Verbesserung der E-Mail-Sicherheit mit Procmail – Bedrohungen

Want create site? Find Free WordPress Themes and plugins.

Verbesserung der E-Mail-Sicherheit mit Procmail

Bedrohungen, Exploits und Angriffe

Zurück zur Homepage


E-Mail-basierte Angriffe

Es gibt vier Arten von Angriffen auf die Systemsicherheit, die per E-Mail durchgeführt werden können:

  • Aktive Content-Angriffe , die verschiedene aktive HTML- und Scripting-Features und Bugs nutzen.
  • Pufferüberlauf- Angriffe , wo der Angreifer etwas sendet, das zu groß ist, um in einen Speicherpuffer im festen Speicherplatz im E-Mail-Client zu passen, in der Hoffnung, dass der Teil, der nicht passt, kritische Informationen überschreiben und nicht sicher verworfen wird.
  • Trojaner-Angriffe , wo ein ausführbares Programm oder ein makro-sprachiges Skript, das Zugriff gewährt, Schaden verursacht, sich selbst propagiert oder andere unerwünschte Dinge dem Opfer als Dateianhang als etwas Unschuldiges, wie zB eine Grußkarte oder einen Bildschirmschoner, verschickt wird , Oder versteckt in etwas, das das Opfer erwartet, wie eine Kalkulationstabelle oder ein Dokument. Dies wird auch als Social Engineering Angriff, wo das Ziel des Angriffs ist es, das Opfer zu überzeugen, um die Nachricht Anhang zu öffnen.
  • Shell-Skript-Angriffe , wo ein Fragment eines Unix-Shell-Skripts in den Nachrichten-Headern enthalten ist, in der Hoffnung, dass ein nicht ordnungsgemäß konfigurierter Unix-Mail-Client die Befehle ausführt.

Ein weiterer Angriff auf die Privatsphäre des Nutzers, aber nicht auf die System-Sicherheit, ist die Verwendung von so genannten Web-Bugs , die eine Tracking-Site benachrichtigen können, wann und wo eine bestimmte E-Mail-Nachricht gelesen wird.


Aktive Content-Attacken, aka Browser-Attacken, Active-HTML-Attacken oder Scripting-Attacken

Diese Angriffe richten sich an Personen, die einen Webbrowser oder einen HTML-fähigen E-Mail-Client verwenden, um ihre E-Mails zu lesen, was in diesen Tagen ein sehr großer Teil der Computing-Community ist. Typischerweise versuchen diese Angriffe, die Skripting-Features von HTML oder des E-Mail-Clients (in der Regel Javascript oder VBScript) zu verwenden, um private Informationen aus dem Computer des Opfers abzurufen oder Code auf dem Computer des Opfers ohne Zustimmung des Opfers (und möglicherweise ohne das Wissen des Opfers) .

Weniger gefährliche Formen dieser Angriffe können automatisch dazu führen, dass der Empfängercomputer einige Inhalte anzeigt, die der Angreifer wünscht, wie zum Beispiel das Öffnen einer Werbe- oder Pornografie-Webseite, wenn die Nachricht geöffnet wird, oder einen Denial-of-Service-Angriff auf dem Computer des Empfängers durchführen Code, der den Browser oder den ganzen Computer einfriert oder abstürzt.

Der einfachste Weg, um solche Angriffe vollständig zu vermeiden, besteht darin, keinen Webbrowser oder HTML-fähigen E-Mail-Client zu verwenden, um Ihre E-Mails zu lesen. Da viele dieser Angriffe nicht auf Bugs in der E-Mail-Client-Software angewiesen sind, können sie nicht durch Patches an den E-Mail-Client verhindert werden. Wenn Sie einen Webbrowser oder HTML-fähigen E-Mail-Client verwenden, sind Sie anfällig für diese Art von Angriffen.

