Підвищення безпеки електронної пошти з Procmail

Загрози, експлойти і напади

Email-атаки

Є чотири типи атак на системи безпеки, які можуть бути виконані за допомогою електронної пошти:

  • Активні атаки публікацій, які користуються різними активними HTML і скриптовими особливостями, і багами. 
  • Атаки на переповнення буфера, коли зловмисник посилає щось, що дуже велике, щоб уміститися в фіксований розмір буфера пам'яті в клієнті електронної пошти, в надії, що та частина, яка не вписується буде перезаписувати важливу інформацію, а не безпечно відкидатися. 
  • Атаки троянською програмою, де виконується програма або макромови сценаріїв, що надають доступ, викликають ушкодження, власне-розповсюдження чи роблять інші небажані речі поштою до жертви в якості вкладеного файлу, поміченого як щось невинне, таке як вітальна листівка або заставки екрану, або приховане під щось те, що жертва очікує, наприклад електронні таблиці або документ. Це також називається Соціальна інженерія, атака, де метою нападу є переконати жертву відкрити вкладення повідомлення. 
  • Атаки скрипта командного процесора, де фрагмент сценарію оболонки Unix входить в заголовки повідомлень в надії, що неправильно налаштований поштовий клієнт Unix буде виконувати команди.

Ще один напад на недоторканність приватного життя користувача, а не на безпеку системи, є використання так званих веб-багів, які можуть повідомити сайт відстеження, коли і де дане повідомлення електронної пошти зчитується.


Активні публікації та їх атаки, вони ж браузерні напади, Активні HTML напади або напади на скрипти

Ці атаки націлені на людей, які використовують веб-браузер або HTML-підключений поштовий клієнт для читання електронної пошти, якими в ці дні є дуже велика частина комп'ютерного співтовариства. Як правило, ці атаки намагаються використати особливості скриптів від HTML чи поштового клієнта (зазвичай Javascript або VBScript), щоб отримати особисту інформацію від комп'ютера жертви або виконати код на комп'ютері жертви без згоди жертви (і, можливо, без відома жертви).

Менш небезпечні форми цих дій можуть автоматично стати причиною того, що комп'ютер одержувача відобразить деякий вміст, який зловмисник хоче, наприклад, автоматично буде відкривати веб-сторінку реклами чи порнографії, коли повідомлення відкрито, чи буде виконувати Відмову в обслуговуванні нападу на комп'ютер одержувача через код, який заморожує або виводить з ладу браузер або весь комп'ютер.

Найпростіший спосіб, щоб повністю уникнути таких атак, це не використовувати веб-браузер або HTML-підключений поштовий клієнт для читання електронної пошти. Оскільки багато з цих атак не залежать від помилок у поштових клієнтах, вони не можна виправити за допомогою патчів клієнт електронної пошти. Якщо ви використовуєте веб-браузер або HTML-клієнт електронної пошти, ви будете уразливі для цих видів атак.

Крім того, так як деякі з цих атак залежить від поштового клієнта і в змозі виконати сценарії HTML, а не в залежності від слабкості тієї чи іншої операційної системи, ці атаки можуть бути крос-платформними. HTML-підтримка поштового клієнта на Macintosh, так само уразлива для активних-HTML поштових атак в якості поштового клієнта HTML-включеного в Windows, або Unix. Уразливість буде змінюватися від системи до системи, заснованої на клієнті електронної пошти, а не операційної системи.

Перемикання на НЕпідтримуючийHTMLінформований поштовий клієнт не є реалістичним варіантом для багатьох людей. Альтернативою є відфільтрувати або змінити ображаючий HTML-код або скрипт, перш ніж клієнт електронної пошти отримує можливість обробляти його. Він також може бути можливим, щоб налаштувати поштовий клієнт, щоб вимкнути інтерпретацію скриптового кода. Зверніться до документації за програмою деталей. Вимкнення скрипту в поштовому клієнті настійно рекомендується - немає ніяких підстав, щоб підтримати сценарії повідомлення електронної пошти.

Користувачі Microsoft Outlook повинні відвідати цю сторінку, яка описує оптимізацію параметрів безпеки в Outlook.

Нещодавно оголошені Outlook поштові черв'яки є прикладом цього нападу. Дивіться уразливості Bugtraq для більш докладної інформації.

