original:http://www.impsec.org/email-tools/sanitizer-threats.html
Esistono quattro tipi di attacchi alla sicurezza del sistema che possono essere effettuati tramite posta elettronica:
- Attacchi di contenuto attivo , che sfruttano varie funzionalità e bug di HTML e script attivi.
- Attacchi di buffer overflow , in cui l’aggressore invia qualcosa che è troppo grande per essere contenuto in un buffer di memoria di dimensioni fisse nel client di posta, nella speranza che la parte che non si adatta sovrascriverà le informazioni critiche piuttosto che essere scartata in modo sicuro.
- Attacchi di Trojan Horse , in cui un programma eseguibile o uno script di macro-linguaggio che concede l’accesso, provoca danni, si propaga automaticamente o fa altre cose indesiderate viene inviato alla vittima come allegato di file etichettato come qualcosa di innocuo, come un biglietto di auguri o uno screen saver o nascosto in qualcosa che la vittima si aspetta, come un foglio di calcolo o un documento. Questo è anche chiamato attacco di ingegneria sociale , in cui l’obiettivo dell’attacco è convincere la vittima ad aprire l’allegato del messaggio.
- Attacchi Shell Script , in cui un frammento di uno script di shell Unix è incluso nelle intestazioni dei messaggi nella speranza che un client di posta Unix configurato in modo errato possa eseguire i comandi.
Un altro attacco alla privacy dell’utente, ma non alla sicurezza del sistema, è l’uso dei cosiddetti Web Bugs che possono notificare a un sito di monitoraggio quando e dove viene letto un determinato messaggio di posta elettronica.
Attacchi di contenuto attivo, noti anche come attacchi del browser, attacchi HTML attivi o attacchi di script
Questi attacchi sono rivolti a persone che utilizzano un browser Web o un client di posta elettronica abilitato per HTML per leggere la propria posta elettronica, che oggigiorno rappresenta una parte molto ampia della comunità informatica. In genere questi attacchi tentano di utilizzare le funzionalità di scripting dell’HTML o del client di posta elettronica (in genere Javascript o VBScript) per recuperare informazioni private dal computer della vittima o per eseguire codice sul computer della vittima senza il consenso della vittima (e possibilmente all’insaputa della vittima) .
Forme meno pericolose di questi attacchi possono far sì che il computer del destinatario visualizzi automaticamente alcuni contenuti desiderati dall’aggressore, come l’apertura automatica di una pagina Web pubblicitaria o pornografica quando viene aperto il messaggio, oppure eseguire un attacco Denial-of-Service sul computer del destinatario tramite codice che blocca o blocca il browser o l’intero computer.
Il modo più semplice per evitare completamente tali attacchi è non utilizzare un browser Web o un client di posta elettronica abilitato per HTML per leggere la posta elettronica. Poiché molti di questi attacchi non dipendono da bug nel software del client di posta, non possono essere prevenuti tramite patch al client di posta. Se si utilizza un browser web o un client email HTML-aware, si sarà essere vulnerabile a questo tipo di attacchi.
Inoltre, poiché alcuni di questi attacchi dipendono dalla capacità del client di posta elettronica di eseguire codice HTML con script piuttosto che dalle debolezze di un particolare sistema operativo, questi attacchi possono essere multipiattaforma. Un client di posta elettronica abilitato per HTML su un Macintosh è vulnerabile agli attacchi di posta elettronica HTML attivo quanto un client di posta abilitato per HTML su Windows o Unix. La vulnerabilità varierà da sistema a sistema in base al client di posta elettronica piuttosto che al sistema operativo.
Il passaggio a un client di posta elettronica non compatibile con HTML non è un’opzione realistica per molte persone. Un’alternativa è filtrare o alterare il codice HTML o script offensivo prima che il client di posta abbia la possibilità di elaborarlo. Potrebbe anche essere possibile configurare il client di posta elettronica per disattivare l’interpretazione del codice di script. Vedere la documentazione del programma per i dettagli. Si consiglia vivamente di disattivare lo scripting nel client di posta elettronica : non vi è alcun motivo valido per supportare i messaggi di posta elettronica con script.
Gli utenti di Microsoft Outlook dovrebbero visitare questa pagina che descrive il rafforzamento delle impostazioni di sicurezza di Outlook .
I worm di posta elettronica di Outlook annunciati di recente sono un esempio di questo attacco. Vedi il database Bugtraq Vulnerability per maggiori dettagli.
