Didinti Elektroninio Pašto Saugumo su Procmail

Iš pradžių ne http://www.impsec.org/email-tools/sanitizer-threats.html.

Grėsmės, eksploatuoja ir išpuolių

Email atakų

Yra keturių rūšių išpuolių sistemos saugumui, kuri gali būti atliekamas elektroniniu paštu:

Kitas išpuolis naudotojo privatumą, bet ne sistemos saugumą, yra vadinamųjų interneto blakės, kuri gali pranešti apie sekimo svetainė, kur ir kada tam tikra siųsti pranešimą skaityti naudojimas.

Aktyvusis turinys atakų, dar žinoma kaip naršyklė atakų, aktyvios HTML priepuoliai ar priepuoliai skriptų

Šie išpuoliai skirtas žmonėms, kurie naudoja interneto naršyklę arba HTML įjungtas pašto klientą skaityti savo elektroninį paštą, kuris šių dienų yra labai didelė dalis skaičiavimo bendruomenei. Paprastai šie išpuoliai bandyti naudoti skriptų bruožus HTML arba į pašto klientas (paprastai Javascript arba VBScript) gauti asmeninę informaciją iš aukos kompiuteryje arba atlikti kodą aukos kompiuteryje be nukentėjusiojo sutikimo (ir galbūt be nukentėjusiojo žinios) ,
Mažiau pavojingų formų šių išpuolių gali automatiškai sukelti gavėjo kompiuterį pateikiama turinio užpuolikas norus, pavyzdžiui, automatiškai atidaryti reklama arba pornografijos tinklalapį, kai žinutė yra atidarytas arba atlikti Neigimas-of-Service išpuolį gavėjo kompiuterio per kodas, kuris užšąla arba sugenda naršyklę arba visą kompiuterį.

Paprasčiausias būdas visiškai išvengti tokių išpuolių yra nenaudoti naršyklę arba HTML įjungtas pašto klientą skaityti savo el. Kadangi daugelis šių išpuolių nepriklauso nuo klaidų į elektroninio pašto kliento programinės įrangos, jie negali būti užkirstas kelias per lopai į elektroninio pašto klientas. Jei naudojate naršyklę arba HTML žino elektroninio pašto klientas, jums bus pažeidžiami šių rūšių išpuolių.

Be to, kaip kai kurie iš šių išpuolių priklauso nuo pašto klientas galėtų vykdyti scenarijus HTML, o ne priklausomai nuo konkretaus operacinės sistemos trūkumų, šie išpuoliai gali būti cross-platform. HTML įjungtas pašto klientas Macintosh yra lygiai taip pat pažeidžiami aktyvios HTML elektroninio pašto atakų kaip HTML įjungtas pašto klientas Windows arba Unix. Vulnerabilty gali skirtis nuo sistemos prie sistemos, remiantis kliento elektroninio pašto, o ne operacinės sistemos.

Perėjimas prie ne HTML-Aware pašto klientas yra ne reali galimybė daugeliui žmonių. Alternatyva yra filtruoti arba pakeisti neteisėtų HTML arba programinį kodą prieš elektroninio pašto klientas gauna galimybę jį tvarkyti. Ji taip pat gali būti galimybė sukonfigūruoti savo pašto klientą išjungti iš scenarijų kodas aiškinimą. Kreipkitės programos dokumentacijoje. Išjungus turėti savo elektroninio pašto klientas primygtinai rekomenduojama – nėra gera priežastis remti scenarijus pašto pranešimus.

Microsoft Outlook vartotojai turėtų apsilankyti šį puslapį, kad aprašoma užveržimo žemyn Outlook saugumo nustatymus.

Neseniai paskelbtais Outlook pašto kirminai yra šios atakos pavyzdys. Žr. Bugtraq Vulnerability duomenų bazę, gauti daugiau informacijos.

Kitas būdas ginti nuo aktyvaus turinio išpuolių yra išdarkyti skriptų iki pašto programa turi galimybę pamatyti ją. Tai daroma pašto serveryje tuo metu, kai pranešimas yra gautas ir saugomi vartotojo pašto dėžutę ir jos paprasčiausios formos sudaro tik keičiant viską <SCRIPT> žymes (pvz) <DEFANGED-SCRIPT> žymeles, kurios sukelia pašto programa juos ignoruoti. Kadangi yra daug vietų, kad skriptų komandas galima naudoti kitose žymomis, ilčių pašalinimas procesas yra sudėtingesnis nei tai praktikoje.

