Sunday

Amélioration de la sécurité du courrier électronique avec Procmail

Menaces, exploits et attaques





Attaques par courrier électronique


Il existe quatre types d'attaques sur la sécurité du système qui peuvent être effectuées par courrier électronique:

  • Les attaques de contenu actif, qui tirent parti de diverses fonctionnalités et bogues actifs de HTML et de script.
  • Attaques de Buffer Overflow, où l'attaquant envoie quelque chose de trop volumineux dans un tampon mémoire de taille fixe dans le client de messagerie, dans l'espoir que la partie qui ne rentre pas écrase les informations critiques au lieu d'être supprimée en toute sécurité.
  • Les attaques de chevaux de Troie, où un programme exécutable ou un script de macro-langage qui accorde l'accès, provoque des dommages, se propage ou envoie d'autres objets importuns à la victime en tant que pièce jointe étiquetée comme inoffensive, comme une carte de vœux ou un économiseur d'écran ou caché dans quelque chose que la victime attend, comme une feuille de calcul ou un document. Ceci est également appelé une attaque d'ingénierie sociale, où le but de l'attaque est de convaincre la victime d'ouvrir la pièce jointe du message.
  • Attaques de script shell, où un fragment d'un script shell Unix est inclus dans les en-têtes de message dans l'espoir qu'un client de messagerie Unix mal configuré puisse exécuter les commandes.

Une autre attaque sur la vie privée de l'utilisateur, mais pas sur la sécurité du système, est l'utilisation de soi-disant Bugs Web qui peut notifier un site de suivi quand et où un message électronique donné est lu.



Attaques de contenu actives, a.k.a. Attaques de navigateur, attaques HTML actives ou attaques de script


Ces attaques sont destinées aux personnes qui utilisent un navigateur Web ou un client de messagerie HTML pour lire leur courrier électronique, qui représente aujourd'hui une très grande partie de la communauté informatique. Typiquement, ces attaques tentent d'utiliser le caractéristiques de script de HTML ou du client de messagerie (généralement Javascript ou VBScript) pour récupérer des informations privées de l'ordinateur de la victime ou exécuter du code sur l'ordinateur de la victime sans le consentement de la victime (et peut-être à l'insu de la victime).

Les formes moins dangereuses de ces attaques peuvent automatiquement amener l'ordinateur du destinataire à afficher le contenu qu'il souhaite, comme ouvrir automatiquement une page Web de publicité ou de pornographie lorsque le message est ouvert, ou effectuer une attaque par déni de service sur l'ordinateur du destinataire via code qui gèle ou plante le navigateur ou l'ordinateur entier.

Le moyen le plus simple d'éviter complètement de telles attaques est de ne pas utiliser un navigateur Web ou un client de messagerie HTML pour lire votre courrier électronique. Étant donné que la plupart de ces attaques ne dépendent pas de bogues dans le logiciel client de messagerie, elles ne peuvent pas être empêchées par des correctifs au client de messagerie. Si vous utilisez un navigateur Web ou un client de messagerie HTML, vous serez vulnérable à ce type d'attaques.

En outre, comme certaines de ces attaques dépendent de la capacité du client de messagerie à exécuter du code HTML au lieu de dépendre des faiblesses d'un système d'exploitation particulier, ces attaques peuvent être multiplateformes. Un client de messagerie HTML activé sur un Macintosh est tout aussi vulnérable aux attaques par courrier électronique HTML actif qu'un client de messagerie HTML activé sous Windows ou Unix. La vulnérabilité varie d'un système à l'autre en fonction du client de messagerie plutôt que du système d'exploitation.

Passer à un client de messagerie non compatible HTML n'est pas une option réaliste pour de nombreuses personnes. Une alternative consiste à filtrer ou à modifier le code HTML ou le code de script incriminé avant que le client de messagerie ne puisse le traiter. Il peut également être possible de configurer votre client de messagerie pour désactiver l'interprétation du code de script. Voir la documentation de votre programme pour plus de détails. Il est fortement recommandé de désactiver les scripts dans votre client de messagerie. Il n'y a aucune raison de prendre en charge les e-mails scriptés.

Les utilisateurs de Microsoft Outlook devraient visiter cette page qui décrit resserrer les paramètres de sécurité d'Outlook.

Les vers de messagerie Outlook récemment annoncés sont un exemple de cette attaque. Consultez la base de données de Bugtraq Vulnerability pour plus de détails.

