E-Mail Xavfsizligini Procmail Yordamida Kuchaytirish (davomi)

Tahdidlar, qilmishlar va hujumlar


E-mail asoslangan Hujumlar

Odatda elektronik pochta orqali sistema havfsizligiga hujumlarni to’rt xili mavjud: 

  • Faol Kontent hujumlar – bo’lgan foyda olish, turli faol HTML va sifatida xususiyatlari va hasharotlar.
  • Bufer Toshqin hujumlar – qaerda unga yuboradi elektron pochta sobit-xotira hajmi bir bufer mos uchun juda katta narsa mijoz, mos emas, deb qismi tanqidiy overwrite beradi degan umidda xavfsiz tashlanadi bo’lish o’rniga ma’lumot.
  • Troyan ot hujumlar – qaerda bir executable dasturi yoki kirish, zarar sabab beradi, deb so’l-skript til, o’z-o’zini propagates yoki boshqa yoqmaydigan narsalar fayl bir ilova sifatida jabrlanuvchi uchun pochta orqali qilsa bo’ladi narsa, tabrik karta yoki ekran saqlagichi kabi, yoki zararsiz hisoblanadi sifatida nishonlangan jabrlanuvchi kutayotgan bir elektron jadval kabi bir narsa, yoki yashirin hujjat. Bu, shuningdek, bir deyiladi Ijtimoiy Muhandislik hujum, qaerda gol hujum uchun ishonch hosil bo’lgan jabrlanuvchi xabar ilova ochish uchun.
  • Qobiq Skript hujumlar – qaerda bir qism bir Unix qobiq skript xabar bir degan umidda sarlavhalarini, shu jumladan noto’g’ri-tuzilgan Unix pochta mijoz buyruqlarni amalga oshirish bo’ladi.

Tizim xavfsizlik haqida foydalanuvchining shaxsiy hayoti haqida emas, balki, yana bir hujum qiladi foydalanish deb atalmish Veb Xato mumkin xabardor bir tomosha qilishberilgan elektron pochta xabari bo’lsa sayt o’qish.


Faol Kontent Hujumlar – Brauzer Hujumlar, Aktiv HTML Hujumlar yoki Skripting Hujumlar 

Bu hujumlar veb-brauzeringizni ishlatish yoki-ni yoqishingiz HTML odamlar qaratilgan bor mijoz bu kun juda katta bir qismi bo’lgan o’z elektron pochta, elektron pochta o’qish uchun hisoblash hamjamiyati. Odatda bu hujumlar foydalanish uchun urinish sifatida xususiyatlari HTML yoki e-pochta mijozi (odatda Javascript yoki VBScript) jabrlanuvchi kompyuter from xususiy ma’lumot olish uchun yoki jabrlanuvchi ning roziligisiz jabrlanuvchi kompyuter bo’yicha kodi (va amalga oshirish ehtimol, jabrlanuvchi-ning bilim) holda.

Kamroq bu hujumlar xavfli shakllari avtomatik olib kelishi mumkin oluvchi kompyuter tajovuzkor tilaklar ayrim kontentni ko’rish uchun, kabi bo’ldi avtomatik ravishda qachon reklama yoki pornografiya bir veb-sahifa ochish xabar ochildi, yoki qiluvchining bo’yicha Rad–Xizmati hujum bir amalga oshirish yoki brauzer qaytmoqda cho’kadi bu kod orqali kompyuter yoki butun kompyuter.

Butunlay bunday hujumlar oldini olish uchun eng oson yo’li, bir veb foydalanish uchun emas, balki brauzer yoki HTML-ni yoqishingiz sizning e-mail elektron pochta o’qish uchun mijoz. Ko’p beri bu hujumlar elektron pochta mijoz dasturi hasharotlar, ular bog’liq emas elektron pochta mijoz uchun yamalar orqali oldini olish mumkin emas. Agar veb foydalanayotgan bo’lsangiz, brauzer yoki HTML-xabardor elektron pochta mijoz, siz beradi bo’lishi zaif uchun hujumlar bu turlari.