Auch wenn einige dieser Angriffe davon abhängen, dass der E-Mail-Client in der Lage ist, scripted HTML auszuführen, anstatt abhängig von den Schwächen eines bestimmten Betriebssystems, können diese Angriffe plattformübergreifend sein. Ein HTML-fähiger E-Mail-Client auf einem Macintosh ist genauso anfällig für Aktiv-HTML-E-Mail-Angriffe wie ein HTML-fähiger E-Mail-Client unter Windows oder Unix. Die Vulnerabilität variiert von System zu System auf der Grundlage der E-Mail-Client anstatt des Betriebssystems.

Das Umschalten auf einen nicht-HTML-bewussten E-Mail-Client ist für viele Menschen keine realistische Option. Eine Alternative besteht darin, den beleidigenden HTML- oder Script-Code herauszufiltern oder zu verändern, bevor der E-Mail-Client eine Chance bekommt, ihn zu verarbeiten. Es kann auch möglich sein, Ihren E-Mail-Client zu konfigurieren, um die Interpretation von Script-Code auszuschalten. Weitere Informationen finden Sie in Ihrer Programmdokumentation. Das Abschalten von Scripting in Ihrem E-Mail-Client wird dringend empfohlen – es gibt keinen guten Grund, scripte E-Mails zu unterstützen.

Microsoft Outlook-Benutzer sollten diese Seite besuchen, die beschreibt, die Sicherheitseinstellungen von Outlook zu verschärfen .

Die vor kurzem angekündigten Outlook-E-Mail-Würmer sind ein Beispiel für diesen Angriff. Weitere Informationen finden Sie in der Datenbank Bugtraq Vulnerability.

Ein weiterer Weg, um gegen aktive Inhalte zu verteidigen, besteht darin, das Scripting zu verstopfen, bevor das Mailprogramm eine Chance hat, es zu sehen. Dies geschieht auf dem Mail-Server zu dem Zeitpunkt , zu dem die Nachricht empfangen und in der Mailbox des Benutzers gespeichert wird , und in ihrer einfachsten Form besteht lediglich das Ändern aller <SCRIPT> -Tags zu (zB) <DEFANGED-SCRIPT> -Tags, was die Mail-Programm, um sie zu ignorieren. Da es viele Orte gibt, in denen Scripting-Befehle in anderen Tags verwendet werden können, ist der Defanging-Prozess komplizierter als dies in der Praxis.


Pufferüberlaufangriffe

Ein Puffer ist ein Speicherbereich, in dem ein Programm vorübergehend Daten speichert, die es verarbeitet. Wenn diese Region eine vordefinierte, feste Größe hat und wenn das Programm keine Schritte unternimmt, um sicherzustellen, dass die Daten in diese Größe passen, gibt es einen Fehler: Wenn mehr Daten gelesen werden, als in den Puffer passen, wird der Überschuss noch geschrieben , Aber es wird über das Ende des Puffers hinausgehen, wahrscheinlich ersetzt andere Daten oder Programm Anweisungen.

Ein Pufferüberlauf-Angriff ist ein Versuch, diese Schwäche zu nutzen, indem man eine unerwartet lange Datenfolge für das zu verarbeitende Programm sendet. Zum Beispiel, im Falle eines E-Mail-Programms, könnte der Angreifer ein gefälschtes Datum: Header, das mehrere tausend Zeichen lang ist, in der Annahme, dass das E-Mail-Programm nur erwartet, dass ein Datum: Header, der höchstens einhundert Zeichen lang ist und doesn ‘ T Überprüfen Sie die Länge der Daten, die es spart.

Diese Angriffe können als Denial-of-Service-Angriffe verwendet werden, denn wenn ein Speicher des Programms zufällig überschrieben wird, wird das Programm im Allgemeinen abstürzen. Allerdings ist es durch die sorgfältige Herstellung der genauen Inhalte, die den Puffer überflutet, in einigen Fällen möglich, Programmanweisungen für den Computer des Opfers zu liefern, ohne die Zustimmung des Opfers auszuführen. Der Angreifer sendet ein Programm an das Opfer, und es wird vom Computer des Opfers geführt, ohne die Erlaubnis des Opfers zu bitten.