Un altro modo per difendersi dagli attacchi di contenuto attivo è alterare lo scripting prima che il programma di posta abbia la possibilità di vederlo. Questa operazione viene eseguita sul server di posta nel momento in cui il messaggio viene ricevuto e archiviato nella casella di posta dell’utente e nella sua forma più semplice consiste semplicemente nel cambiare tutti i tag <SCRIPT> in (ad esempio) <DEFANGED-SCRIPT> , che causa il programma di posta elettronica per ignorarli. Poiché ci sono molti posti in cui i comandi di scripting possono essere usati all’interno di altri tag, il processo di defanging è più complicato di questo nella pratica.
Attacchi di overflow del buffer
Un buffer è una regione di memoria in cui un programma memorizza temporaneamente i dati che sta elaborando. Se questa regione ha una dimensione predefinita e fissa e se il programma non adotta misure per garantire che i dati rientrino in quella dimensione, c’è un bug: se vengono letti più dati di quelli che possono essere contenuti nel buffer, l’eccesso verrà comunque scritto , ma si estenderà oltre la fine del buffer, probabilmente sostituendo altri dati o istruzioni di programma.
Un attacco di overflow del buffer è un tentativo di utilizzare questa debolezza inviando una stringa di dati inaspettatamente lunga che il programma deve elaborare. Ad esempio, nel caso di un programma di posta elettronica, l’aggressore potrebbe inviare un’intestazione Date: falsificata lunga diverse migliaia di caratteri, supponendo che il programma di posta elettronica si aspetti solo un’intestazione Date: lunga al massimo cento caratteri e non ‘ t controllare la lunghezza dei dati che sta salvando.
Questi attacchi possono essere usati come attacchi Denial-of-Service, perché quando la memoria di un programma viene sovrascritta in modo casuale, il programma generalmente va in crash. Tuttavia, elaborando attentamente il contenuto esatto di ciò che trabocca il buffer, in alcuni casi è possibile fornire istruzioni di programma per l’esecuzione del computer della vittima senza il consenso della vittima. L’aggressore sta inviando un programma alla vittima e verrà eseguito dal computer della vittima senza chiedere il permesso della vittima.
Nota che questo è il risultato di un bug nel programma sotto attacco. Un client di posta elettronica scritto correttamente non consentirà a sconosciuti casuali di eseguire programmi sul tuo computer senza il tuo consenso. I programmi soggetti a buffer overflow sono scritti in modo errato e devono essere aggiornati per correggere in modo permanente il problema.
Gli overflow del buffer nei programmi di posta si verificano durante la gestione delle intestazioni dei messaggi e degli allegati, ovvero le informazioni che il client di posta elettronica deve elaborare per conoscere i dettagli del messaggio e cosa farne. Il testo nel corpo del messaggio, che viene semplicemente visualizzato sullo schermo e che dovrebbe essere una grande quantità di testo, non viene utilizzato come veicolo per attacchi di buffer overflow.
I bug di overflow recentemente annunciati in Outlook, Outlook Express e Netscape Mail ne sono un esempio. Le patch per Outlook sono disponibili tramite il sito sulla sicurezza di Microsoft .
Le intestazioni dei messaggi e le intestazioni degli allegati possono essere preelaborate dal server di posta per limitarne la lunghezza a valori sicuri. Ciò impedirà che vengano utilizzati per attaccare il client di posta elettronica.
Una variazione dell’attacco di overflow del buffer consiste nell’omettere le informazioni in cui il programma si aspetta di trovarne alcune. Ad esempio, Microsoft Exchange reagisce male quando gli viene chiesto di elaborare le intestazioni degli allegati MIME che sono esplicitamente vuote, ad esempio, filename = "" . Questo attacco può essere utilizzato solo per negare il servizio.
Attacchi di cavalli di Troia
Un cavallo di Troia è un programma dannoso che si maschera come qualcosa di benigno nel tentativo di convincere un utente incauto a eseguirlo.
Questi attacchi vengono solitamente utilizzati per violare la sicurezza facendo in modo che un utente fidato esegua un programma che concede l’accesso a un utente non attendibile (ad esempio, installando software backdoor di accesso remoto ), o per causare danni come il tentativo di cancellare tutti i file sul disco rigido della vittima. I cavalli di Troia possono agire per sottrarre informazioni o risorse o implementare un attacco distribuito, ad esempio distribuendo un programma che tenta di rubare password o altre informazioni di sicurezza, oppure può essere un programma “auto-propagante” che si diffonde per posta (un ” worm ” ) e anche mailbomb una destinazione o elimina i file (un worm con un atteggiamento :).