Bu hujumlar ba’zi elektron pochta mijoz uchun ega bo’lish bog’liq sifatida ham, scripted HTML amalga oshirish o’rniga har qanday kamchiliklardan qarab xususan, operatsion tizim, bu hujumlar cross-platform bo’lishi mumkin. Bir HTML-ni yoqishingiz bir Makintosh bo’yicha elektron pochta mijoz kabi himoyasiz qilish Windows HTML-ni yoqishingiz elektron pochta mijoz sifatida faol-HTML elektron pochta hujumlar yoki Unix. Bu vulnerabilty tizimi elektron pochta asoslangan tizimdan farq qiladioperatsion tizimi o’rniga mijoz.

Nooziq-HTML-xabardor elektron pochta mijoz o’tish uchun aniq bir variant emas ko’p odamlar. Muqobil filtrlaydigan uchun yoki offending HTML yoki o’zgartirishelektron pochta mijoz oldin skript kodini bu jarayon uchun bir imkoniyat bo’ladi. U mumkin bundan tashqari, mumkin o’chirish uchun elektron pochta mijoz modernizatsiya qilish uchun bo’lishi skript kodini talqini. Batafsil ma’lumot uchun dastur sizning hujjatlarni ko’rish. O’chirib sifatida sizning e-pochta mijozi hisoblanadi kuchli tavsiya – scripted email xabarlarini qo’llab-quvvatlash uchun yaxshi hech qanday sabab yo’q.

Microsoft Outlook foydalanuvchilar tasvirlaydi ushbu sahifani tashrif kerak Outlook xavfsizlik sozlamalarini pastga qarab qattiqroq siqib.

Yaqinda-e’lon Outlook elektron pochta qurtlarni bu hujum misol bo’ladi. Qarang batafsil ma’lumot uchun Bugtraq Vulnerability ma’lumotlar bazasi.

Faol-mazmunini hujumga qarshi himoya qilish uchun yana bir yo’l mangle uchun pochta dasturi oldin sifatida uni ko’rish uchun bir imkoniyat bor. Bu bo’yicha amalga oshiriladi vaqt xabar da pochta serveri va qabul saqlanadi foydalanuvchi va oddiy uning shaklida pochtasi faqat barcha o’zgaruvchan iborat <SCRIPT> teglar (masalan)<DEFANGED-SCRIPT> teglar, qaysi sabab pochta dasturi ularni mensimaslik. Sifatida buyruqlar bo’lishi mumkin, ko’p joylar bor ekan boshqa teglar ichida ishlatiladi, defanging jarayonida bu nisbatan murakkabroq amalda.


Bufer Toshqin Hujumlar

Bir bufer dastur vaqtincha ekanini ma’lumotlarni saqlaydi qaerda xotira bir viloyati bo’lgan qayta ishlash. Agar bu viloyatida agar oldindan, sobit hajmi va bo’lsa, dastur qadamlar ma’lumotlar deb hajmi doirasida mos bo’lishini ta’minlash uchun qabul qilmaydi agar ko’proq ma’lumot bufer, ichida mos bo’ladi nisbatan o’qib bo’lsa, bir xato bor:ortiqcha shunday bo’lsa-da, lekin bufer oxirida o’tgan uzaytirish bo’ladi,yozilgan bo’ladi ehtimol, almashtirish va boshqa ma’lumotlarni yoki dastur, ko’rsatmalarga.

Bir bufer toshib hujum, bir urinish foydalanish, bu zaiflik yuborib, bir dastur ishlash uchun ma’lumotlar kutilmagan uzoq string. Masalan, elektron pochta dasturining holda, unga bir forged yuborish mumkin Sana: header, deb bir necha ming belgilar uzoq, taxmin elektron pochta dasturi faqat kutadi bir Sana:header bunda eng yuz belgilar uzoq va uzunligi tekshirish emas ma’lumotlar tejash bo’ladi.

