Побољшање сигурности електронске поште с Procmail: Претње, експлоатације и напади

Source: https://www.impsec.org/email-tools/sanitizer-threats.html 

Претње, експлоатације и напади

E-mail основан напади

Постоје четири врсте напада на сигурност система који може да се обавља путем електронске поште:

  • Активни напади садржаја , који користе предности различитих активних HTML и скрипт карактеристика и грешака.
  • Буффер оверфлов напади , где је нападач шаље нешто што је превелика да стане у фиксне величине меморијског у клијента е-поште, у нади да ће део који се не уклапају преписати важне информације пре него што безбедно одбачен.
  • Тројански коњ напади , у којима се извршни програм или макро-језику скрипта да одобрава приступ, проузрокује штету, селф-пропагира или обавља друге нежељене ствари се шаље жртве као Филе Аттацхмент означен као нешто безазлено, као што је честитку или чувар екрана , или скривена у нечему жртва очекује, као што су табеле или документа. То се зове социјални инжењеринг напад, где је циљ напада је да убеди жртву да бисте отворили поруку прилог.
  • Shell Script напади , у којима је укључено фрагмент Уник схелл скрипти у заглављу поруке у нади да ће се неправилно конфигурисане ЦентОС маил клијент извршавају наредбе.

Још један напад на приватност корисника, али не и на сигурност система, је употреба такозваних Web Bugs који може да обавести сајт за праћење када и где је дати е-маил порука прочита.


Активни Напади садржаја, ака Бровсер Напади, активни HTML напад или Сцриптинг напади

Ови напади имају за циљ да људе који користе веб бровсер или HTML-омогућена е-маил клијент за читање свој е-маил, који ових дана је веома велики део рачунарске заједнице. Обично ови напади покушавају да користе скрипти функције HTML или на е-маил клијента (типично Javascript или VBScript) да преузме личне податке са рачунара жртве или да извршава код на рачунару жртве без пристанка жртве (и евентуално без знања жртве) .

Мање опасне облици ових напада могу аутоматски довести до компјутер примаоца да бисте приказали неки садржај је нападач жеље, као што аутоматски отвара рекламног или порнографије веб страницу када се отвори порука, или извршити дос напад на рачунару примаоца путем kod да замрзава или пада претраживача или цео рачунар.

Најједноставнији начин да у потпуности избегне такве нападе да не користи веб бровсер или HTML-омогућена е-маил клијент за читање е-пошту. Јер су многи од ових напада не зависе грешака у софтверу клијента е-поште, не може спречити кроз закрпе за клијента е-поште. Ако користите веб претраживач или HTML-свестан E-mail клијент, ви ћете бити подложни оваквим нападима.

Исто тако, као што неки од ових напада зависи клијента е-поште у стању да изврши прописану HTML уместо у зависности од слабости било ког оперативног система, ови напади могу бити унакрсно платформа. HTML-омогућена E-mail клијент на Macintosh је једнако подложни активни HTML E-mail напада као HTML-омогућена е-маил клијента на Windows или Unix. Вулнерабилти ће се разликовати од система до система заснованог на клијента е-поште, а не оперативног система.

Прелазак на нон-HTML свесни клијент е-поште није реална опција за многе људе. Алтернатива је да се филтрира или мења увредљивог HTML или скрипту пре него што је E-mail клијент добија прилику да га обради. Такође може бити могуће да конфигуришете клијент е-поште да бисте искључили тумачење сцрипт кода. Погледајте своју програмску документацију за детаље. Искључивање скрипти у имејл клијенту се снажно препоручује – нема добар разлог да подржи сценарио е-поруке.

Microsoft Outlook корисници треба да посетите ову страницу да описује затезање доле Outlook је безбедносна подешавања .

На недавно најављене Outlook E-mail црви су пример овог напада. Погледајте Bugtraq Vulnerability базу података за више детаља.

Други начин да се одбрани од напада активни-садржаја је да мангле се скриптовање пре него што програм пошта има прилику да га виде. То се ради на маил серверу у време када је порука примљена и складишти у поштанском сандучету корисника, а у свом најједноставнијем облику састоји од само мења све <SCRIPT>  ознаке у (на пример) <DEFANGED-SCRIPT> ознаке, што изазива пошту да их игноришу. Пошто постоји много места која сцриптинг команде могу да се користе у другим ознакама, процес дефангинг је компликованији од тога у пракси.

