Meningkatkan E-Mail Security Dengan Procmail
Ancaman, eksploitasi dan serangan
Serangan Email berbasis
Ada empat jenis serangan terhadap keamanan sistem yang dapat dilakukan melalui surat elektronik:
- Serangan Konten aktif , yang mengambil keuntungan dari berbagai HTML dan scripting aktif fitur dan bug.
- Buffer serangan Overflow , di mana penyerang mengirimkan sesuatu yang terlalu besar untuk masuk ke dalam buffer memori berukuran tetap di klien email, dengan harapan bahwa bagian yang tidak sesuai akan menimpa informasi penting ketimbang aman dibuang.
- Serangan Trojan Horse , di mana program executable atau script makro-bahasa yang memberikan akses, menyebabkan kerusakan, self-merambat atau melakukan hal-hal yang tidak diinginkan lainnya dikirimkan kepada korban sebagai attachment file dicap sebagai sesuatu yang berbahaya, seperti kartu ucapan atau screen saver , atau tersembunyi di sesuatu korban mengharapkan, seperti spreadsheet atau dokumen. Ini juga disebut Social Engineering serangan, di mana tujuan dari serangan ini adalah untuk meyakinkan korban untuk membuka lampiran pesan.
- Serangan Shell Script , dimana sebuah fragmen dari shell skrip Unix termasuk dalam header pesan dengan harapan bahwa tidak benar-dikonfigurasi Unix mail client akan menjalankan perintah.
Serangan lain pada privasi pengguna, tetapi tidak pada sistem keamanan, adalah penggunaan disebut Bugs Web yang dapat memberitahu situs pelacakan kapan dan di mana pesan email yang diberikan dibaca.
Serangan Konten aktif, alias Serangan Browser, Serangan HTML aktif atau Serangan Scripting
Serangan ini ditujukan untuk orang-orang yang menggunakan web browser atau HTML-enabled klien email untuk membaca email mereka, yang hari ini adalah bagian yang sangat besar dari masyarakat komputasi. Biasanya serangan ini mencoba untuk menggunakan fitur scripting HTML atau klien email (biasanya Javascript atau VBScript) untuk mengambil informasi pribadi dari komputer korban atau untuk mengeksekusi kode di komputer korban tanpa persetujuan korban (dan mungkin tanpa sepengetahuan korban) .
Bentuk kurang berbahaya dari serangan ini dapat secara otomatis menyebabkan komputer penerima untuk menampilkan beberapa konten keinginan penyerang, seperti secara otomatis membuka iklan atau pornografi halaman web ketika pesan dibuka, atau melakukan serangan Denial-of-Service pada komputer penerima melalui kode yang membeku atau crash browser atau seluruh komputer.
Cara paling mudah untuk benar-benar menghindari serangan tersebut adalah untuk tidak menggunakan web browser atau HTML-enabled klien email untuk membaca email Anda. Karena banyak dari serangan ini tidak bergantung pada bug di software email client, mereka tidak dapat dicegah melalui patch untuk klien email. Jika Anda menggunakan browser web atau HTML-sadar klien email, Anda akanrentan terhadap jenis serangan.
Juga, karena beberapa serangan ini bergantung pada klien email mampu mengeksekusi HTML scripted bukan tergantung pada kelemahan dari sistem operasi tertentu, serangan ini bisa cross-platform. Email client HTML-enabled pada Macintosh sama rentan terhadap serangan email-HTML aktif sebagai email client HTML-diaktifkan pada Windows atau Unix. vulnerabilty akan bervariasi dari sistem ke sistem berdasarkan pada klien email daripada sistem operasi.
Beralih ke klien email non-HTML-sadar bukanlah pilihan yang realistis bagi banyak orang. Alternatif adalah untuk menyaring atau mengubah HTML menyinggung atau kode script sebelum klien email mendapat kesempatan untuk memprosesnya. Hal ini juga mungkin untuk mengkonfigurasi klien email Anda untuk mematikan penafsiran kode script. Lihat dokumentasi program Anda untuk rincian. Mematikan scripting di klien email Anda sangat dianjurkan - tidak ada alasan yang baik untuk mendukung pesan email scripted.
Pengguna Microsoft Outlook harus mengunjungi halaman ini yang menggambarkan pengetatan bawah pengaturan keamanan Outlook .
Outlook cacing email baru diumumkan adalah contoh dari serangan ini. Lihat Bugtraq Database Kerentanan untuk lebih jelasnya.