Bu hujumlar qachon, chunki-Rad-Xizmat hujumlar sifatida foydalanish mumkin bir dastur xotira dasturi bo’ladi tasodifiy overwritten odatda oladi avtohalokatda. Ammo, diqqat overflows nima aniq mazmunini işçiliği tomonidan bufer, ba’zi hollarda iloji uchun dastur, ko’rsatmalarga ta’minoti uchun jabrlanuvchi kompyuter jabrlanuvchi ning roziligisiz amalga oshirish uchun. Bu tajovuzkor bo’ladi jabrlanuvchi uchun dastur pochta, jabrlanuvchi kompyuter tomonidan boshqariladi bo’ladi jabrlanuvchi ning ruxsat so’ramay.

Bu hujum ostida dasturi bir xato natijasi ekanligini unutmang. Bir to’g’ri yozilgan va elektron pochta mijoz bo’ladi emas ruxsat tasodifiy strangers uchun sizning roziligisiz kompyuteringizga dasturlarini ishga tushirish. Dasturlari mavzu uchun bufer overflows noto’g’ri yozilgan va doimiy ravishda uchun patched bo’lishi kerak muammo to’g’ri.

Xabar muomala sodir sarlavhalarini pochta dasturlari overflows va bufer ma’lumotlarni elektron pochta mijoz qaysi ilova sarlavhalarini, ishlash kerak u bilan, albatta, nima xabar haqida ma’lumot va bilish maqsadida. Matn shunchaki ekranda ko’rsatiladi qaysi xabar, tana va qaysi matn katta miqdorda bo’lishi kutilmoqda avtomobil sifatida ishlatiladi emas bufer toshib hujumlar uchun.

Yaqinda-e’lon toshib xato Dunyoqarashi, Outlook Express va Netscape Mail, bu misollar bor. Outlook uchun yamalar orqali mavjud Microsoft security sayt.

Sarlavhalarini va ilova sarlavhalarini xabarni pochta orqali preprocessed bo’lishi mumkin server xavfsiz qadriyatlar, ularning uzunligi cheklash. Bu yo’l ularni oldini oladielektron pochta mijoz hujum uchun ishlatiladi.

Bufer toshib hujum bir o’zgarish bu erda axborot tark qilish dastur ba’zi topish uchun kutmoqda. Misol uchun, Microsoft Exchange munosabatda yomon ekanligini MIME ilova sarlavhalarini jarayoni so’radi u qachon aniq bo’sh – masalan, filename="". Bu hujum mumkin, faqat xizmat inkor uchun foydalanish mumkin.


Troyan Ot Hujumlar

Bir Trojan Ot hisoblanadi zararli dastur deb maskaradlaydigan sifatida yaxshi narsa bir uni ishlatish uchun unwary foydalanuvchi olish uchun harakat.

Bu hujumlar, odatda, ishonchli foydalanuvchi olish bilan xavfsizlik buzilishi uchun ishlatiladi uchun untrusted foydalanuvchi (masalan, kirish grantlar, deb dasturini ishga tushirish o’rnatish uzoq-kirish orqa eshik dastur) sifatida, yoki zarar olib kelishi uchun bunday fayllar barcha tozalashga uchun harakat jabrlanuvchi qattiq disk. Troyan Otlari ma’lumotlarni o’g’irlash uchun harakat qilishi mumkin yoki resurslar yoki tarqalgan bir hujum amalga oshirish, tarqatish tomonidan kabi bir dastur deb parollar yoki boshqa xavfsizlik ma’lumotlarni o’g’irlash uchun, yoki urinishlar bir bo’lishi mumkin “o’zini-targ’ib” atrofida o’zi mail, deb dasturi (“qurt” (worm)) va, shuningdek, bir maqsad yoki fayllar o’chiriladi mailbombs (bir munosabat bilan bir qurt :).