Ще один спосіб захиститися від атак з активним контентом це калічити скрипт до того, як поштова програма має можливість побачити його. Це робиться на поштовому сервері під час отримання повідомлення і зберігається в поштовій скриньці користувача, і в своїй простій формі складається з простої зміни всіх <SCRIPT> тегів для (наприклад) <DEFANGED-SCRIPT> тегів, що спонукає поштову програму ігнорувати їх. Оскільки існує багато місць, в яких скриптові команди можуть бути використані в інших тегах, процес знешкодження проходить складніше, ніж це на практиці.


Атаки переповнення буфера

Буфер це область пам'яті, де програма тимчасово зберігає дані, які вона обробляє. Якщо ця область зумовленого, фіксованого розміру, і якщо програма не вживає заходів, щоб гарантувати, що дані вписуються в той розмір, є помилка: якщо більше даних читаєтья, ніж впишеться в буфері, надлишок все одно буде написано , але це буде виходити за кінець буфера і, ймовірно, потягне за собою заміни в інших інструкціях даних або програм.

Атака переповнення буфера є спробою використовувати цю слабкість, відправивши несподівано довгий рядок даних до програми для обробки. Наприклад, у випадку поштової програми, зловмисник може відправити ковані Дані: заголовок, який довжиною в кілька тисяч символів у припущенні, що поштова програма приймає тільки Дані: заголовок, який більш як на сто символів у довжину і не перевіряє довжину даних, які він зберігає.

Ці атаки можуть бути використані в якості "Відмови обслуговування" атак, тому що, коли пам'ять програми випадково перезаписують програма, як правило, зламається. Тим не менш, ретельно обробляючи точний зміст того, що переповнює буфер, в деяких випадках можлива поставка програмних інструкцій для комп'ютера жертви, щоб виконати їх без згоди жертви. Зловмисник надсилає поштою програму жертві, і він буде працювати за допомогою комп'ютера жертви не питаючи дозволу жертви.

Зверніть увагу, що це результат помилки в програмі під атакою. Правильно написаний клієнт електронної пошти не дозволить випадкові незнайомцям виконати їх програми на вашому комп'ютері без вашої згоди. Програми, що підлягають переповненню буфера, неправильно написані і повинні бути виправлені, щоб виконати їх і назавжди вирішити проблему.

Переповнення буфера в поштових програмах трапляються у спілкуванні з заголовками повідомлень і заголовками вкладень, що являє собою інформацію клієнт електронної пошти повинен обробити, щоб дізнатися подробиці про точний зміст того що це і що з ним робити. Текст в тілі повідомлення, яке просто відображається на екрані, і яке, як очікується, виконає їх і виявиться великою кількістю тексту, надсилає як носій для переповнення буфера.

Нещодавно оголошені помилки переповнення в Outlook, Outlook Express і Netscape Mail є прикладами цього. Патчі для Outlook, доступні через сайт безпеки Microsoft.

Заголовки повідомлень і заголовки прикріплених файлів можуть бути попередньо оброблені поштовим сервером, щоб обмежити їх довжину до безпечних значень. Зробивши це ви попередите їх використання для атаки клієнта електронної пошти.

Зміна до атаки переповнення буфера вилучає інформацію, де програма очікує, щоб знайти щось для атаки. Наприклад, Microsoft Exchange взаємодіє погано, коли запитується для атаки MIME вкладень заголовків, які явно порожні - наприклад, filename="". Ця атака може бути використана тільки щоб знайти щось для атаки.


Троянські атаки

Tроянський кінь це шкідлива програма, маскується під щось доброякісне в спробі отримати необережного користувача, щоб знайти щось для атаки.

Ці напади, як правило, використовуються для порушення безпеки, отримуючи програми користувача, запускаючи програму, яка надає доступ до ненадійного користувача, (наприклад, шляхом установки віддаленого доступу запасного  програмного забезпечення)), або викликати пошкодження, такі як спроба стерти всі файли на жорсткому диску жертви. Троянський кінь може виступати, щоб вкрасти інформацію або ресурси або здійснювати злам програм, наприклад, шляхом поширення програми, що намагається поцупити паролі або іншу інформацію про безпеку, або може бути програма, що "саморозповсюджується", як листи навколо себе ("черв’як") а також пошкоджують поштові програми або видаляє файли (черв'як зі ставленням :).

