Grožnje, izkoriščanja in napade
Napadi na podlagi elektronske pošte
Obstajajo štiri vrste napadov na sistemsko varnost, ki se lahko izvajajo po elektronski pošti:
Drugi napad na zasebnost uporabnika, ne pa na varnost sistema, je uporaba tako imenovanih spletnih hroščev, ki lahko obvestijo spletno mesto za sledenje, kdaj in kje se prebere določeno sporočilo.
Napadi Aktivne Vsebine, a.k.a. Brskalniški Napadi, Aktivni HTML Napadi ali Skriptni Napadi
Ti napadi so namenjeni ljudem, ki uporabljajo spletni brskalnik ali e-poštni odjemalec, ki omogoča HTML, da bi lahko prebral njihov e-poštni naslov, ki je ta dan zelo velik del računalniške skupnosti. Običajno ti napadi poskušajo uporabiti funkcije skriptov HTML ali e-poštnega odjemalca (ponavadi Javascript ali VBScript), da pridobijo zasebne podatke iz računalnika žrtve ali izvršijo kodo na računalniku žrtve brez soglasja žrtve (in morda brez znanja žrtve).
Manj nevarne oblike teh napadov lahko samodejno povzročijo, da računalnik prejemnika prikaže nekaj vsebin, ki jih želi napadalec, na primer samodejno odpiranje spletne strani za oglaševanje ali pornografijo ob odpiranju sporočila ali napadanje zavrnitve storitve na računalniku prejemnika prek kodo, ki zamrzne ali zruši brskalnik ali celoten računalnik.
Najpreprostejši način, da se popolnoma izognete takim napadom, je, da ne brskajte po e-pošti s spletnim brskalnikom ali odjemalcem, ki omogoča HTML. Ker mnogi od teh napadov niso odvisni od napak v programski opremi e-poštnega odjemalca, jih ni mogoče preprečiti s popravki na e-poštnega odjemalca. Če uporabljate spletni brskalnik ali e-poštni odjemalec, ki se zaveda HTML, boste ranljivi za te vrste napadov.
Ker so nekateri od teh napadov odvisni od e-poštnega odjemalca, ki je sposoben izvesti skriptni HTML in ne glede na pomanjkljivosti določenega operacijskega sistema, so ti napadi lahko večstranski. E-poštni odjemalec, ki podpira HTML, na Macintosh-u je prav tako ranljiv za e-poštne napade aktivnega HTML kot e-poštni odjemalec, ki podpira HTML, v sistemu Windows ali Unixu. Ranljivost se razlikuje od sistema do sistema, ki temelji na e-poštni odjemalec in ne na operacijskem sistemu.
Prehod na ne-HTML-zavedni e-poštni odjemalec ni zares resnična možnost za mnoge ljudi. Druga možnost je filtrirati ali spremeniti krši HTML ali skriptno kodo, preden e-poštni odjemalec dobi priložnost za obdelavo. Možno je tudi, da vaš e-poštni odjemalec nastavi tako, da izklopi razlago skriptne kode. Podrobnosti si oglejte v dokumentaciji programa. Izključitev skriptov v vašem e-poštnem odjemalcu je zelo priporočljivo – ni nobenega dobrega razloga za podporo skriptiranih e-poštnih sporočil.
Uporabniki programa Microsoft Outlook bi morali obiskati to stran, ki opisuje poostritev varnostnih nastavitev programa Outlook.
Nedavni napovedani e-poštni črvi Outlook so primer tega napada. Oglejte si bazo podatkov ranljivosti Bugtraq za več podrobnosti.
Drug način za obrambo pred napadi v aktivni vsebini je, da se skripti skrijejo, preden program poštnega programa to vidi. To se naredi na poštnem strežniku v trenutku, ko je sporočilo prejeto in shranjeno v poštnem nabiralniku uporabnika, v svoji najpreprostejši obliki pa preprosto spremeni vse oznake <SCRIPT> v (na primer) oznake <DEFANGED-SCRIPT>, kar povzroči poštni program, ki jih ignorira. Ker obstaja veliko krajev, ki jih lahko uporabljajo skriptni ukazi v drugih oznakah, je proces zaustavi bolj zapleten kot v praksi.