Une autre façon de se défendre contre les attaques par contenu actif est de détruire le script avant que le programme de messagerie ait une chance de le voir. Cela se fait sur le serveur de messagerie au moment où le message est reçu et stocké dans la boîte aux lettres de l'utilisateur, et dans sa forme la plus simple consiste simplement à changer toutes les balises <SCRIPT> par (par exemple) <DEFANGED-SCRIPT>. programme de messagerie pour les ignorer. Comme il existe de nombreux endroits où les commandes de script peuvent être utilisées dans d'autres balises, le processus de désengagement est plus compliqué que cela en pratique.




Attaques de débordement de tampon


Un tampon est une région de mémoire dans laquelle un programme stocke temporairement les données qu'il traite. Si cette région a une taille prédéfinie et fixe, et si le programme ne prend pas de mesures pour s'assurer que les données correspondent à cette taille, il y a un bug: si plus de données sont lues que de données dans le tampon, l'excès sera écrit , mais il dépassera la fin de la mémoire tampon, remplaçant probablement d'autres données ou instructions du programme.

Un débordement de tampon attaque est une tentative d'utiliser cette faiblesse en envoyant une chaîne de données inattendue pour le programme à traiter. Par exemple, dans le cas d'un programme de messagerie électronique, l'attaquant peut envoyer un en-tête Date: faux de plusieurs milliers de caractères, en supposant que le programme de messagerie n'attend qu'un en-tête Date: d'au plus cent caractères. t vérifier la longueur des données qu'il enregistre.

Ces attaques peuvent être utilisées comme attaques de déni de service, car lorsque la mémoire d'un programme est remplacée de manière aléatoire, le programme se bloque généralement. Cependant, en élaborant soigneusement le contenu exact de ce qui déborde du tampon, il est dans certains cas possible de fournir des instructions de programme pour que l'ordinateur de la victime s'exécute sans le consentement de la victime. L'attaquant envoie un programme à la victime et celui-ci sera exécuté par l'ordinateur de la victime sans demander l'autorisation de la victime.

Notez que ceci est le résultat d'un bug dans le programme attaqué. Un client de messagerie correctement écrit ne permettra pas aux étrangers de lancer des programmes sur votre ordinateur sans votre consentement. Les programmes soumis à des dépassements de tampon sont écrits de manière incorrecte et doivent être corrigés pour corriger définitivement le problème.

Les débordements de tampon dans les programmes de messagerie se produisent lors de la gestion des en-têtes et des en-têtes de pièces jointes, informations que le client de messagerie doit traiter pour connaître les détails du message et savoir quoi en faire. Le texte dans le corps du message, qui est simplement affiché sur l'écran et qui devrait être une grande quantité de texte, n'est pas utilisé comme véhicule pour les attaques de dépassement de tampon.

Les bogues de débordement récemment annoncés dans Outlook, Outlook Express et Netscape Mail en sont des exemples. Des correctifs pour Outlook sont disponibles via le site de sécurité Microsoft.

Les en-têtes de message et les en-têtes de pièces jointes peuvent être prétraités par le serveur de messagerie pour limiter leur longueur à des valeurs sûres. Cela empêchera leur utilisation pour attaquer le client de messagerie.

Une variante de l'attaque de débordement de tampon consiste à omettre des informations où le programme s'attend à en trouver. Par exemple, Microsoft Exchange réagit mal lorsqu'il est demandé de traiter les en-têtes de pièces jointes MIME qui sont explicitement vides, par exemple, nomfichier = "". Cette attaque ne peut être utilisée que pour refuser le service.




Attaques de cheval de Troie


UNE Cheval de Troie est un programme malveillant qui se fait passer pour quelque chose de bénin dans une tentative d'obtenir un utilisateur imprudent pour l'exécuter.

Ces attaques sont généralement utilisées pour violer la sécurité en demandant à un utilisateur de confiance d'exécuter un programme qui accorde l'accès à un utilisateur non approuvé (par exemple, en installant un accès distant porte de derrière logiciel), ou pour causer des dommages tels que tenter d'effacer tous les fichiers sur le disque dur de la victime. Les Chevaux de Troie peuvent agir pour voler des informations ou des ressources ou implémenter une attaque distribuée, par exemple en distribuant un programme qui tente de voler des mots de passe ou d'autres informations de sécurité, ou peut être un programme "auto-propagateur" (une "ver") et aussi mailbombs une cible ou supprime des fichiers (un ver avec une attitude :).

Le ver "Je t'aime" est un excellent exemple d'attaque de cheval de Troie: une lettre d'amour apparemment inoffensive était en fait un programme d'auto-propagation.

Pour que cette attaque réussisse, la victime doit prendre des mesures pour exécuter le programme qu'elle a reçu. L'attaquant peut utiliser diverses méthodes d '«ingénierie sociale» pour convaincre la victime de lancer le programme; Par exemple, le programme peut être déguisé en une lettre d'amour ou une liste de blagues, avec le nom de fichier spécialement construit pour profiter de la propension de Windows à cacher des informations importantes à l'utilisateur.