Beachten Sie, dass dies das Ergebnis eines Bugs im Programm unter Angriff ist. Eine ordnungsgemäß geschriebene E-Mail-Client wird nicht erlauben zufällige Fremde, um Programme auf Ihrem Computer ohne Ihre Zustimmung laufen. Programme, die Pufferüberläufen unterliegen, sind falsch geschrieben und müssen gepatcht werden, um das Problem dauerhaft zu korrigieren.

Pufferüberläufe in Mailprogrammen treten bei der Handhabung der Nachrichten-Header und der Anhang-Header auf, die Informationen sind, die der E-Mail-Client verarbeiten muss, um Details über die Nachricht zu erfahren und was damit zu tun ist. Der Text im Körper der Nachricht, der einfach auf dem Bildschirm angezeigt wird und der erwartet wird, dass er eine große Menge an Text ist, wird nicht als Fahrzeug für Pufferüberlaufangriffe verwendet.

Die kürzlich angekündigten Überlauf-Bugs in Outlook, Outlook Express und Netscape Mail sind Beispiele dafür. Patches für Outlook sind über die Microsoft-Sicherheitsseite verfügbar .

Die Nachrichten-Header und Anhang-Header können vom Mail-Server vorverarbeitet werden, um ihre Längen auf sichere Werte zu beschränken. Dadurch wird verhindert, dass sie zum Angriff auf den E-Mail-Client verwendet werden.

Eine Variation des Pufferüberlauf-Angriffs ist, Informationen zu unterlassen, wo das Programm erwartet, einige zu finden. Zum Beispiel reagiert Microsoft Exchange schlecht, wenn es aufgefordert wird, MIME-Anhang-Header zu verarbeiten, die explizit leer sind – zum Beispiel Dateiname = "" . Dieser Angriff kann nur verwendet werden, um den Dienst zu verweigern.


Trojanische Pferdeangriffe

Ein Trojanisches Pferd ist ein bösartiges Programm, das sich als etwas Gutes in einem Versuch versetzt, einen ungewissen Benutzer zu bekommen, um ihn zu rennen.

Diese Angriffe werden gewöhnlich verwendet, um die Sicherheit zu verletzen, indem sie einen vertrauenswürdigen Benutzer dazu veranlasst, ein Programm auszuführen, das Zugriff auf einen nicht vertrauenswürdigen Benutzer gewährt (z. B. durch die Installation von Remote-Access- Back-Tür- Software) oder um Schaden zu verursachen, wie zum Beispiel das Versuchen, alle zu löschen Dateien auf der Festplatte des Opfers. Trojanische Pferde können handeln, um Informationen oder Ressourcen zu stehlen oder einen verteilten Angriff zu implementieren, z. B. durch die Verteilung eines Programms, das versucht, Passwörter oder andere Sicherheitsinformationen zu stehlen, oder ein “selbstverbreitendes” Programm sein kann, das sich umgibt (ein ” Wurm ” ) Und auch mailbombs ein Ziel oder löscht Dateien (ein Wurm mit einer Haltung :).

Der “Ich liebe dich” Wurm ist ein hervorragendes Beispiel für einen Trojanischen Pferdeangriff: ein scheinbar unschädlicher Liebesbrief war eigentlich ein selbstverbreitendes Programm.

Für diesen Angriff muss das Opfer handeln, um das Programm zu führen, das sie erhalten haben. Der Angreifer kann verschiedeneSocial Engineering-Methoden verwenden , um das Opfer zu überzeugen , das Programm zu führen; Zum Beispiel kann das Programm als Liebesbrief oder Witzliste verkleidet sein, wobei der Dateiname speziell konstruiert wurde, um die Vorteile von Windows zu nutzen, um wichtige Informationen vom Benutzer zu verbergen.