Napadi Prelivanja Puferja
Pufra je regija pomnilnika, kjer program začasno shrani podatke, ki jih obdeluje. Če je to območje vnaprej določene, določene velikosti in če program ne sprejme ukrepov za zagotovitev, da se podatki ujemajo v tej velikosti, obstaja napaka: če je več podatkov prebrano, kot se bo ujemalo v vmesnem pomnilniku, bo presežek še vedno napisan , vendar se bo razširil mimo konca vmesnega pomnilnika, verjetno bi zamenjal druge podatke ali programska navodila.
Napad prekrivanja puferja je poskus, da to pomanjkljivost uporabite tako, da pošljete nepričakovano dolg niz podatkov za program, ki ga želite obdelati. Na primer, v primeru e-poštnega programa lahko napadalec pošlje poševni Datum: glava, ki je dolga več tisoč znakov, ob predpostavki, da program za e-pošto pričakuje samo naslov, ki ima največ 100 znakov, ne preverite dolžine podatkov, ki jih varuje.
Te napade se lahko uporabijo kot napadi zavrnitve storitve, ker se program, ko pride do slučajnega prepisa pomnilnika programa, običajno zruši. Vendar pa je z natančnim izdelovanjem natančne vsebine, ki prekriva vmesni pomnilnik, v nekaterih primerih mogoče dostaviti programska navodila za račun žrtve za izvršitev brez soglasja žrtve. Napadalec pošilja program žrtvi in ga bo vodil računalnik žrtve, ne da bi prosil za dovoljenje žrtve.
Upoštevajte, da je to posledica napake v napadenem programu. Ustrezno napisani e-poštni odjemalec ne dovoljuje naključnim neznancem, da brez vašega dovoljenja zaganjate programe na vašem računalniku. Programi, ki so podvrženi prelomom medpomnilnika, so napačno napisani in jih morate popraviti, da trajno odpravite težavo.
Prelivanje puščic v programih pošte se pojavlja pri ravnanju z glavi sporočil in prilogami, kar je informacija, ki jo mora obdelati e-poštni odjemalec, da bi vedeli podrobnosti o sporočilu in kaj storiti z njim. Besedilo v telesu sporočila, ki je preprosto prikazano na zaslonu in za katerega se pričakuje, da bo velik obseg besedila, se ne uporablja kot sredstvo za napade pretočnega napajanja.
Primeri tega so nedavno objavljene napake v Outlooku, Outlook Express in Netscape Mail. Obliži za Outlook so na voljo prek Microsoftove varnostne strani.
Poštni strežnik lahko predpiše glave sporočil in glave priloge, da omejijo njihovo dolžino na varne vrednosti. To bo preprečilo, da bi jih napadli e-poštni odjemalec.
Sprememba v zvezi s prelomom preusmeritve medpomnilnika je izpustitev informacij, kjer program pričakuje, da bo našel nekaj. Microsoft Exchange se na primer slabo odzove, ko se zahteva, da obdela MIME priloge, ki so izrecno prazne – na primer, ime filename="". Ta napad se lahko uporabi samo za zavrnitev storitve.
Napadi Trojanskega Konja
Trojanski konj je zlonamerni program, ki se mu zdi kot nekaj benigne, da bi ga poskusil uporabljati za neprekinjenega uporabnika.
Ti napadi se navadno uporabljajo za kršitev varnosti, saj pridobijo zaupanja vrednega uporabnika, da zažene program, ki omogoča dostop do nezaupnega uporabnika (na primer z namestitvijo programske opreme za zadnja vrata na daljavo) ali povzroči škodo, kot je poskus izbrisa vseh datoteke na trdi disk žrtve. Trojanski konji lahko ukradejo podatke ali vire ali izvajajo porazdeljeni napad, na primer z distribucijo programa, ki poskuša ukrasti gesla ali druge varnostne informacije, ali pa je lahko “samorazmaščevalni” program, ki se pošilja po sebi (“črv“) in tudi mailbombs cilja ali izbriše datoteke (črv z odnosom :).
Črv “I Love You” je odličen primer napada trojanskega konja: navidezno neškodljivo ljubezensko pismo je bilo pravzaprav samorazprodajalen program.
Za uspeh tega napada mora žrtev ukrepati za zagon programa, ki so ga prejeli. Napadalec lahko uporablja različne metode “socialnega inženiringa“, da prepriča žrtev, da izvaja program; na primer, program je lahko prikrito kot ljubezensko pismo ali seznam šal, pri čemer je ime datoteke posebej izdelano, da se izkoristi nagnjenost Windows za skrivanje pomembnih podatkov od uporabnika.