Buferio išpuolių

Buferis yra atminties regionas, kuriame programa laikinai saugo duomenis, kad ji yra apdorojimo. Jei šis regionas yra iš anksto, fiksuoto dydžio, ir jei programa nėra imasi priemonių užtikrinti, kad duomenys telpa tokio dydžio, ten klaida: jei daugiau duomenų skaityti, nei telpa per buferio, perteklius dar bus parašyta , tačiau jis bus taikomas pro buferio pabaigoje tikriausiai vietoj kitų duomenų ar programos instrukcijas.

Buferio ataka tai bandymas panaudoti šiuos trūkumus siunčiant netikėtai ilgą eilutę duomenų, kad programa procesą. Pavyzdžiui, į elektroninio pašto programos atveju, užpuolikas gali atsiųsti suklastotą data: antraštę, kad yra keli tūkstančiai simbolių ilgio, o prielaida, kad pašto programa tikisi tik Data: antraštę, kuri manimi ne daugiau kaip šimtą simbolių ilgio ir doesn ‘ T patikrinti duomenis jis taupymo ilgį.

Šie išpuoliai gali būti naudojamas kaip neigimas-of-service atakos, nes kai programos atmintis pasireiškia atsitiktinai perrašyti programa paprastai avariją. Tačiau atidžiai apdorodami tikslius turinį, kas liejasi buferį, tai kai kuriais atvejais galima pateikti programos nurodymus dėl aukos kompiuteryje vykdyti be nukentėjusiojo sutikimo. Užpuolikas yra pašto programą nukentėjusiajam ir jis bus paleisti aukos kompiuterio neklausiant aukos sutikimą.

Atkreipkite dėmesį, kad tai yra iš programoje pagal ataka klaidų rezultatas. Tinkamai parašytas elektroninio pašto klientas neleis Atsitiktinės svetimi paleisti programas į savo kompiuterį be jūsų sutikimo. Programos, kurioms taikoma buferio perpildymas yra neteisingai parašyta ir turi būti pataisytas visam laikui išspręsti šią problemą.

Buferio perpildymas pašto programose atsiranda dirbant pranešimų antraštes ir įtvirtinimo antraštes, kuriame pateikiama informacija, elektroninio pašto kliento poreikius apdoroti, siekiant sužinoti informaciją apie pranešimą ir ką daryti su juo. In pranešimo, kuris yra tiesiog rodomas ekrane ir kuris manoma, kad bus didelis kiekis tekste tekstas, yra ne naudojama kaip pagrindas buferio atakų transporto priemonės.

Neseniai paskelbtais perpildymo klaidų Outlook, Outlook Express ir Netscape Mail yra pavyzdžiai. Lopai Outlook yra prieinama per Microsoft saugumo svetainėje.

Laiškų antraštes ir tvirtinimo antraštės gali būti preprocessed iš pašto serverio apriboti jų ilgį į saugias vertybes. Tokiu būdu bus neleisti jiems naudojami pulti pašto klientą.

Variantas ant buferio perpildymo atakos yra praleisti informaciją, kur programa yra tikėdamasis rasti kai kurie. Pavyzdžiui, “Microsoft Exchange reaguoja blogai, kai jis paklausė, apdoroti MIME areštas antraštes, kurios yra aiškiai tuščia – pavyzdžiui, filename=””. Ši ataka gali būti naudojamas tik paneigti paslaugą.

Trojos arklys priepuoliai

Trojos arklys yra kenkėjiška programa, kuri apsimeta kažkuo gerybinės bandant susidaryti neatsargių vartotojui paleisti jį.

Šie išpuoliai paprastai naudojami pažeisti saugumą gauti patikimą vartotojui paleisti programą, kad suteikia prieigą prie nepatikimo vartotojui (pavyzdžiui, įrengiant nuotolinio prieigą galines duris programinė įranga), arba sugadinti, pavyzdžiui, bandant ištrinti visus iš failus nukentėjusiojo kietajame diske. Trojos arkliai gali veikti pavogti informaciją arba išteklių ar įgyvendinti paskirstyta priepuolis, pavyzdžiui, platinant programą, kuri bando pavogti slaptažodžius ar kitą saugumo informacijos, arba gali būti programa “savarankiškai dauginamoji”, kad pati aplink (A “worm” laiškai ), taip pat mailbombs tikslą arba ištrina failus (kirminą su požiūris :).

Į “I Love You” kirminas yra puikus pavyzdys, kaip Trojos arklys ataka: iš pažiūros-nežalingas meilės laiškas iš tikrųjų buvo savarankiškai dauginamosios programa.