           La plupart des gens savent que l'extension .txt est utilisée pour indiquer que le contenu du fichier est simplement du texte, contrairement à un programme, mais la configuration par défaut de Windows consiste à masquer les extensions de nom d'utilisateur, donc dans un répertoire listant un fichier textfile .txt apparaîtra comme juste "textfile" (pour éviter de dérouter l'utilisateur?).

           Un attaquant peut tirer parti de cette combinaison de choses en envoyant une pièce jointe nommée "attack.txt.exe" - Windows va utilement masquer l'extension .exe, faisant apparaître la pièce jointe comme un fichier texte bénin nommé "attack.txt" au lieu de un programme. Toutefois, si l'utilisateur oublie que Windows cache l'extension du nom de fichier et double-clique sur la pièce jointe, Windows utilisera le nom de fichier complet pour décider quoi faire, et puisque .exe indique un programme exécutable, Windows exécute la pièce jointe. Blam! Vous êtes possédé.

           Les combinaisons typiques d'extensions apparemment bénignes et dangereusement exécutables sont:
  • xxx.TXT.VBS - un script exécutable (script Visual Basic) se faisant passer pour un fichier texte
  • xxx.JPG.SCR - un programme exécutable (économiseur d'écran) se faisant passer pour un fichier image
  • xxx.MPG.DLL - un programme exécutable (bibliothèque de liens dynamiques) se faisant passer pour un film

Cette attaque peut être évitée simplement en n'exécutant pas les programmes qui ont été reçus dans l'email jusqu'à ce qu'ils aient été vérifiés, même si le programme semble être inoffensif et surtout s'il vient de quelqu'un que vous ne connaissez pas bien et en qui vous avez confiance.

Double-cliquer sur les pièces jointes est une habitude dangereuse.

Jusqu'à récemment, il suffisait de dire «ne double-cliquez pas sur les pièces jointes» pour être sûr. Malheureusement, ce n'est plus le cas.

Des bogues dans le client de messagerie ou une mauvaise conception de programme peuvent permettre au message d'attaque d'exécuter automatiquement la pièce jointe Trojan Horse sans aucune intervention de l'utilisateur, soit par l'utilisation de HTML actif, scripts ou débordements de buffer inclus dans le même message. une combinaison de ceux-ci. Ceci est un scénario extrêmement dangereux et est actuellement "dans la nature" en tant que ver de messagerie auto-propageant cela ne nécessite aucune intervention de l'utilisateur pour que l'infection se produise. Vous pouvez être sûr que ce ne sera pas le seul.

Dans une tentative d'empêcher cela, les noms des pièces jointes exécutables peuvent être modifiés de telle sorte que le système d'exploitation ne pense plus qu'ils sont exécutables (par exemple, en changeant "EXPLOIT.EXE" en "EXPLOIT.DEFANGED-EXE") . Cela forcera l'utilisateur à enregistrer et à renommer le fichier avant qu'il puisse être exécuté (en leur donnant une chance de savoir s'il doit être exécuté et en donnant à leur logiciel antivirus une chance d'examiner la pièce jointe avant qu'il ne commence à s'exécuter). la possibilité que d'autres exploits dans le même message puissent trouver et exécuter automatiquement le programme Cheval de Troie (puisque le nom a été changé).

En outre, pour les programmes de chevaux de Troie connus, le format de pièce jointe lui-même peut être modifié de telle sorte que le client de messagerie ne voit plus la pièce jointe en tant que pièce jointe. Cela forcera l'utilisateur à contacter le support technique pour récupérer la pièce jointe, et donne à l'administrateur du système une chance de l'examiner.

Démêler un attachement mutilé est assez simple pour l'administrateur. Lors du découpage de la pièce jointe, l'en-tête de pièce jointe MIME d'origine est décalé vers le bas et un en-tête de pièce jointe d'avertissement d'attaque est inséré. Aucune information n'est supprimée.

Voici une liste des exécutables et des documents Trojan Horse récents, tirés des avertissements buggroup et Usenet newsgroup et des avis des éditeurs d'antivirus:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

Bien sûr, les auteurs de vers se réveillent maintenant et nomment les pièces jointes au hasard, ce qui mène à la conclusion que tous les fichiers .EXE devraient être bloqués.

Un autre canal pour les attaques de cheval de Troie est via un fichier de données pour un programme qui fournit un langage de macro (programmation), par exemple, des traitements de texte modernes, des tableurs et des outils de base de données utilisateur.