Буффер оверфлов напади

Бафер је регион меморије у којој је програм привремено складишти податке који се обрађује. Ако овај регион је претходно дефинисане, фиксне величине, а ако се програм не предузме кораке како би се осигурало да подаци уклапа у те величине, има буба: ако више подаци читају него ће се уклопити у тампон, вишак ће и даље бити написан , али ће продужити иза краја бафера, вероватно замена друга упутства података или програма.

Буффер оверфлов напад представља покушај да искористе ову слабост слањем неочекивано дуг низ података за програм да обрадимо. На пример, у случају програма за електронску пошту, нападач може послати фалсификовану Дате: заглавље које је дуго неколико хиљада знакова, у претпоставци да е програма очекује само Дате: заглавље које је дуго највише стотину знакова и функција не ‘ t проверите дужину података је уштеда.

Ови напади могу да се користе као Denial-of-Service напада, јер када је меморија једног програма бива случајно преписани програм ће обично срушити. Међутим, пажљиво градећи тачан садржај који преплављују бафер, да је у неким случајевима може да обезбеди програмске инструкције за компјутер жртве да изврши без сагласности жртве. Нападач је маилинг програм за жртве, и то ће водити компјутер жртве без дозволе жртве.

Имајте на уму да је ово резултат грешке у програму под нападом. Правилно написан E-mail клијент ће да дозволи случајни странци за покретање програма на рачунару без вашег пристанка. Програми подлежу буффер поплава су погрешно написана и мора да се поправи да трајно решите проблем.

Тампон преливи у пошту програма јављају у руковању заглавља порука и приврженост заглавља, што је информација коју E-mail клијент мора да обради како би знали детаље о поруци и шта да радим са њим. Текст у телу поруке, која се једноставно приказује на екрану и који се очекује да буде велика количина текста, се не користи као средство за буффер оверфлов нападе.

На недавно најављене преливне грешке у Outlook, Outlook Express и Netscape Mail су примери за то. Закрпе за Outlook су доступне преко Microsoft безбедности сајту .

Заглавља порука и аттацхмент заглавља могу да се прерадити од стране маил сервер да ограниче своје дужине до сигурне вредности. При томе ће спречити да се користи за напад на E-mail клијент.

Варијација на напад на бафера је да се изоставити информацију где се програм очекује да ће наћи неки. На пример, Microsoft курс реагује лоше када је тражио да обради MIME везивања заглавља који су експлицитно празна – на пример, име filename="" . Овај напад може да се користи само да негира услугу.

Тројански коњ Напади

Тројански коњ је злонамерни програм који маскира се као нешто бенигне у покушају да се стекне неопрезне корисника да га покрене.

Ови напади се обично користе да прекрши сигурност добијање поверења корисника да покренете програм који омогућава приступ непознатим корисника (на пример, постављањем даљински приступ задња врата софтвера), или да изазове штету, као што покушава да избрише све од датотеке на хард диску жртве. Тројански коњи могу да делују да украду информације или ресурсе или спроведу дистрибуирани напад, као што је дистрибуира програм који покушава да украде лозинке или друге информације везане за обезбеђење, или може бити “само-размножавање” програм који се око (као “маилова црв ” ) и такође маилбомбс циљ или брише датотеке (црва са ставом :).

Је “Люби тебя” црв је одличан пример тројанског коња напада: наизглед безопасне-Љубавно писмо је заправо био само-пропагирања програма.

За овај напад била успешна жртве морају предузети мере за покретање програма који су добили. Нападач може користити разне ” социјалног инжињеринга ” методе да убеди жртву за покретање програма; На пример, програм може да буде маскиран као љубавно писмо или списак шала, под именом специјално конструисан да искористе Windowsовог склоности за скривање важне информације од корисника.

Већина људи зна да је .txt екстензија се користи да означи да је садржај у датотеци су само обичан текст, за разлику од програма, али основна конфигурација Windows “је да се сакрије екстензија од стране корисника, тако да у директоријуму листинг датотеку под називом textfile.txt ће се појавити као само ” textfile ” (да би се избегло збуњивање корисника?).

Нападач може искористити ту комбинација ствари слањем прилога под називом “attack.txt.exe ” – Windows ће корисно сакрити .EXEекстензију, што се појави прилог да су бенигни текстуалну датотеку под називом “ attack.txt ” уместо програм. Међутим, ако корисник заборави да је Windows крије стварни екстензију за фајл и двоструки клик на прилогу, Windows ће користити пуну филенаме да одлучи шта да ради, а пошто.EXE указује на извршни програм Windows ради прилог. Блам! Ти власништву.