Cara lain untuk mempertahankan terhadap serangan aktif-konten adalah untuk memotong-motong scripting sebelum program email memiliki kesempatan untuk melihatnya. Hal ini dilakukan pada mail server pada saat pesan diterima dan disimpan di kotak pesan pengguna, dan dalam bentuk yang paling sederhana terdiri dari hanya mengubah semua <SCRIPT> tag ke (misalnya) <defanged-SCRIPT> tag, yang menyebabkan mail program untuk mengabaikan mereka. Karena ada banyak tempat-tempat yang perintah scripting dapat digunakan dalam tag lain, proses defanging lebih rumit dari ini dalam praktek.
Serangan Overflow Buffer
Sebuah penyangga adalah daerah memori di mana sebuah program sementara menyimpan data yang sedang memproses. Jika daerah ini dari yang telah ditetapkan, ukuran tetap, dan jika program ini tidak mengambil langkah-langkah untuk memastikan bahwa data pas ukuran itu, ada bug: jika lebih banyak data dibaca dari akan muat dalam buffer, kelebihannya masih akan ditulis , tetapi akan memperpanjang masa lalu akhir buffer, mungkin menggantikan instruksi data atau program lain.
Sebuah buffer overflow serangan adalah upaya untuk memanfaatkan kelemahan ini dengan mengirim string tak terduga panjang data untuk program untuk memproses. Misalnya, dalam kasus program email, penyerang mungkin mengirimkan ditempa Tanggal: header yang adalah beberapa ribu karakter, dalam asumsi bahwa program email hanya mengharapkan Tanggal: sundulan yang paling seratus karakter dan doesn ' t memeriksa panjang data itu adalah tabungan.
Serangan ini dapat digunakan sebagai Denial-of-Service serangan, karena ketika memori program akan secara acak ditimpa program akan umumnya kecelakaan. Namun, dengan hati-hati menyusun isi yang tepat dari limpahan buffer, itu adalah dalam beberapa kasus mungkin untuk memasok instruksi program untuk komputer korban untuk menjalankan tanpa persetujuan korban. penyerang mengirimkan program untuk korban, dan itu akan dijalankan oleh komputer korban tanpa meminta izin korban.
Catatan bahwa ini adalah hasil dari bug dalam program diserang. Seorang klien email ditulis dengan benar akan tidak mengizinkan orang asing acak untuk menjalankan program di komputer Anda tanpa persetujuan Anda. Program tunduk buffer overflows yang tidak benar ditulis dan harus ditambal secara permanen memperbaiki masalah.
Buffer overflows dalam program email terjadi dalam menangani header pesan dan header lampiran, yang merupakan informasi klien email perlu proses untuk mengetahui rincian tentang pesan dan apa yang harus dilakukan dengan itu. Teks dalam tubuh pesan, yang hanya ditampilkan pada layar dan yang diharapkan menjadi sejumlah besar teks, tidak digunakan sebagai kendaraan untuk serangan buffer overflow.
Bug meluap baru-diumumkan di Outlook, Outlook Express dan Netscape Mail adalah contoh dari ini. Patch untuk Outlook tersedia melalui situs keamanan Microsoft .
Header pesan dan header lampiran dapat preprocessed oleh mail server untuk membatasi panjang mereka dengan nilai-nilai yang aman. Melakukan hal ini akan mencegah mereka digunakan untuk menyerang klien email.
Sebuah variasi pada serangan buffer overflow adalah untuk menghilangkan informasi di mana program ini mengharapkan untuk menemukan beberapa. Misalnya, Microsoft Exchange bereaksi buruk ketika diminta untuk memproses MIME header lampiran yang secara eksplisit kosong - misalnya, nama file = "" . Serangan ini hanya dapat digunakan untuk menolak layanan.
Serangan Kuda Trojan
Sebuah Trojan Horse adalah program jahat yang menyamar sebagai sesuatu yang berbahaya dalam upaya untuk mendapatkan pengguna waspada untuk menjalankannya.
Serangan ini biasanya digunakan untuk pelanggaran keamanan dengan mendapatkan pengguna dipercaya untuk menjalankan sebuah program yang memberikan akses ke pengguna yang tidak dipercaya (misalnya, dengan memasang remote akses pintu belakang perangkat lunak), atau untuk menyebabkan kerusakan seperti mencoba untuk menghapus semua file pada hard disk korban. Trojan Horses dapat bertindak untuk mencuri informasi atau sumber daya atau menerapkan serangan terdistribusi, seperti dengan mendistribusikan program yang mencoba untuk mencuri password atau informasi keamanan lainnya, atau mungkin program "self-menyebarkan" yang mail sendiri sekitar (a " worm " ) dan juga mailbombs target atau menghapus file (cacing dengan sikap :).