“Men Sizni Sevaman” qurt Trojan Ot bir  mukammal namunasidir hujum: aftidan-zararsiz hisoblanadi sevgi xat edi, aslida, bir o’z-o’zini targ’ib dastur.

Bu hujum qurboni harakat dasturini ishga tushirish uchun olish kerak muvaffaqiyatga erishish uchun qabul qildi, ular ayting. Bu tajovuzkor, turli foydalanishingiz mumkin”ijtimoiy muhandislik” usullari ishonch hosil qilish uchun jabrlanuvchi ishlatish uchun dastur uchun; masalan, dastur sevgi bir harf yoki hazil sifatida ro’yxati bilan disguised bo’lishi mumkin bu filename Windows’ istagi foyda olish uchun maxsus qurilgan foydalanuvchi dan muhim ma’lumotlarni yashirish uchun.

Ko’p odamlar, deb bilaman .txt kengaytmasi ishlatiladi deb ko’rsatish fayl ning mazmunini faqat bir dastur uchun o’laroq tekis matn, lekin bor Windows’ standart konfiguratsiya dan filename kengaytmalari yashirish uchun foydalanuvchi, shunday bir korxonalar, listing, bir fayl nomidagi textfile.txt bo’ladi paydo bo’lib, faqat “textfile” (oldini olish uchun chalkash foydalanuvchi?).

Bir tajovuzkor bir yuborib narsalarni bu kombinatsiya foyda olish mumkin ilova nomidagi “attack.txt.exe” – Windows bo’ladi helpfully yashirish bu .exe kengaytmasi qilish, ilova paydo bo’lishi uchun bir yaxshi matnli fayl nomidagi “attack.txt” buning o’rniga, bir dastur. Bu bo’lsa, ammo, foydalanuvchi Windows haqiqiy filename kengaytmasi yashirish va bu forgets ikki marta bosish ilova bo’yicha, Windows uchun to’liq filename foydalanadi qaror nima uchun, albatta,, va, chunki .exe ko’rsatadi, bir executable dasturi, Windows ilova ishlaydi. Ux ti! Egalik ekansiz.

Tashqi ko’rinishiga ko’ra-yaxshi va dangerously-executable kengaytmalari mavjud namunaviy birikmalar:

  • xxx.TXT.VBS – bajariladigan skript (Visual Basic Script) matn ko’rinishida maskirovka qiladi
  • xxx.JPG.SCR – bajariladigan programma (ekran zastavkasi) rasm fayl ko’rinishida maskirovka qiladi
  • xxx.MPG.DLL – bajariladigan programma (dinamik kutubxona) film ko’rinishida

Bu hujum shunchaki qilingan dasturlar ishlaydigan emas orqali oldini olish mumkin agar dastur ko’rinadi bo’lsa ham tekshiriladi ustidan edi, ular bor qadar elektron qabul qildi, bo’lishi uchun zararsiz va ayniqsa, agar u kelgan kimdir sizni bilmayman yaxshi va ishonch.

Email qo’shimchalari bo’yicha ikki marta bosish xavfli odat hisoblanadi.

Yaqinda qadar, shunchaki “-ikki marta bosing bo’yicha emas deb qo’shimchalari” xavfsiz bo’lishi uchun etarli bo’ldi Afsuski, bu endi bo’ladi voqea.

Elektron pochta mijoz yoki kambag’al dastur dizayni xato hujum ruxsat berishi mumkin xabar avtomatik ravishda amalga oshirish, bu Troyan ilova holda har qandayfoydalanuvchi aralashuviorqali ham foydalanish faol HTML, sifatida yoki bufer toshib qilmishlari bir xil xabar kiritilgan Troyan Ot sifatida ilova yoki bu birikmasi. Bu bir juda xavfli stsenariy va hozirda ” yirtqich” kabi o’z-o’zini targ’ib elektron pochta qurt talab hech foydalanuvchi aralashuvi uchun infektsiyani uchun sodir bo’ladi. Siz bu faqat bir bo’lmaydi, deb ishonch hosil bo’lishi mumkin.