Типични комбинације наизглед бенигне и опасно-извршних проширења су:

  • xxx.TXT.VBS – an executable script (Visual Basic script) masquerading as a text file
  • xxx.JPG.SCR – an executable program (screen saver) masquerading as an image file
  • xxx.MPG.DLL – an executable program (dynamic link library) masquerading as a movie
  • Овај напад може да се избегне тако што не ради програме који су примили путем е-поште док су били проверени преко, чак и ако је програм изгледа безопасно, а посебно ако долази од некога кога не познајем и поверење.Доубле-клик на прилоге е-поште је опасна навика. 
  • До недавно, једноставно говорећи: “не двапут кликните на прилога” била је довољна да будемо сигурни. Нажалост, то више није случај.Бубе у клијента е-поште или лошег креирање програма може дозволити напад порука аутоматски изврши Тројански коњ прилог без интервенције корисника , било преко употребе активног HTML, скрипти или преливања буффер подвиге укључени у истом поруком као тројанског коња прилогу или комбинација ових. Ово је изузетно опасан сценарио и тренутно “у дивљини” као само-пропагирања E-mail црва који не захтева интервенцију корисника за инфекције да се догоди. Можете бити сигурни да то неће бити једини.У покушају да спречи ово, имена извршних датотека прилога може да се промени на такав начин да је оперативни систем не мисли да су извршна (на пример, мењањем “EXPLOIT.EXE” to “EXPLOIT.DEFANGED-EXE“) . Ово ће натерати корисника да сачува и преименовати датотеку пре него што се може извршити (дајући им прилику да размислите о томе да ли треба да се изврши, и давали своје антивирусни софтвер прилику да испита прилога пре него што почне), и смањује могућност да ће и други подвизи у истом поруком моћи да аутоматски пронађу и извршити програм Тројан Хорсе (јер је име промењено).Поред тога, за познате Тројански коњ програма формат прилог сама може самлевено на такав начин да је E-mail клијент не види прилог као прилог. Ово ће натерати корисника да контактира техничку подршку за преузимање прилог, и даје администратор система прилику да га испита.

    Унманглинг а Манглед прилог је прилично једноставан за администратора. У манглинг прилог оригиналу MIME заглавља везаност се помера надоле и заглавља везаност напад упозорења је уметнута. Нема информација се брише.

    Овде је списак скорашњи тројански коњ извршне и докумената, прикупљеним из БугТрак и Usenet упозорења и антивирусни вендор савјетовања:

  • Anti_TeRRoRisM.exe
    Ants[0-9]+set.exe
    Binladen_bra[sz]il.exe
    Common.exe
    Disk.exe
    IBMls.exe
    MWld.exe
    MWrld.exe
    MissWorld.exe
    Rede.exe
    Si.exe
    UserConf.exe
    WTC.exe
    amateurs.exe
    anal.exe
    anna.exe
    anniv.doc
    anti_cih.exe
    antivirus.exe
    aol4free.com
    asian.exe
    atchim.exe
    avp_updates.exe
    babylonia.exe
    badass.exe
    black.exe
    blancheneige.exe
    blonde.exe
    boys.exe
    buhh.exe
    celebrity?rape.exe
    cheerleader.exe
    chocolate.exe
    compu_ma.exe
    creative.exe
    cum.exe
    cumshot.exe
    doggy.exe
    dwarf4you.exe
    emanuel.exe
    enanito?fisgon.exe
    enano.exe
    enano?porno.exe
    famous.exe
    fist-f?cking.exe
    gay.exe
    girls.exe
    happy99.exe
    happy[0-9]+.exe
    hardcore.exe
    horny.exe
    hot.exe
    hottest.exe
    i-watch-u.exe
    ie0199.exe
    images_zipped.exe
    jesus.exe
    joke.exe
    kinky.exe
    leather.exe
    lesbians.exe
    list.doc
    lovers.exe
    matcher.exe
    messy.exe
    misworld.exe
    mkcompat.exe
    nakedwife.exe
    navidad.exe
    oains.exe
    oral.exe
    orgy.exe
    path.xls
    photos17.exe
    picture.exe
    pleasure.exe
    pretty park.exe
    pretty?park.exe
    prettypark.exe
    qi_test.exe
    raquel?darian.exe
    readme.exe
    romeo.exe
    sado.exe
    sample.exe
    seicho_no_ie.exe
    serialz.hlp
    setup.exe
    sex.exe
    sexy.exe
    slut.exe
    sm.exe
    sodomized.exe
    sslpatch.exe
    story.doc
    suck.exe
    suppl.doc
    surprise!.exe
    suzete.exe
    teens.exe
    virgins.exe
    x-mas.exe
    xena.exe
    xuxa.exe
    y2kcount.exe
    yahoo.exe
    zipped_files.exe