Si vous ne pouvez pas simplement supprimer les pièces jointes qui peuvent vous mettre en danger, il est recommandé d'installer un logiciel anti-virus (qui détecte et désactive les cheval de Troie) et d'ouvrir systématiquement les pièces jointes dans le programme "ne pas exécuter automatiquement mode macros "(par exemple, en maintenant la touche [SHIFT] enfoncée lorsque vous double-cliquez sur la pièce jointe).

En outre: si votre administrateur système (ou quelqu'un prétendant être votre administrateur système) vous envoie un programme et vous demande de l'exécuter, devenez immédiatement très suspicieux et vérifiez l'origine de l'email en contactant directement votre administrateur par un autre moyen que le courrier électronique. Si vous recevez une pièce jointe prétendant être une mise à jour du système d'exploitation ou un outil antivirus, ne l'exécutez pas. Les fournisseurs de systèmes d'exploitation ne livrent jamais de mises à jour par courrier électronique, et les outils antivirus sont facilement disponibles sur les sites Web des éditeurs de logiciels antivirus.




Attaques par script shell


De nombreux programmes fonctionnant sous Unix et des systèmes d'exploitation similaires prennent en charge la possibilité d'incorporer des scripts shell courts (séquences de commandes similaires aux fichiers batch sous DOS) dans leurs fichiers de configuration. C'est un moyen courant de permettre l'extension flexible de leurs capacités.

Certains programmes de traitement de courrier étendent incorrectement cette prise en charge des commandes shell incorporées aux messages qu'ils traitent. En général, cette fonctionnalité est incluse par erreur, en appelant un script shell extrait du fichier de configuration pour traiter le texte de certains en-têtes. Si l'en-tête est spécialement formaté et contient des commandes shell, il est possible que ces commandes shell soient également exécutées. Cela peut être évité par le programme en analysant le texte d'en-tête pour la mise en forme spéciale et en changeant cette mise en forme avant qu'elle ne soit transmise au shell pour un traitement ultérieur.

Étant donné que la mise en forme nécessaire pour incorporer un script shell dans un en-tête d'e-mail est assez spéciale, il est assez facile à détecter et à modifier.




Attaques de confidentialité Web Bug


Un message électronique HTML peut faire référence à un contenu qui ne figure pas dans le message, tout comme une page Web peut renvoyer à un contenu qui ne se trouve pas réellement sur le site Web hébergeant la page. Cela peut généralement être vu dans les bannières publicitaires - un site Web à http://www.geocities.com/ peut inclure une bannière publicitaire qui est récupérée à partir d'un serveur à http://ads.example.com/ - lorsque la page est rendue , le navigateur Web contacte automatiquement le serveur Web à l'adresse http://ads.example.com/ et récupère l'image de la bannière publicitaire. Cette récupération d'un fichier est enregistrée dans les journaux du serveur à l'adresse http://ads.example.com/, indiquant l'heure à laquelle elle a été récupérée et l'adresse réseau de l'ordinateur récupérant l'image.

L'application de cette méthode au courrier électronique HTML implique la mise en place d'une référence d'image dans le corps du message électronique. Lorsque le programme de messagerie récupère le fichier image dans le cadre de l'affichage du message électronique à l'utilisateur, le serveur Web consigne l'heure et l'adresse réseau de la demande. Si l'image a un nom de fichier unique, il est possible de déterminer avec précision quel e-mail a généré la requête. Typiquement, l'image est quelque chose qui ne sera pas visible pour le destinataire du message, par exemple une image qui consiste en un seul pixel transparent, d'où le terme Bug Web - il est, après tout, destiné à être une surveillance secrète.

Il est également possible d'utiliser une étiquette sonore d'arrière-plan pour obtenir le même résultat.

La plupart des clients de messagerie ne peuvent pas être configurés pour ignorer ces balises. Par conséquent, la seule façon d'empêcher cette surveillance est de balayer les balises de référence de l'image et du son sur le serveur de messagerie.



Je peux être contacté à <jhardin@impsec.org> - vous pouvez également visiter ma page d'accueil.

Je serais très intéressé d'entendre des gens qui seraient prêts à traduire cette page.


Created with vi   Meilleure visualisation avec n'importe quel navigateur


$ Id: sanitizer-threats.html, v 1.40 2017-06-11 11: 32: 21-07 jhardin Exp jhardin $
Sommaire Copyright (C) 1998-2017 par John D. Hardin - Tous droits réservés. Traduction encouragée, s'il vous plaît informez-moi afin que je puisse inclure des liens.

Linktivisme: Jihad Watch


















No comments:

Post a Comment