The "Aku cinta kamu" worm adalah contoh yang sangat baik dari serangan Trojan Horse: surat cinta yang tampaknya-berbahaya sebenarnya adalah program menyebarkan diri.
Untuk serangan ini berhasil korban harus mengambil tindakan untuk menjalankan program yang mereka terima. Penyerang dapat menggunakan berbagai " social engineering " metode untuk meyakinkan korban untuk menjalankan program; misalnya, program dapat menyamar sebagai surat cinta atau daftar lelucon, dengan nama file khusus dibangun untuk mengambil keuntungan dari kecenderungan Windows untuk menyembunyikan informasi penting dari pengguna.
Kebanyakan orang tahu bahwa .txt ekstensi digunakan untuk menunjukkan bahwa isi file yang hanya teks biasa, sebagai lawan program, tetapi konfigurasi default Windows adalah menyembunyikan ekstensi nama file dari pengguna, sehingga dalam daftar direktori file bernama textfile .txt akan muncul sebagai hanya " textfile " (untuk menghindari membingungkan pengguna?).
Seorang penyerang dapat mengambil keuntungan dari kombinasi hal-hal dengan mengirimkan lampiran bernama " attack.txt.exe " - Jendela membantu akan menyembunyikan .exe ekstensi, membuat lampiran muncul menjadi file teks jinak bernama " attack.txt " bukannya sebuah program. Namun, jika pengguna lupa bahwa Windows menyembunyikan ekstensi nama file yang sebenarnya dan double-klik pada lampiran, Windows akan menggunakan nama file penuh untuk memutuskan apa yang harus dilakukan, dan karena Exe menunjukkan program dieksekusi, Windows menjalankan lampiran. Blam! Anda dimiliki.
Kombinasi khas ekstensi tampaknya-jinak dan berbahaya-executable adalah:
- xxx.TXT.VBS - script executable (Basic Script Visual) menyamar sebagai file teks
- xxx.JPG.SCR - program executable (screen saver) menyamar sebagai file gambar
- xxx.MPG.DLL - program executable (dynamic link library) yang menyamar sebagai film
Serangan ini dapat dihindari hanya dengan tidak menjalankan program yang telah diterima di email sampai mereka telah diperiksa lebih, bahkan jika program tampaknya tidak berbahaya dan terutama jika itu berasal dari seseorang yang Anda tidak tahu dengan baik dan kepercayaan.
Klik ganda pada lampiran email adalah kebiasaan berbahaya.
Sampai baru-baru ini, hanya mengatakan "tidak double-klik pada lampiran" cukup aman. Sayangnya hal ini tidak lagi terjadi.
Bug di klien email atau rancangan program yang buruk dapat memungkinkan pesan serangan untuk secara otomatis mengeksekusi lampiran Trojan Horse tanpa campur tangan pengguna , baik melalui penggunaan HTML aktif, scripting atau buffer overflow exploits termasuk dalam pesan yang sama sebagai lampiran Trojan Horse atau kombinasi ini. Ini adalah sangat skenario berbahaya dan saat ini "di alam liar" sebagai worm email menyebarkan diri yang tidak memerlukan campur tangan pengguna untuk infeksi terjadi. Anda dapat yakin bahwa ini tidak akan menjadi satu-satunya.
Dalam upaya untuk mencegah hal ini, nama-nama lampiran file executable dapat diubah sedemikian rupa bahwa sistem operasi tidak lagi berpikir mereka dieksekusi (misalnya, dengan mengubah " EXPLOIT.EXE " untuk " EXPLOIT.DEFANGED-EXE ") . Hal ini akan memaksa pengguna untuk menyimpan dan mengubah nama file sebelum dapat dieksekusi (memberi mereka kesempatan untuk berpikir tentang apakah itu harus dijalankan, dan memberikan software antivirus mereka kesempatan untuk memeriksa lampiran sebelum mulai berjalan), dan mengurangi kemungkinan bahwa eksploitasi lainnya dalam pesan yang sama akan dapat menemukan dan mengeksekusi program Trojan Horse otomatis (karena nama telah diubah).
Selain itu, untuk program Trojan Horse diketahui format lampiran itu sendiri dapat hancur sedemikian rupa bahwa klien email tidak lagi melihat lampiran sebagai lampiran. Hal ini akan memaksa pengguna untuk menghubungi dukungan teknis untuk mengambil lampiran, dan memberikan sistem administrator kesempatan untuk memeriksanya.