Dėl šio išpuolio pavyktų auka turi imtis veiksmų, kad paleisti programą, kad jie gavo. Užpuolikas gali naudoti įvairias “socialinės inžinerijos” metodus įtikinti nukentėjusįjį paleisti programą; Pavyzdžiui, programa gali būti užmaskuoti kaip meilės laiškas ar pokštas sąrašą, su failo specialiai sukonstruotos taip, kad pasinaudoti Windows polinkis slepiasi svarbi informacija iš vartotojo.

Dauguma žmonių žino, kad .txt plėtinys naudojamas rodo, kad failo turinys yra tik paprastą tekstą, o ne programa, bet Windows numatytoji konfigūracija yra paslėpti failo plėtinys nuo naudotojo, todėl katalogą sąrašą failą pavadinimu textfile txt bus rodomi kaip tik “textfile” (neklaidinti vartotojo?).
Užpuolikas gali pasinaudoti šia dalykų kartu siunčiant priedą, pavadintą “attack.txt.exe” – Windows paslaugiai paslėpti plėtiniu .exe, todėl areštas atrodo gerybinis tekstinį failą pavadinimu “attack.txt” vietoj programa. Tačiau jei vartotojas pamiršta, kad Windows slepiasi tikrąjį failo pavadinimo plėtinį ir dukart paspaudimų ant tvirtinimo, Windows naudoti pilną failo vardą turi nuspręsti, ką daryti, ir nuo .exe rodo vykdomąjį programa Windows paleidžia priedą. Blam! Jūs nuosavybė.
Tipinės deriniai matyt-gerybinių ir pavojingai-vykdomąjį plėtiniais yra:

Ši ataka galima išvengti paprasčiausiai neveikia programas, gautas elektroniniu paštu, kol jie buvo patikrinti daugiau, net jei atrodo, kad programoje būtų nekenksmingas ir ypač jei kalbama apie ką nors, jūs neturite gerai pažįsta ir kuriais pasitiki.

Dukart spustelėjus elektroninio pašto priedus yra pavojingas įprotis.

Iki neseniai, tiesiog pasakyti “ne dukart spustelėkite priedais” buvo pakankamai, kad būtų saugūs. Deja, tai nėra tas atvejis.

Bugs pašto klientas ar prastos programos dizainas gali leisti ataka žinutė automatiškai vykdyti Trojos arklys areštas be jokio vartotojo įsikišimo, per arba aktyvaus HTML, skriptų naudojimą ar buferio perpildymo išnaudoja įtrauktos į tą patį pranešimą kaip Trojos arklys areštas arba jų derinys. Tai labai pavojingas scenarijus ir šiuo metu yra “laukiniai”, kaip savarankiškai dauginamosios pašto kirminas, kuris nereikalauja jokio vartotojo įsikišimo už infekcija atsirasti. Galite būti tikri, kad tai bus ne vienintelis.

Bandant išvengti to, kad vykdomąjį failų priedus pavadinimai gali būti pakeista tokiu būdu, kad operacinė sistema nebėra mano, jog jie yra vykdomąjį (pavyzdžiui, keičiant “EXPLOIT.EXE” į “EXPLOIT.DEFANGED-EXE”) , Tai bus priversti vartotoją išsaugoti ir pervadinti failą prieš jį gali būti įvykdytas (suteikiant jiems progą pagalvoti apie tai, ar jis turi būti įvykdytas, ir suteikti savo antivirusinę programinę įrangą neišnagrinėjusi priedą, prieš tai pradeda veikti), ir tai sumažina tikimybė, kad kitų eksploatuoja tos pačios pranešimą galės automatiškai rasti ir vykdyti Trojos arklių programos (nes pavadinimas buvo pakeistas).

Be to, žinomų Trojos arklys programų pati areštas formatas gali būti mangled tokiu būdu, kad elektroninio pašto klientas nebegali mato priedą kaip priedą. Tai bus priversti vartotoją susisiekti techninę paramą gauti priedą, ir suteikia sistemos administratorius galimybę jį išnagrinėti.

Unmangling yra mangled areštas yra gana paprasta administratoriui. Be gręžimo priedą originalus MIME tvirtinimo antraštė perkeliama žemyn ir ataka įspėjimas tvirtinimo antraštė įdėta. Nėra informacijos išbraukiamas.

Čia yra pastaraisiais Trojos arklys vykdomąjį ir dokumentai, surinktą iš bugtraq ir Usenet įspėjimais ir antivirusinė pardavėjas patarimus sąrašas:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

Žinoma, kirminas autoriai dabar wising aukštyn ir pavadinimų priedus atsitiktinai, kuris leidžia daryti išvadą, kad visi .EXE failai turi būti užblokuotas.