Die meisten Leute wissen, dass die .txt- Erweiterung verwendet wird, um anzuzeigen, dass der Inhalt der Datei einfach nur Text ist, im Gegensatz zu einem Programm, aber Windows-Standardkonfiguration ist es, Dateinamenerweiterungen vom Benutzer zu verbergen, also in einem Verzeichnis, das eine Datei mit dem Namen textfile auflistet .txt erscheint als nur “textfile” (um zu vermeiden, dass der Benutzer verwechselt wird?).Ein Angreifer kann diese Kombination von Dingen nutzen, indem er einen Anhang namens ” attack.txt.exesendet – Windows wird die Erweiterung .exe hilfsweise ausblenden, so dass der Anhang eine gutartige Textdatei mit dem Namen ” attack.txt ” anstelle von ein Programm. Allerdings, wenn der Benutzer vergisst, dass Windows die tatsächliche Dateiname Erweiterung versteckt und Doppelklick auf die Anlage, wird Windows den vollständigen Dateinamen verwenden, um zu entscheiden, was zu tun, und da .exe zeigt ein ausführbares Programm, Windows führt die Anlage. Taumeln Du bist besessen

Typische Kombinationen von scheinbar gutartigen und gefährlich ausführbaren Erweiterungen sind:

  • Xxx.TXT.VBS – ein ausführbares Skript (Visual Basic-Skript), das als Textdatei maskiert ist
  • Xxx.JPG.SCR – ein ausführbares Programm (Bildschirmschoner) Masquerading als Bilddatei
  • Xxx.MPG.DLL – ein ausführbares Programm (Dynamic Link Library), das als Film masquerading ist

Dieser Angriff kann einfach vermieden werden , indem man keine Programme ausführt , die in E-Mails empfangen wurden, bis sie überprüft wurden, auch wenn das Programm harmlos zu sein scheint und vor allem, wenn es von jemand kommt, den Sie nicht gut kennen und vertrauen .

Ein Doppelklick auf E-Mail-Anhänge ist eine gefährliche Gewohnheit.

Bis vor kurzem, einfach sagen “do do Doppelklick auf Anhänge” war genug, um sicher zu sein. Leider ist das nicht mehr der Fall.

Bugs in der E-Mail-Client oder schlechte Programm-Design kann die Angriffsnachricht automatisch ausführen die Trojan Horse Anlage ohne jegliche Benutzerintervention , entweder durch die Verwendung von aktiven HTML, Scripting oder Pufferüberlauf Exploits in der gleichen Nachricht wie die Trojan Horse Anlage oder enthalten Eine Kombination von diesen. Dies ist ein extrem gefährliches Szenario und ist derzeit “in der Wildnis” als selbstverbreitenden E-Mail-Wurm , der keine Eingriffe des Benutzers für eine Infektion erfordert. Sie können sicher sein, dass dies nicht der einzige sein wird.

In einem Versuch, dies zu verhindern, können die Namen der ausführbaren Dateianlagen so geändert werden, dass das Betriebssystem nicht mehr denkst, dass sie ausführbar sind (z. B. durch Ändern von ” EXPLOIT.EXE ” auf ” EXPLOIT.DEFANGED-EXE “) . Dies wird den Benutzer zwingen, die Datei zu speichern und umzubenennen, bevor sie ausgeführt werden kann (was ihnen eine Chance gibt, darüber nachzudenken, ob es ausgeführt werden soll, und geben ihr Antivirensoftware eine Chance, den Anhang zu untersuchen, bevor er anfängt), und er reduziert sich Die Möglichkeit, dass andere Exploits in der gleichen Nachricht das Trojanische Pferd Programm automatisch finden und ausführen können (da der Name geändert wurde).

Darüber hinaus kann für bekannte Trojan Horse-Programme das Attachment-Format selbst so verwickelt werden, dass der E-Mail-Client den Anhang nicht mehr als Anhang sieht. Dies wird den Benutzer dazu zwingen, den technischen Support zu kontaktieren, um den Anhang abzurufen und gibt dem Systemadministrator die Möglichkeit, ihn zu untersuchen.

Das Mischen von Mangled Attachment ist für den Administrator ziemlich einfach. Beim Mangel der Anhänge wird der ursprüngliche MIME- Anhänge-Header nach unten verschoben und ein Angriffswarnungs-Header wird eingefügt. Es werden keine Informationen gelöscht.