Il worm “I Love You” è un eccellente esempio di attacco di Trojan Horse: una lettera d’amore apparentemente innocua era in realtà un programma che si auto-propagava.
Affinché questo attacco abbia successo, la vittima deve agire per eseguire il programma che ha ricevuto. L’aggressore può utilizzare vari metodi di ” ingegneria sociale ” per convincere la vittima a eseguire il programma; per esempio, il programma può essere camuffato da una lettera d’amore o da una lista di barzellette, con il nome del file costruito appositamente per sfruttare la propensione di Windows a nascondere informazioni importanti all’utente.
La maggior parte delle persone sa che l’ estensione .txt viene utilizzata per indicare che il contenuto del file è solo testo, al contrario di un programma, ma la configurazione predefinita di Windows consiste nel nascondere le estensioni del nome file all’utente, quindi in una directory che elenca un file denominato textfile .txt apparirà solo come ” file di testo ” (per evitare di confondere l’utente?). Un utente malintenzionato può trarre vantaggio da questa combinazione di cose inviando un allegato denominato ” attack.txt.exe “: Windows nasconderà utilmente l’ estensione .exe , facendo sembrare l’allegato un file di testo benigno denominato ” attack.txt ” invece di un programma. Tuttavia, se l’utente dimentica che Windows sta nascondendo l’effettiva estensione del nome file e fa doppio clic sull’allegato, Windows utilizzerà il nome file completo per decidere cosa fare e poiché .exe indica un programma eseguibile, Windows esegue l’allegato. Blam! Sei di proprietà.
Le combinazioni tipiche di estensioni apparentemente benigne e pericolosamente eseguibili sono:
- xxx.TXT.VBS – uno script eseguibile (script Visual Basic) mascherato da file di testo
- xxx.JPG.SCR – un programma eseguibile (screen saver) mascherato da file immagine
- xxx.MPG.DLL – un programma eseguibile (libreria di collegamento dinamico) mascherato da film
Questo attacco può essere evitato semplicemente non eseguendo programmi ricevuti via e-mail fino a quando non sono stati controllati, anche se il programma sembra essere innocuo e soprattutto se proviene da qualcuno che non conosci bene e di cui ti fidi.
Fare doppio clic sugli allegati di posta elettronica è un’abitudine pericolosa.
Fino a poco tempo fa, semplicemente dicendo “non fare doppio clic sugli allegati” era sufficiente per essere sicuri. Purtroppo non è più così.
Bug nel client di posta elettronica o una cattiva progettazione del programma possono consentire al messaggio di attacco di eseguire automaticamente l’allegato Trojan Horse senza alcun intervento da parte dell’utente , tramite l’uso di HTML attivo, script o exploit di overflow del buffer inclusi nello stesso messaggio dell’allegato Trojan Horse o una combinazione di questi. Si tratta di uno scenario estremamente pericoloso ed è attualmente “in circolazione” come worm di posta elettronica auto-propagante che non richiede l’intervento dell’utente perché si verifichi l’infezione. Puoi essere sicuro che questo non sarà l’unico.
Nel tentativo di evitare ciò, i nomi dei file allegati eseguibili possono essere modificati in modo tale che il sistema operativo non ritenga più eseguibili (ad esempio, cambiando ” EXPLOIT.EXE ” in ” EXPLOIT.DEFANGED-EXE “) . Ciò costringerà l’utente a salvare e rinominare il file prima che possa essere eseguito (dando loro la possibilità di pensare se deve essere eseguito e dando al loro software antivirus la possibilità di esaminare l’allegato prima che inizi a funzionare) e si riduce la possibilità che altri exploit nello stesso messaggio possano trovare ed eseguire automaticamente il programma Trojan Horse (poiché il nome è stato cambiato).
Inoltre, per i noti programmi Trojan Horse, il formato dell’allegato stesso può essere alterato in modo tale che il client di posta elettronica non veda più l’allegato come allegato. Ciò costringerà l’utente a contattare il supporto tecnico per recuperare l’allegato e darà all’amministratore di sistema la possibilità di esaminarlo.
Sciogliere un allegato alterato è abbastanza semplice per l’amministratore. Durante la manipolazione dell’allegato, l’ intestazione dell’allegato MIME originale viene spostata verso il basso e viene inserita un’intestazione dell’allegato di avviso di attacco. Nessuna informazione viene eliminata.
Di seguito è riportato un elenco di file eseguibili e documenti recenti di Trojan Horse, raccolti da bugtraq e avvisi sui newsgroup di Usenet e avvisi di fornitori di antivirus:
Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe
Ovviamente, gli autori di worm stanno ora saggiando e nominando gli allegati in modo casuale, il che porta alla conclusione che tutti i file .EXE dovrebbero essere bloccati.