Večina ljudi ve, da je razširitev .txt označena, da so vsebine datoteke le navaden tekst v nasprotju s programom, vendar privzeta nastavitev sistema Windows je, da skrije ime uporabniških razširitev iz imenika, tako da v imeniku navede datoteko z imenom textfile .txt se bo prikazal kot samo “textfile” (da bi se izognili zamenjavi uporabnika?).
Napadalec lahko izkoristi to kombinacijo stvari s pošiljanjem priloge z imenom “attack.txt.exe” – Windows bo koristno skril razširitev .exe, zaradi česar se zdi, da je priponka benignna besedilna datoteka z imenom “attack.txt” namesto program. Če pa uporabnik pozabi, da Windows skriva dejansko razširitev filtra in dvojne klike v prilogi, bo Windows uporabil celotno ime datoteke, da bi se odločil, kaj storiti, in ker .exe označuje izvedljivi program, Windows zažene prilogo. Blam! V lasti si.
Tipične kombinacije navidezno benignih in nevarno izvedljivih razširitev so:
- xxx.TXT.VBS – izvedljiv skript (skripta Visual Basic), ki se maskira kot besedilna datoteka
- xxx.JPG.SCR – izvedljiv program (ohranjevalnik zaslona), ki se maskira kot slikovna datoteka
- xxx.MPG.DLL – izvedljiv program (dinamična povezava knjižnica) masquerading kot film
Ta napad se lahko izognemo preprosto, če ne izvajate programov, ki so bili prejeti v e-pošti, dokler niso bili preverjeni, čeprav se zdi, da je program neškodljiv in še posebej, če pride od nekoga, ki ga ne poznate dobro in zaupate.
Dvojno klikanje na priloge e-pošte je nevarna navada.
Do nedavnega je bilo dovolj, da preprosto rečeš “ne dvakrat kliknite na priloge”, da je varen. Na žalost to ni več tako.
Napake v e-poštnem odjemalcu ali slaba zasnova programa lahko omogočijo, da sporočilo o napadu samodejno izvrši priponko Trojanskega konja brez kakršnega koli poseganja uporabnika, bodisi z uporabo aktivnega HTML-ja, skriptnih ali prekoračitev prepletov, ki so vključene v isto sporočilo kot priponko Trojanskega konja ali kombinacija teh. To je izredno nevaren scenarij in je trenutno “v naravi” kot samoproizvajalni e-poštni črv, ki ne zahteva nobenega uporabnika, da bi prišlo do okužbe. Lahko ste prepričani, da to ne bo edino.
Da bi preprečili to, se lahko imena izvedljivih datotek priloge spremenijo tako, da operacijski sistem ne misli več, da so izvedljivi (na primer s spremembo EXPLOIT.EXE na EXPLOIT.DEFANGED-EXE) . S tem bo uporabnik prisiljen shraniti in preimenovati datoteko, preden se jo lahko izvede (jim daje možnost razmišljati o tem, ali je treba izvršiti, in dajejo njihovi protivirusni programski opremi priložnost, da preiščejo prilogo, preden se začne teči), in zmanjša možnost, da bodo drugi izkoriščanja v istem sporočilu sami lahko sami našli in izvršili program Trojan Horse (ker je bilo ime spremenjeno).
Poleg tega se lahko za znane programe Trojanskega konja obliko zapisa prilepite na tak način, da odjemalec e-pošte ne vidi več priloge kot prilogo. To bo prisililo uporabnika, da se obrne na tehnično podporo in naloži prilogo, in skrbniku sistema omogoči, da jo pregleda.
Neupravičevanje prikritega prilogo je precej enostavno za skrbnika. Pri obvladovanju priloge se prvotna glava priloga MIME premakne navzdol in vstavi se glava priloga z opozorilom o napadu. Nobena informacija ni izbrisana.
Tukaj je seznam nedavnih izvršilnih dokumentov in dokumentov iz Trojanskega konja, zbranih iz opozoril bugtraq in Usenet ter opozoril prodajalcev protivirusnih programov:
Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe
Seveda se avtorji črvov zdaj mažejo in po naključju poimenujejo priloge, kar vodi k zaključku, da je treba vse datoteke .EXE blokirati.
Drug kanal za napade trojanskega konja je preko podatkovne datoteke za program, ki ponuja makro (programski) jezik, na primer sodobne visoko zmogljive urejevalce besedil, preglednice in orodja uporabniških baz podatkov.