Hier ist eine Liste der aktuellen Trojan Horse ausführbare Dateien und Dokumente, die aus Bugtraq und Usenet Newsgroup Warnungen und Antivirus Vendor Advisories:

Anti_TeRRoRisM.exe
Ameisen [0-9] + set.exe
Binladen_bra [sz] il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
Amateurs.exe
Anal.exe
Anna.exe
Anniv.doc
Anti_cih.exe
Antivirus.exe
Aol4free.com
Asian.exe
Atchim.exe
Avp_updates.exe
Babylonia.exe
Badass.exe
Black.exe
Blancheneige.exe
Blonde.exe
Boys.exe
Buhh.exe
Berühmtheit? Rape.exe
Cheerleader.exe
Chocolate.exe
Compu_ma.exe
Creative.exe
Cum.exe
Cumshot.exe
Doggy.exe
Dwarf4you.exe
Emanuel.exe
Enanito fisgon.exe
Enano.exe
Enano? Porno.exe
Berühmt.exe
Faust-f? Cking.exe
Gay.exe
Girls.exe
Happy99.exe
Glücklich [0-9] +. Exe
Hardcore.exe
Horny.exe
Hot.exe
Hottest.exe
I-watch-u.exe
Ie0199.exe
Images_zipped.exe
Jesus.exe
Joke.exe
Kinky.exe
Leather.exe
Lesbians.exe
List.doc
Lovers.exe
Matcher.exe
Messy.exe
Misworld.exe
Mkcompat.exe
Nakedwife.exe
Navidad.exe
Oains.exe
Oral.exe
Orgy.exe
Path.xls
Photos17.exe
Picture.exe
Pleasure.exe
Ziemlich park.exe
Hübsch park.exe
Prettypark.exe
Qi_test.exe
Raquel? Darian.exe
Readme.exe
Romeo.exe
Sado.exe
Sample.exe
Seicho_no_ie.exe
Serialz.hlp
Setup.exe
Sex.exe
Sexy.exe
Slut.exe
Sm.exe
Sodomized.exe
Sslpatch.exe
Story.doc
Suck.exe
Suppl.doc
Überraschung .exe
Suzete.exe
Teens.exe
Virgins.exe
X-mas.exe
Xena.exe
Xuxa.exe
Y2kcount.exe
Yahoo.exe
Zipped_files.exe

Natürlich sind Wurm-Autoren jetzt auf und nennen die Attachments zufällig, was zu dem Schluss führt, dass alle .EXE-Dateien blockiert werden sollen.

Ein weiterer Kanal für Trojaner-Angriffe ist über eine Datendatei für ein Programm, das eine Makro- (Programmiersprache) Sprache, zum Beispiel moderne High-Power-Textverarbeitungsprogramme, Tabellenkalkulationen und Benutzer-Datenbank-Tools bietet.

Wenn Sie nicht einfach Anhänge verwerfen können, die Sie gefährden können, empfiehlt es sich, die Antiviren-Software zu installieren (die Makro-Sprache Trojan Horses erkennt und deaktiviert) und dass Sie immer die Dateianhang-Anhänge im Programm “nicht automatisch ausführen” öffnen Makros “-Modus (z. B. durch Drücken der [SHIFT] -Taste beim Doppelklick auf den Anhang).

Auch wenn Ihr Systemadministrator (oder jemand, der behauptet, Ihr Systemadministrator zu sein) E-Mails ein Programm und bittet Sie, es auszuführen, sofort sehr verdächtig und überprüfen Sie den Ursprung der E-Mail, indem Sie Ihren Administrator direkt mit anderen Mitteln als E-Mail kontaktieren. Wenn Sie eine Anlage erhalten, die behauptet, ein Betriebssystem-Update oder ein Antivirus-Tool zu sein, führen Sie es nicht aus . Betriebssystem-Anbieter liefern nie Updates per E-Mail, und Antivirus-Tools sind leicht verfügbar auf der Antiviren-Anbieter-Websites.