Bu oldini olish uchun bir urinish, executable nomlari qo’shimchalari mumkin fayl operatsion tizim endi ular o’ylasa shunday bir tarzda o’zgartirilishi bor executable (masalan, o’zgaruvchan “EXPLOIT.EXE” “foyda olish.DEFANGED-EXE“). Bu foydalanuvchi uchun kuch beradi qatl bo’lishi mumkin oldin va faylni saqlash va qayta nomlash (ularga imkoniyat berib, haqida o’ylab yo’qmi kerak qatl qilinishi va ularning berib bu boshlanadi oldin ilova o’rganib uchun imkoniyat antivirus dasturi yugurish), va bir xil boshqa qilmishlari deb imkonini pasaytiradi xabar va Troyan dasturi topish, amalga oshirish imkoniyatiga ega bo’ladi avtomatik ravishda nomi o’zgartirildi, chunki ().

Ma’lum Troyan dasturlari uchun bundan tashqari, ilova format o’zi bo’lishi mumkin elektron pochta mijoz endi ilova ko’radi, deb bunday yo’l bilan aralashtirma qo’shimcha sifatida. Bu foydalanuvchi uchun texnik qo’llab-quvvatlash murojaat qilishga majbur bo’ladi ilova olish va tizimi rahbar uchun bir imkoniyat beradi uni tekshirib ko’ring.

Zararlangan birlashmalarni zararsizlantirish hisoblanadi juda administrator uchun to’g’ri bo’ladi. Ilova asl mangling ichida MIME ilova header va hujum ilova header ogohlantirish pastga banddir bo’ladi joylashtirilgan. Hech qanday ma’lumotlar o’chiriladi.

Bu yerda so’nggi Troyan executables ro’yxati va hujjatlar, bugtraq va Usenet dan gleaned newsgroup ogohlantirishlar va antivirus sotuvchi advisories:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

 

Albatta, qurt mualliflar endi wising yuqoriga va qo’shimchalari nom bor tasodifiy olib keladi xulosa, deb hamma .EXE fayllar blokirovka qilinadi.

Troyan hujumlar uchun yana bir kanal bir dastur uchun ma’lumotlar fayl orqali emas bu (dasturlash) so’l tilni, masalan, zamonaviy beradi yuqori-quvvatlanadi so’z protsessorlari, elektron jadvallar, va foydalanuvchi ma’lumotlar bazasi vositalari.

Agar shunchaki xavfi siz qo’yish mumkin, deb qo’shimchalari rad etish mumkin emas bo’lsa, u anti-virus, siz o’rnatish tavsiya etiladi dasturiy ta’minot (qaysi hislar va o’chiradi so’l-til Troyan Otlari) va siz har doim ochiq ma’lumotlar fayl dastur ichida qo’shimchalari “avtomatik ravishda qatl yo’q macros” rejimida (masalan, tomonidan ushlab pastga [SHIFT]tugmasi ikki marta bosish ilova) qachon.

Tizim administrator (yoki kimdir sizning tizimi bo’lishi uchun da’vo bo’lsa ham: administrator) agar dasturi elektron pochta va siz uni ishlatish uchun so’raydi, darhol juda shubhali bo’lib va murojaat orqali email kelib chiqishi tekshirish to’g’ri, ba’zi anglatadi elektron pochta ko’ra boshqa tomonidan sizning administrator. Agar qabul qilsangiz bir ilova operatsion tizimini yangilash bo’lishi uchun da’vo yoki antivirus vositasi, yo’q, uni ishlatish. Operatsion tizim sotuvchisi hech qachon taslim yangilanishlar elektron pochta orqali, va antivirus vositalari tez antivirus da mavjud sotuvchi veb-saytlar.