Un altro canale per gli attacchi di Trojan Horse è tramite un file di dati per un programma che fornisce un linguaggio di programmazione (macro), ad esempio, elaboratori di testi moderni ad alta potenza, fogli di calcolo e strumenti di database utente.
Se non puoi semplicemente scartare gli allegati che potrebbero metterti a rischio, si consiglia di installare un software antivirus (che rileva e disabilita i cavalli di Troia in linguaggio macro) e di aprire sempre gli allegati dei file di dati nel programma “non eseguire automaticamente modalità macro “(ad esempio, tenendo premuto il tasto [MAIUSC] quando si fa doppio clic sull’allegato).
Inoltre: se il tuo amministratore di sistema (o qualcuno che afferma di essere il tuo amministratore di sistema) ti invia un’e-mail con un programma e ti chiede di eseguirlo, diventa immediatamente molto sospettoso e verifica l’origine dell’e-mail contattando direttamente l’amministratore con un mezzo diverso dall’e-mail. Se ricevi un allegato che dichiara di essere un aggiornamento del sistema operativo o uno strumento antivirus, non eseguirlo . I fornitori di sistemi operativi non forniscono mai aggiornamenti tramite e-mail e gli strumenti antivirus sono prontamente disponibili sui siti Web dei fornitori di antivirus.
Attacchi script shell
Molti programmi in esecuzione su Unix e sistemi operativi simili supportano la capacità di incorporare brevi script di shell (sequenze di comandi simili a file batch in DOS) nei loro file di configurazione. Questo è un modo comune per consentire l’estensione flessibile delle loro capacità.
Alcuni programmi di elaborazione della posta estendono impropriamente questo supporto per i comandi della shell incorporata ai messaggi che stanno elaborando. Generalmente questa capacità viene inclusa per errore, chiamando uno script di shell preso dal file di configurazione per elaborare il testo di alcune intestazioni. Se l’intestazione è formattata in modo speciale e contiene comandi della shell, è possibile che anche quei comandi della shell vengano eseguiti. Ciò può essere evitato dal programma che analizza il testo dell’intestazione per la formattazione speciale e modifica quella formattazione prima che venga passato alla shell per un’ulteriore elaborazione.
Poiché la formattazione necessaria per incorporare uno script di shell in un’intestazione di posta elettronica è abbastanza speciale, è abbastanza facile da rilevare e modificare.
Attacchi alla privacy di Web Bug
Un messaggio di posta elettronica HTML può fare riferimento a contenuto che non è effettivamente all’interno del messaggio, proprio come una pagina Web può fare riferimento a contenuto che non si trova effettivamente nel sito Web che ospita la pagina. Questo può essere comunemente visto negli annunci banner: un sito web all’indirizzo http://www.geocities.com/ può includere un banner pubblicitario che viene recuperato da un server all’indirizzo http://ads.example.com/ – quando la pagina viene visualizzata , il browser web contatta automaticamente il server web all’indirizzo http://ads.example.com/ e recupera l’immagine dell’annuncio banner. Questo recupero di un file viene registrato nei log del server all’indirizzo http://ads.example.com/ , indicando l’ora in cui è stato recuperato e l’indirizzo di rete del computer che recupera l’immagine.
L’applicazione di questo all’e-mail HTML implica l’inserimento di un riferimento a un’immagine nel corpo del messaggio e-mail. Quando il programma di posta recupera il file immagine come parte della visualizzazione del messaggio di posta all’utente, il server Web registra l’ora e l’indirizzo di rete della richiesta. Se l’immagine ha un nome file univoco, è possibile determinare con precisione quale messaggio di posta elettronica ha generato la richiesta. In genere l’immagine è qualcosa che non sarà visibile al destinatario del messaggio, ad esempio un’immagine composta da un solo pixel trasparente, da cui il termine Web Bug – dopotutto, è intesa come “sorveglianza segreta”.
È anche possibile utilizzare un tag audio di sottofondo per ottenere lo stesso risultato.
La maggior parte dei client di posta non può essere configurata per ignorare questi tag, quindi l’unico modo per evitare questo ficcanaso è manipolare i tag di riferimento dell’immagine e del suono sul server di posta.
Posso essere contattato a <jhardin@impsec.org> – potresti anche visitare la mia home page .
Sarei molto interessato a sentire le persone che sarebbero disposte a tradurre questa pagina.
Visualizzazione ottimale con qualsiasi browser