Shell-Skript-Angriffe

Viele Programme, die unter Unix und ähnlichen Betriebssystemen laufen, unterstützen die Möglichkeit, kurze Shell-Skripte (Sequenzen von Befehlen ähnlich Batch-Dateien unter DOS) in ihren Konfigurationsdateien einzubetten. Dies ist ein gängiger Weg, um die flexible Erweiterung ihrer Fähigkeiten zu ermöglichen.

Einige Postverarbeitungsprogramme erweitern diese Unterstützung für eingebettete Shell-Befehle nicht ordnungsgemäß zu den Nachrichten, die sie verarbeiten. Im Allgemeinen ist diese Fähigkeit fälschlicherweise enthalten, indem man ein Shell-Skript aus der Konfigurationsdatei aufruft, um den Text einiger Header zu verarbeiten. Wenn der Header speziell formatiert ist und Shell-Befehle enthält, ist es möglich, dass diese Shell-Befehle auch ausgeführt werden. Dies kann durch das Programm verhindert werden, das den Header-Text für die spezielle Formatierung scannt und diese Formatierung ändert, bevor es zur Weiterverarbeitung an die Shell übergeben wird.

Da die Formatierung benötigt, um ein Shell-Skript in einem E-Mail-Header einbetten ist ziemlich speziell, es ist ziemlich einfach zu erkennen und zu verändern.


Web Bug Privatsphäre Angriffe

Eine HTML-E-Mail-Nachricht kann auf Inhalte verweisen, die nicht tatsächlich innerhalb der Nachricht sind, so wie eine Webseite auf Inhalte verweisen kann, die sich nicht tatsächlich auf der Website befinden, die die Seite hostet. Dies kann häufig in Banner-Anzeigen gesehen werden – eine Website unterhttp://www.geocities.com/ kann eine Banner-Anzeige enthalten, die von einem Server unter http://ads.example.com/ abgerufen wird – wenn die Seitegerendert wird , Der Webbrowser kontaktiert automatisch den Webserver unter http://ads.example.com/ und ruft das Banner-Anzeigenbild ab. Dieses Abrufen einer Datei wird in den Serverprotokollen unter http://ads.example.com/ aufgezeichnet und gibt die Zeit, die es abgerufen wurde, und die Netzwerkadresse des Computers, der das Bild abruft.

Wenn Sie diese auf HTML-E-Mails anwenden, müssen Sie eine Bildreferenz in den Text der E-Mail-Nachricht einfügen. Wenn das Mail-Programm die Bilddatei als Teil der Anzeige der Mail-Nachricht an den Benutzer abruft, protokolliert der Webserver die Zeit und die Netzwerkadresse der Anfrage. Wenn das Bild einen eindeutigen Dateinamen hat, ist es möglich, genau zu bestimmen, welche E-Mail-Nachricht die Anfrage generiert hat.Typischerweise ist das Bild etwas, das für den Nachrichtenempfänger nicht sichtbar ist, zum Beispiel ein Bild, das nur aus einem transparenten Pixel besteht, also der Begriff Web Bug – es soll schließlich “verdeckte Überwachung” sein.

Es ist auch möglich, ein Hintergrund-Sound-Tag zu verwenden, um das gleiche Ergebnis zu erzielen.

Die meisten Mail-Clients können nicht konfiguriert werden, um diese Tags zu ignorieren, so dass die einzige Möglichkeit, dieses Snooping zu verhindern, ist, die Bild- und Tonreferenz-Tags am Mail-Server zu zerlegen.


Ich kann bei <jhardin@impsec.org> kontaktiert werden – du könntest auch meine Homepage besuchen .

Ich wäre sehr daran interessiert, von Leuten zu hören, die bereit sind, diese Seite zu übersetzen.


Erstellt mit vi Am besten mit jedem Browser gesehen

$ Id: sanitizer-threats.html, v 1.36 2017-03-11 10: 18: 24-08 jhardin Exp jhardin $
Inhalt Copyright (C) 1998-2017 von John D. Hardin – Alle Rechte vorbehalten. Übersetzung ermutigt, bitte benachrichtige mich so kann ich Links enthalten.
Did you find apk for android? You can find new Free Android Games and apps.