Kitas kanalas Trojos arklys išpuolių yra per duomenų failą programa, kuri suteikia makro (programavimas) Kalba, pavyzdžiui, šiuolaikinės galingi teksto procesoriai, skaičiuoklės ir vartotojo duomenų bazės įrankiai.

Jei negalite tiesiog išmesti prikabinti failų, kurie gali jums pakenkti, tai yra rekomenduojama, kad jūs įdiegti antivirusinę programinę įrangą (kuri aptinka ir išjungia makro kalbą Trojos arklius) ir, kad jūs visada atvira duomenų failų priedų programų “ne automatiškai įvykdyti makrokomandos “režimas (pavyzdžiui, laikydami nuspaudę [SHIFT] klavišą, kai dukart spustelėdami priedą).

Taip pat: jei jūsų sistemos administratorius (ar kas nors teigia, kad būti jūsų sistemos administratorius) atsiųs jums programą, ir ragina paleisti ją iš karto tampa labai įtartinas ir patikrinti el kilmę susisiekę tiesiogiai su administratoriumi kai kurių kitų nei paštu priemonėmis. Jei gaunate priedą teigdamas, kad operacinės sistemos atnaujinimo ar antivirusinė priemonė, ne paleisti jį.

Operacinė sistema pardavėjai niekada pristatyti atnaujinimus elektroniniu paštu, ir antivirusinių įrankiai yra lengvai prieinami ne antivirusinė pardavėjas svetainėse.

Apvalkalo Shell Script

Daugelis programos veikia pagal Unix operacinių sistemų ir analogiškų remti gebėjimą įdėti trumpus apvalkalo scenarijuose (sekas komandas, panašių į paketinio pagal DOS) savo konfigūracijos failus. Tai yra bendras būdas galima lanksčiai išplėsti jų galimybes.

Kai kurios pašto apdorojimo programos netinkamai pratęsti šį paramą įterptųjų lukštais komandas į pranešimus jie apdorojami. Paprastai tai galimybė yra įtraukta per klaidą, paskambinę apvalkalo scenarijus paimtas iš konfigūracijos failą apdoroti kai kurių antraščių tekstą. Jei antraštė yra specialiai suformatuotas ir yra apvalkalo komandas, ji yra įmanoma, kad šie apvalkalo komandos bus gauti vykdomas taip pat. Tai gali būti užkirstas kelias programos skenuojant antraštės tekstą specialią formatavimą ir kintančios, kad formatavimas, kol ji tampa perduota tolesniam perdirbimui lukštais.

Kadangi formatavimo reikia įdėti apvalkalo scenarijų pašto antraštėje yra gana ypatinga, tai gana lengva aptikti ir pakeisti.

Interneto Bug privatumo atakų

HTML pranešimą elektroniniu paštu gali kreiptis į turinį, kuris nėra faktiškai per pranešimą, kaip tinklalapio galite kreiptis į turinį, kuris iš tikrųjų nėra tuo svetainės talpinimui puslapį. Tai dažniausiai galima pamatyti banerių – zvilgsnis http://www.geocities.com/ svetainė gali apimti reklama reklama, kuri gauta iš serverio ne http://ads.example.com/ – kai atvaizduojant puslapį , interneto naršyklė automatiškai susisiekia su interneto serveriu http://ads.example.com/ ir nuskaito baneriui įvaizdį. Šis failas paieška įrašomas į serverio žurnaluose http://ads.example.com/, suteikiant laiko ji buvo priimtus ir tinklo adresą kompiuterio ieškančio vaizdą.

Taikant šį HTML paštu apima išleisti vaizdo nuoroda, atsižvelgiant į elektroninio pašto pranešimą kūno. Kai pašto programa nuskaito vaizdo failui kaip rodyti laišką vartotojui, interneto serverio žurnaluose laiką ir tinklo adresą prašymu. Jei vaizdas turi unikalų failo, tai yra įmanoma tiksliai nustatyti, kurio el.pašto pranešimą sukurtas prašymą. Paprastai vaizdas yra kažkas, kad bus ne matoma pranešimo gavėjo, pavyzdžiui vaizdas, sudaro tik vieną permatomą pikselių, taigi terminas Web Bug – tai, galų gale, skirtas būti “slaptą sekimą”.

Ji yra taip pat galima naudoti fono garso žymą pasiekti tą patį rezultatą.

Dauguma pašto klientai negali būti konfigūruojamas, kad ignoruoti šias žymes, todėl vienintelis būdas išvengti šios Šnipinėjimas yra išdarkyti vaizdas ir garsas atskaitos žymių pašto serverio.

Aš gali būti susisiekta <jhardin@impsec.org> – jūs taip pat galėtų apsilankyti mano puslapyje.