Unmangling lampiran hancur cukup mudah untuk administrator. Dalam mangling lampiran asli MIME sundulan lampiran digeser ke bawah dan header lampiran serangan peringatan dimasukkan. Tidak ada informasi dihapus.
Berikut adalah daftar executable Trojan Horse terbaru dan dokumen, dikumpulkan dari bugtraq dan Usenet newsgroup peringatan dan penjual antivirus nasihat:
Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe
Tentu saja, worm penulis sekarang wising dan penamaan lampiran secara acak, yang mengarah pada kesimpulan bahwa semua file EXE harus diblokir.
saluran lain untuk serangan Trojan Horse adalah melalui file data untuk program yang menyediakan bahasa makro (pemrograman), misalnya, modern pengolah kata bertenaga tinggi, spreadsheet, dan database alat pengguna.
Jika Anda tidak bisa hanya membuang lampiran yang dapat menempatkan Anda pada risiko, disarankan agar Anda menginstal perangkat lunak anti-virus (yang mendeteksi dan menonaktifkan makro-bahasa Trojan Horses) dan bahwa Anda selalu terbuka lampiran file data dalam program ini "tidak secara otomatis mengeksekusi macro "mode (misalnya, dengan menekan [SHIFT] kunci ketika mengklik dua kali lampiran).
Juga: jika administrator sistem Anda (atau seseorang yang mengaku sebagai administrator sistem Anda) email Anda program dan meminta Anda untuk menjalankannya, langsung menjadi sangat mencurigakan dan memverifikasi asal email dengan menghubungi administrator Anda langsung dengan beberapa cara lain selain email. Jika Anda menerima lampiran mengklaim menjadi update sistem operasi atau antivirus alat, tidak menjalankannya . Vendor sistem operasi tidak pernah memberikan update via email, dan alat-alat antivirus yang tersedia di situs penjual antivirus.
Serangan Shell Script
Banyak program yang berjalan di bawah Unix dan sistem operasi yang sama mendukung kemampuan untuk menanamkan skrip shell singkat (urutan perintah mirip dengan batch file di DOS) dalam file konfigurasi mereka. Ini adalah cara yang umum untuk memungkinkan perpanjangan fleksibel kemampuan mereka.
Beberapa program email-processing benar memperluas dukungan ini untuk perintah shell tertanam untuk pesan mereka memproses. Umumnya kemampuan ini disertakan oleh kesalahan, dengan memanggil script shell diambil dari file konfigurasi untuk memproses teks beberapa header. Jika header secara khusus diformat dan berisi perintah shell, adalah mungkin bahwa perintah-perintah shell akan dijalankan juga. Hal ini dapat dicegah dengan program memindai teks header untuk format khusus dan mengubah format yang sebelum itu akan diteruskan ke shell untuk diproses lebih lanjut.
Karena format yang diperlukan untuk menanamkan sebuah shell script di header email cukup istimewa, itu cukup mudah untuk mendeteksi dan mengubah.
Serangan privasi web Bug
Pesan email HTML dapat merujuk ke konten yang tidak benar-benar dalam pesan, seperti halaman web dapat merujuk ke konten yang tidak benar-benar di website hosting halaman. Ini umumnya dapat dilihat pada iklan banner - website di http://www.geocities.com/ mungkin termasuk iklan banner yang akan diambil dari server di http://ads.example.com/ - saat halaman dirender , web browser otomatis kontak web server di http://ads.example.com/ dan mengambil gambar iklan banner. Pengambilan ini dari file dicatat dalam log server di http://ads.example.com/ , memberikan waktu itu diambil dan alamat jaringan komputer mengambil gambar.
Menerapkan ini untuk email HTML melibatkan menempatkan referensi gambar di tubuh pesan email. Ketika program email mengambil file gambar sebagai bagian dari menampilkan pesan email ke pengguna, server web log waktu dan alamat jaringan permintaan. Jika gambar memiliki nama file yang unik, adalah mungkin untuk menentukan secara tepat yang pesan email yang dihasilkan permintaan. Biasanya gambar adalah sesuatu yang tidak akan terlihat oleh penerima pesan, misalnya gambar yang hanya terdiri dari satu pixel transparan, maka istilah Bug Web - itu adalah, setelah semua, dimaksudkan untuk menjadi "surveilans rahasia."
Hal ini juga memungkinkan untuk menggunakan tag suara latar belakang untuk mencapai hasil yang sama.
Kebanyakan klien mail tidak dapat dikonfigurasi untuk mengabaikan tag ini, sehingga satu-satunya cara untuk mencegah mengintip ini adalah untuk memotong-motong gambar dan referensi suara tag pada mail server.