Черв’як "I Love You" є відмінним прикладом атаки Троянського коня: на вигляд нешкідливий любовний лист був насправді програмою, що саморозповсюджується.

Для цієї атаки, щоб досягти успіху жертва повинна вжити заходів, щоб запустити програму, що вона отримала. Зловмисник може використовувати різні методи "соціальної інженерії" щоб переконати жертву запустити програму; Наприклад, програма може бути замаскована під любовний лист або список жартів, з ім'ям файлу, спеціально побудованим, щоб скористатися схильністю Windows 'до приховування важливої інформації від користувача.

Більшість людей знає, що розширення .txt  використовується для вказівки, що вміст файлу є просто текст, на відміну від програми, але конфігурації за замовчуванням Windows приховую розширення файлів від користувача, так в каталозі лістингу файл з назвою textfile.txt з'явиться тільки "textfile" як (щоб уникнути плутанини може?).

Зловмисник може скористатися цією комбінацієюї речей, відправивши вкладення з ім'ям "attack.txt.exe" - Windows послужливо приховає розширення .exe, що робить вкладення, здається, файлом з назвою текстового файла з ім'ям "attack.txt" замість програми. Тим не менш, якщо користувач забуває, що Windows приховує реальне розширення файлу і подвійно клацне на вкладенніі, Windows буде використовувати повне ім'я файлу, щоб вирішити, що робити, а з виконуючою програмою .exeindicates, Windows запускає додаток. Бац! Ви попались.

Типові комбінації, мабуть, доброякісних і небезпечно-виконуваних розширень:
  • xxx.TXT.VBS - виконуваний скрипт (Visual Basic Script), що маскується під текстовий файл
  • xxx.JPG.SCR - виконувана програма (заставка) маскується під файл зображення
  • xxx.MPG.DLL - виконувана програма (бібліотека динамічного компонування) маскується під фільм

Цю атаку можна уникнути, просто не запускаючи програми, які отримано в електронній пошті, поки вони не будуть перевірені, навіть якщо програма, здається, була виправлена, і особливо, якщо вона виходить від когось, кого ви не дуже добре знаєте і довіряєте.

Подвійне клацання на поштові вкладення це небезпечна звичка.

До недавнього часу, просто сказати "не клацайте двічі на вкладення" було достатньо, щоб бути в безпеці. На жаль, це вже не так.

Помилки в клієнті електронної пошти або поганий дизайн програми може дозволити повідомленню атакувати автоматично і виконати вкладення Троянського коня без втручання користувача, або через використання активного HTML, сценаріїв або з переповненим буфером, розробки, включені в тому ж повідомленні як додаток Троянського коня або фільм. Ця атака вкрай небезпечна і її сценарій і особливо, якщо в "дикому" вигляді саморозповсюджуючого поштового черв'яка отримано без втручання користувача для того щоб відбулося інфікування. Ви можете бути впевнені, що це не буде тільки один.

У спробі запобігти цьому, імена виконуваних файлів,  що вкладені, не можуть бути змінені таким чином, що операційна система більше не вважає, що вони є виконуваними (наприклад, шляхом зміни "EXPLOIT.EXE" на "EXPLOIT.DEFANGED-EXE"). Це змусить користувача, зберегти і перейменувати файл перш ніж він може бути виконаний (даючи їм можливість подумати про те, чи слід дати їм бути виконаними, і даючи їх антивірусномуе програмному забезпеченню шанс вивчити вкладення, перш ніж воно запрацює), і це зменшує можливість того, що інші розробки в тому ж повідомленні зможуть знайти і виконати програму Троянського коня автоматично (так як назва була змінена).

Крім того, для відомих програм Троянського коня сам формат вкладення може бути спотворено таким чином, що клієнт електронної пошти більше не бачить вкладення як вкладення. Це змусить користувача звернутися до служби технічної підтримки, щоб отримати вкладення, і дає системному адміністраторові можливість вивчити його.

Розплутуючи спотворене вкладення досить просте рішення для адміністратора. У спотворенні вкладення початковий заголовок MIME вкладень зміщується вниз і вставляється заголовок вкладення атаки попередження. Ніяка інформація не видаляється.

