програма за дизајн може да дозволи порака нападот автоматски да се изврши прилог на Тројанскиот коњ без интервенција на корисникот, или преку употреба на активни HTML, скриптирање или бафер претекување експлоатира вклучени во истата порака како прилог на Тројанскиот коњ или комбинација од овие. Ова е исклучително опасно сценарио и е во моментов “во дивината” како за само-за размножување е-мејл црв кој не бара интервенција на корисникот за инфекција да се случи. Можете да бидете сигурни дека тоа нема да биде само еден.

Во обид да се спречи ова, имињата на извршна датотека додатоци може да се промени во таков начин што на оперативниот систем веќе не мисли дека се извршната датотека (на пример, со менување на “EXPLOIT.EXE” до “EXPLOIT.DEFANGED-EXE”) . Ова ќе ги принуди на корисникот да се спаси и преименувајте ја датотеката пред да може да се изврши (давајќи им шанса да се размислува за тоа дали треба да се изврши, и давање на нивниот антивирус софтвер шанса да се испита на прилогот пред да почне да работи), и ја намалува можноста дека другите експлоатира во истата порака ќе можат да се најдат и да се изврши на тројански коњ автоматски (бидејќи името е променето).

Покрај тоа, за познати програми Тројанскиот коњ себе формат приврзаност може да се искривени во таков начин што клиентот за е-пошта веќе не гледа прилогот како прилог. Ова ќе ги принуди на корисникот да се јавите на техничка поддршка за добивање на приврзаност, и дава на администраторот на системот шанса да го испита.

Не уредување на името на функцијата на искривени прилог е прилично јасна за администраторот. Во уредување на името на функцијата прилогот на оригиналниот заглавието MIME прилог се помести надолу и се вметнува напад предупредување насловот на прилогот. Нема информации се брише.

Тука е листа на последните извршни и документи тројански коњ, собрани од bugtraq и Usenet newsgroup предупредувања и антивирусни продавач финти:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

Се разбира, црвот автори се сега wising и именување на додатоци случајно, што доведува до заклучок дека сите .EХЕ фајлови треба да бидат блокирани.

Уште еден канал за тројански коњ напади е преку Датотека со податоци за програма со која им нуди на макро (програмирање) јазик, на пример, модерна високо-придвижуван обработка на текст, табеларни пресметки, и алатки за корисник база на податоци.

Ако не може едноставно да ги исфрли додатоци кои може да ве стави на ризик, се препорачува да инсталирате анти-вирус софтвер (кој ги детектира и го оневозможува макро јазик тројански коњи), и дека сте секогаш отворена датотека додатоци податоци во програмата “не автоматски да се изврши макроа “на владата (на пример, со држење на [SHIFT] при двоен клик на прилог).

Исто така: ако вашиот систем администратор (или некој тврдат дека се со вашиот систем администратор) пораки ви програма и бара да се кандидира, веднаш да стане многу сомнителни и се потврди потеклото на e-пошта со контактирање на вашиот администратор директно од страна на некои други средства освен e-пошта. Ако добиете прилог тврдат дека се алатка за ажурирање на оперативниот систем или антивирус, не го работи. Оперативен систем продавачите не испорача ажурирања преку е-маил, и анти-вирус алатки се лесно достапни на веб-сајтови на антивирус продавач.


Шел скрипта напади

Многу програми работат под Unix и слични оперативни системи поддржуваат можноста за вградување кратко скрипти (секвенци на команди слични на серија датотеки под DOS) во нивните конфигурациски датотеки. Ова е заеднички начин да им овозможи на флексибилни продолжување на нивните способности.

Некои поштови програми за обработка на неправилно се прошири оваа поддршка за вградени команди за школки на пораките кои ги обработуваат. Генерално оваа способност е вклучена по грешка, со повик скрипта школка земени од конфигурациската датотека за обработка на текст на некои заглавија. Ако насловот е специјално форматиран и содржи команди за школки, тоа е можно дека тие команди за школки ќе се извршува, како и. Ова може да се спречи со програмата скенирање на текстот на насловот за форматирање и менување на форматирање пред да биде предадена на школка за понатамошна обработка.

Од потребна за да го вградите школка скрипта во насловот на е-маил форматирање е прилично посебен, тоа е прилично лесно да се открие и да се смени.


Веб-грешки напади приватност

Е-мејл порака HTML може да се однесува со содржина која не е всушност во пораката, исто како и на веб-страница може да се однесуваат на содржина што не е, всушност, на веб хостинг страната. Ова често може да се види во банер реклами – веб-сајтот на http://www.geocities.com/ може да вклучуваат банер реклама што се превземаат од серверот на http://ads.example.com/ – кога страната е изречена , на веб прелистувачот автоматски контакти на веб серверот на http://ads.example.com/ и вади слика банер реклама. Ова пронаоѓање на датотеката е снимен со најавувањето на серверот на http://ads.example.com/, давајќи им на време тоа беше откриена, и мрежна адреса на компјутерот во прибирањето на сликата.

Примената на овој со HTML-мејл вклучува ставање референца сликата во телото на e-пошта порака. Кога програмата за пошта вади на сликата, како дел од прикажување пошта пораката до корисникот, веб серверот се најавува на време и мрежна адреса на барањето. Ако сликата има единствено име на датотеката, тоа е можно да се утврди точно која e-пошта порака генерирана барањето. Обично сликата е нешто што нема да биде видлив на примателот на пораката, на пример слика која се состои од само еден транспарентен пиксели, па оттука терминот веб-грешки – тоа е, по сите, има за цел да биде “тајни надзор.”

Исто така е можно да се користи позадина на звукот таг за да се постигне истиот резултат.

Повеќето поштови клиенти не може да се конфигурира да ги игнорира овие тагови, па единствениот начин да се спречи ова душкање е да маш слика и звук референца тагови на сервер за пошта.


[email protected]


$Id: sanitizer-threats.html,v 1.37 2017-04-14 11:44:55-07 jhardin Exp jhardin $
Contents Copyright (C) 1998-2017 by John D. Hardin – All Rights Reserved.