Če ne morete preprosto zavreči priloge, ki bi vas lahko ogrozile, priporočamo, da namestite protivirusno programsko opremo (ki zazna in onemogoči makro-jezikovne trojanske konje) in da vedno odprete priloge podatkovne datoteke v programu “ne izvajajte samodejno makre” (na primer tako, da držite tipko [SHIFT], ko dvokliknete prilogo).
Tudi: če vaš sistemski skrbnik (ali nekdo, ki trdi, da je vaš sistemski skrbnik) poslal e-pošto v program in vas prosil, da ga zaženete, nemudoma postanite zelo sumljivi in preverite izvor e-pošte, tako da se neposredno obrnete na svojega skrbnika na drugačen način kot na e-pošto. Če prejmete prilogo, ki trdi, da je orodje za posodobitev operacijskega sistema ali protivirusno orodje, ga ne zaženite. Ponudniki operacijskega sistema nikoli ne posredujejo posodobitev po e-pošti, orodja za protivirusno programsko opremo pa so na voljo na spletnih mestih prodajalcev protivirusnih programov.
Napadi Skripta Shell
Veliko programov, ki se izvajajo v Unixu in podobnih operacijskih sistemih, podpirajo možnost vdelovanja kratkih skriptov lupine (zaporedja ukazov, podobnih paketnim datotekam pod DOS-om) v njihovih konfiguracijskih datotekah. To je običajen način, ki omogoča prilagodljivo razširitev njihovih zmogljivosti.
Nekateri programi za obdelavo pošte nepravilno razširjajo to podporo za vdelane ukaze lupine na sporočila, ki jih obdelujejo. Na splošno je ta zmota vključena po pomoti, tako da pokliče lupinski skript, vzet iz konfiguracijske datoteke, za obdelavo besedila nekaterih glave. Če je glava posebej oblikovana in vsebuje ukaze ukazne lupine, je možno, da se bodo ukazi lupine izvršili tudi. To lahko prepreči program, ki skenira besedilo glave za posebno oblikovanje in spremeni to obliko, preden se prenese v lupino za nadaljnjo obdelavo.
Ker je oblikovanje, potrebno za vdelavo skripta lupine v glavi e-pošte, precej posebno, ga je mogoče enostavno zaznati in spremeniti.
Napadi v zasebnost v spletu
E-poštno sporočilo HTML se lahko nanaša na vsebino, ki ni v bistvu v sporočilu, prav tako kot se lahko spletna stran nanaša na vsebino, ki ni dejansko na spletnem mestu, ki gosti stran. To je običajno mogoče videti v oglasnih pasicah – spletna stran na spletnem mestu http://www.geocities.com/ lahko vsebuje oglas z oglasnimi pasicami, ki ga pridobi s strežnika na strani http://ads.example.com/ – ko je stran prikazana spletni brskalnik samodejno stika s spletnim strežnikom na naslovu http://ads.example.com/ in pridobi sliko oglasa. To nalaganje datoteke je zabeleženo v dnevnikih strežnikov na naslovu http://ads.example.com/, s časom, ko je bil naložen, in z omrežnim naslovom računalnika, ki je naložil sliko.
Uporaba tega v e-poštnem sporočilu HTML vključuje postavitev slike v telo e-poštnega sporočila. Ko poštni program naloži slikovno datoteko kot del prikaza poštnega sporočila uporabniku, spletni strežnik hrani čas in omrežni naslov zahteve. Če ima slika edinstveno ime datoteke, je mogoče natančno določiti, kateremu e-poštnemu sporočilu je bila ustvarjena zahteva. Običajno je slika nekaj, kar prejemniku sporočila ne bo vidna, na primer slike, ki je sestavljena iz samo enega transparentnega piksla, zato izraz “Spletna Bug” – navsezadnje je namenjen “prikritemu nadzoru”.
Za dosego istega rezultata je mogoče uporabiti tudi zvočno oznako v ozadju.
Večina poštnih odjemalcev ni mogoče konfigurirati, da bi te oznake prezrli, zato je edini način, da preprečite, da bi se snemali, z poštnim strežnikom manipulirati referenčne oznake za sliko in zvok.
Lahko me kontaktirate na <jhardin@impsec.org> – obiščete lahko tudi mojo domačo stran.
$ Id: sanitizer-threats.html, v 1.40 2017-06-11 11: 32: 21-07 jhardin Exp jhardin $
Vsebina Copyright (C) 1998-2017 avtor John D. Hardin – Vse pravice pridržane. Prevajanje spodbuja, prosim, obvestite me, da lahko vključim povezave.
Original: https://www.impsec.org/email-tools/sanitizer-threats.html