Наравно, црва аутори су сада висинг горе и именовања прилоге случајно, што доводи до закључка да сви .EXE фајлове треба блокирани.

Још један канал за Тројански коњ напада је преко датотека података за програм који обезбеђује макро (програмирање) језик, на пример, модерни хигх-поверед процесора, табеле и корисника база података алата.

Ако не можете једноставно одбацити прилоге који могу угрозити, препоручљиво је да инсталирате антивирусни софтвер (који открива и онемогућава макро-лангуаге Тројански коњи) и да ли увек отворена прилоге датотеку са подацима у програму је “аутоматски не извршавају мацрос “мод (нпр држећи [Схифт] тастер када двокликом прилог).

Исто тако: ако ваш систем администратор (или неко тврди да је администратор система) е-пошту вам је програм и тражи да га покренете, одмах постају веома сумњиво и проверу порекла е-поште за контакт свог администратора директно на неки други него E-mail средствима. Ако добијете прилог којој се тврди да је ажурирање оперативног система или антивирусну алатку, не ради . Оперативни систем продавци никада предати ажурирања путем е-маила, и антивирусни алати су лако доступни на антивирусни вендор сајтовима.

Shell Script Напади

Многи програми који раде под Уник и сличних оперативних система подржава могућност да уграђујете кратке скриптама (секвенце команди сличним датотеке команди под ДОС) у својим конфигурационим фајловима. Ово је уобичајен начин да се омогући флексибилно проширење својих могућности.

Неки програми пошта обраду непрописно продужи подршку за уграђене наредбе љуске у порукама које су прераде. Генерално ова могућност је укључена грешком, позивом на скрипту преузете из датотеке конфигурације за обраду текста неких заглавља. Ако заглавље је посебно форматирани и садржи наредби љуске, могуће је да ће та граната команде се извршавају као добро. Ово се може спречити програм скенира текст у заглављу за специјалне форматирање и измену тог форматирање пре него што буде усвојен на схелл на даљу обраду.

Пошто је форматирање треба да уградите скрипту у заглављу е-маил је прилично посебан, то је прилично лако открити и мења.

Web Bug приватности напади

HTML E-mail поруке могу да се односе на садржај који није у ствари у поруци, баш као веб странице може односити на садржај који није заправо на сајту домаћин страну. Ово може често може видети у рекламних банера – сајт на http://www.geocities.com/ могу укључивати баннер оглас који се преузимају са сервера на http://ads.example.com/ – када је изречена страница , веб претраживача аутоматски контактира веб сервер на http://ads.example.com/ и проналази Банер оглас слику. Ова проналажење датотеке је забележено у евиденцијама сервера на http://ads.example.com/ , дајући тиме је преузете и мрежну адресу рачунара преузимања слику.

Применом то HTML E-mail подразумева стављање имиџ референцу у телу поруке е-поште. Када се програм пошта проналази сликовне датотеке као део приказивања маил поруку кориснику, веб сервер логује на време и мрежну адресу захтјева. Ако слика има јединствен назив датотеке, могуће је одредити прецизно која порука е генерише захтев. Типично је слика нешто што неће бити видљив примаоцу поруке, на пример, слика која се састоји од само једног транспарентног пиксел, отуда и термин Web Bug – то је, на крају крајева, треба да се “тајни надзор.”

Такође је могуће користити позадина звука ознаку како би се постигао исти резултат.

Већина маил клијенти не може бити подешен да игноришу ове ознаке, тако да је једини начин да се спречи овај сноопинг је да мангле се слика и звук референтне ознаке на маил серверу.

може контактирати на  <jhardin@impsec.org>  – такође можете да  посетите моју почетну страницу .

Био бих веома заинтересован да чује од људи који су вољни да преведе ову страницу.