Ось список останніх виконуваних файлів і документів Троянського коня, почерпнуті з BugTraq і новинної групи Usenet про попередження та оповіщення антивірусних програм:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

 

Звичайно, автори черв'яків тепер порозумнішали і називають вкладення випадково, що приводить до висновку, що всі файли з розширенням .EXE повинні бути заблоковані.

Ще один канал для атак Троянського коня це за допомогою даних файла для програми, яка надає макро (програмування) мову, наприклад, в сучасних потужних процесорах для обробки текстів, таблиць, баз даних та інструментів користувача.

Якщо ви не можете просто відмовитися від вкладень, які можуть поставити вас у ризик, рекомендується встановлювати антивірусне програмне забезпечення (яке виявляє і відключає макро-мову Троянського коня), і щоб ви завжди відкривали вкладення з файловою інформацією в програмах з режимом "не виконувати автоматично макроси" (наприклад, утримуючи клавішу [SHIFT] коли двічі клацаєте заголовок).

Також: якщо ваш системний адміністратор (або хтось хто стверджує, що він ваш системний адміністратор) шле Вам листа з програмою і просить, щоб ви запустили її, відразу ж віднесіться до цього з підозрою і перевірте походження електронного листа, звернувшись до адміністратора безпосередньо за допомогою іншого способу, ніж електронна пошта. Якщо ви отримуєте вкладення, яке стверджує, що воно є оновленням операційної системи або антивірусним засобом, не запускайте його. Постачальники операційної системи ніколи не доставляють оновлення по електронній пошті, і інструменти доступні на веб-сайтах постачальників антивірусних програм.


Атаки на скрипти оболонки

Багато програм, що працюють під Unix і подібними операційними системами, підтримують можливість вбудовування коротких сценаріїв оболонки (послідовність команд, подібних пакетних файлів під DOS) у свої конфігураційні файли. Це поширений спосіб, щоб отримати гнучке розширення їх можливостей.

Деякі поштові програми обробки неправильно розширюють цю підтримку вбудованих команд оболонки щоб досягти успіху в обробці. Взагалі ця можливість вставляється помилково, викликаючи скрипт з файлу конфігурації для обробки тексту деяких заголовків. Якщо заголовок вставляється відформатованим і містить команди оболонки, цілком можливо, що ці команди оболонки будуть виконані, як завжди. Це може бути попереджено за допомогою програми сканування тексту заголовка для спецформатування і його форматування, перш ніж вони опинилися в оболонці для подальшої обробки.

Оскільки форматування потребувало вставити скрипт в заголовок електронної пошти і це доволі специфічно, це досить легко виявити і змінити.


Веб-помилка атаки приватності

HTML-повідомлення електронної пошти може посилатися на контент, який насправді не в повідомленні, як веб-сторінка , що може посилатися на контент, який насправді не в хостингу сторінки веб-сайтів. Це може зазвичай бути видно в банерній рекламі - сайт на http://www.geocities.com/ може включати в себе банер, який витягується з сервера на http://ads.example.com/ - при відображенні сторінки, ,браузер автоматично зв'язується з веб-сервером на http://ads.example.com/ і витягує рекламний банер зображення. Цей пошук файлу записується в логи сервера в http://ads.example.com/, даючи час, коли  було одержано і мережну адресу комп'ютера для отримання зображення.

Застосовання цього до електронної пошти HTML включає в себе накладання посилання на зображення в тілі повідомлення електронної пошти. Коли поштова програма витягує файл зображення як частину відображення поштового повідомлення користувачу, веб-сервер реєструє час і мережеву адресу запиту. Якщо зображення має унікальне ім'я файлу, можна точно визначити, які повідомлення електронної пошти генерують запит. Зазвичай зображення є те, що не буде видно одержувачу повідомлення, зображення, яке складається тільки з одного прозорого пікселя, звідси і термін Web Bug - це файли, врешті-решт, призначені для "прихованого спостереження." Веб баг - це файли, врешті-решт, призначені для "прихованого спостереження."

Крім того, можна використовувати фоновий звук тега щоб досягти того ж результату.

Більшість поштових клієнтів не можуть бути налаштовані, щоб ігнорувати ці теги, так що єдиний спосіб запобігти цьому стеженню є калічення зображення і звуку довідкових тегів на поштовому сервері.


Зі мною можна зв’язатись за адресою  <jhardin@impsec.org> - також відвідайте мою домашню сторінку.

Оринмево статьи находится здесь