Qobiq Skript Hujumlar

Ko’p dasturlari Unix va shunga o’xshash operatsion tizimlari qo’llab-quvvatlash ostida ishlaydigan qisqa qobiq skriptlar (buyruqlar ketma-ketliklari ommaviy o’xshash embed qobiliyati konfiguratsiya ularning fayllar, DOS ostida fayllar). Bu ruxsat berish uchun oddiy bir yo’lidir ularning imkoniyatlari, qulay kengaytmasi.

Ba’zi pochta-qayta ishlash dasturlari noto’g’ri ko’milgan uchun bu qo’llab-quvvatlash uzaytirish qobiq qayta ishlash, ular xabarlarni buyuradi. Umuman olganda, buqobiliyatini qobiq bir skript dan olingan chaqirib tomonidan xato, shu jumladan, konfiguratsiya ba’zi sarlavhalarini matnini qayta ishlash uchun fayl. Agar header bo’lsa o’z ichiga oladi shell buyruqlar maxsus-formatlangan va, o’sha mumkin shell buyruqlar, shuningdek, ijro olasiz. Bu orqali oldini olish mumkin dastur maxsus formatlash uchun header matn skanerlash va o’zgaruvchan u oldin bu formatlash keyingi qayta ishlash uchun qobiq uchun o’tib oladi.

Formatlash elektron pochta usbu qobiq bir skript embed uchun zarur hisoblanadi, chunki juda maxsus, juda oson aniqlash va o’zgartirish uchun ekan.


Veb Nosozlik Maxfiylik Hujumlar

HTML elektron pochta xabari aslida ichida emas, deb mazmunini anglatishi mumkin veb-sahifa aslida da emas, deb mazmunini anglatishi mumkin, deb xabar faqat veb-sahifa hosting. Bu tez-tez banner e’lonlarni – bir ko’rgan bo’lishi mumkin veb-sayt http://www.geocities.com/ o’z ichiga olishi mumkin banner, deb e’lon bo’ladi olindi dan server da http://ads.example.com/ – qachon bu sahifa taqdim etiladi, veb-brauzer avtomatik ravishda veb-server aloqalar da http://ads.example.com/ va retriverlar banner e’lon tasvir. Server ichida saqlanadi, bir fayl, bu yuklash da qaydlar http://ads.example.com/ berib olindi bo’ldi va vaqt kompyuter tasvirni qabul qilish tarmog’i manzil.

HTML elektron pochta uchun bu quyidagilar bilan tasvir bir ma’lumot qo’yib o’z ichiga oladi elektron pochta xabari tana. Pochta dasturi tasvirni retrieves qachonfoydalanuvchi mail xabar namoyon qismi sifatida, veb-fayl server vaqt va so’rov tarmoq manzil qaydlar. – Agar tasvir noyob filename, bu mumkin emas aniq aniqlash uchun bor so’rov hosil bo’lgan. Odatda surati xabar oluvchi uchun aniq bo’lmaydi, deb bir narsa, masalan, faqat bir shaffof piksel iborat tasvir, muddatli shuning Veb Nosozliklar – bu, axir, “yashirin bo’lishi uchun mo’ljallangan nazorat.”

Shuningdek, iloji boricha bir xil natijaga erishish uchun fon ovoz yorlig’i foydalanish…..

Eng pochta mijozlari teglar, faqat bu shunday e’tiborsizlik uchun tuzilgan bo’lishi mumkin emas bu snooping oldini olish uchun yo’l tasvir va tovush etish mangle uchunpochta serveri da teglar.


Men bilan quyidagi pochta orqali bog’laning <jhardin@impsec.org> – shuningdek bu sahifaga kiring.

 

Manba (Source): http://www.impsec.org/email-tools/sanitizer-threats.html

Leave a Reply