Jiří Marchalín. Bezpečnost v ové komunikaci a ových serverech

Jiří Marchalín Bezpečnost v e-mailové komunikaci a e-mailových serverech

Úvod Historie e-mailu a elektronické komunikace v podobě jak ji známe dnes pochází již z roku 1970 kdy v počátcích sítě ARPANET existoval jednoduchý skript posílající krátký řetězec ostatním uživatelům Arpanetu. Od té doby se elektronická pošta vyvinula a stala se velice významnou formou komunikace jak v osobní tak v komerční sféře. V počátcích začaly vznikat i soubory doporučení tzv. RFC (Requests for comment), které měly a dodnes definují standardy v e-mailové komunikaci. Na různých sítích existují různé protokoly pro e-mailovou komunikaci, ale v sítí Internet se ujal soubor protokolů POP, IMAP a SMTP. Ačkoliv protokolů existuje velké množství tato esej se zabývá těmito třemi protokoly. S tím jak vzrůstal význam e-mailové komunikace začala se otvírat nová nepoznaná kapitola a to útoky a zneužívání poštovních služeb, ke kterým jednoduchý a zcela nezabezpečený soubor protokolů přímo nabádal. Cílené útoky proti mail serveru DoS DoS útoky (Denial of Services) tedy zneužití služeb je jednou z nejčastějších forem útoku na mail server. Cílem útoku není přímo podvržení obsahu případně ovládnutí vzdáleného stroje, ale naopak znemožnění přístupu ke službe legálním uživatelům [1]. Princip útoku spočívá v zahlcení cílové stanice validními nebo irelevantními požadavky v krátkém časovém úseku. Validní požadavky mohou spočívat v doručování zpráv pro existující příjemce v rámci SMTP procesu. Irelevantní požadavky většinou požadují neproveditelné operace, například přeposílání zpráv pro neautentifikované uživatele nebo pouhým připojením na server s následným rychlým odpojením. Obě dvě formy útoků mají výhody. První typ validních dat je obtížně detekovatelný a postup proti němu je možný pouze snížením dostupnosti služby. Například limitem příchozích spojení za určitou časovou periodu. Druhý typ útoku je mnohem lépe detekovatelný, ale obrana proti němu je nižší. Především kvůli velice rychlému počatečnímu zahlcení stroje. Nekorektnost zasílaných dat umožňuje rychleji uvolnit útočníkovi prostředky k opakování útoku. Protože SMTP protokol je asynchronní, vzdálená strana (cíl útoku) čeká na opravu dat případně na příjem dat, pokud útočník neodpoví, pak čeká na timeout. Tím se například velice rychle může vyčerpat počet povolených obsloužitelných příchozích spojení, jak na mail serveru tak na bázi opračního systému. Dalším způsobem je zahlcení hardware obsluhující mail server, například routeru či opakovače, na který je připojen počítač s instalovaným e-mail serverem.

K tomuto účelu se dají použít vlastnosti TCP/IP protokolu a jeho části ICMP protokolu [1]. V případě dotazu na dostupnost vzdálené strany je vyslán tzv. "echo request" paket ke vzdálené straně. Pokud vzdálená strana tento paket přijme odpoví kladně. Principem tohoto útoku je, že v paketu je zpětná IP adresa stroje, který chceme napadnout, "echo request" vyšleme IP broadcastem a všechny uzly odpoví na zpětnou adresu, tím dojde k zahlcení uzlu. DDoS Složitějším případem bývá distribuovaný DoS, kdy útočník má k dispozici více lokací. a jeho výpočetní výkon se tak znásobí bez vložení vysoké počáteční investice. Většinou jsou jednotlivé počítače v DDoS útoku pouze nevinnými oběťmi, které o tom, že je jejich server využíván k DDoS útoku vůbec neví. Exploity Buffer OverRun DoS a DDoS útokům, pokud jsou včas odhaleny, se dá poměrně snadno čelit a také jejich útok nezanechává téměř žádné následky. Dalším typem útoků je vyhledávání chyb ve vstupech progamu, tzv. exploity [2]. Cílem je prostřednictvím takovéto chyby v programu přepsat zásobník programu a docílit tak vykonání vlastního závadného kódu, tzv. buffer overrun (přetečení zásobníku). Obvyklou vstupní branou pro mail servery bývají neošetřené vstupy některých příkazů případně jejich Webmailové služby. Jedním z příkladů může být neošetřený vstup u iniciačního příkazu HELO/EHLO u několika mail serverů, například BaSoMail či XtraMail. U BaSoMailu mělo poslání HELO příkazu za následek pád celého systému. Tento typ útoku patří mezi nejnebezpečnější vůbec. Využívá neošetřeného vstupu k přepsání programového zásobníku a spuštění vlastního kódu. Proti tomuto typu útoku se nedá žádným způsobem bránit, jedinou metodou je důsledné ošetření vstupů v programovém kódu. Útok obsahem Dalším typem útoků je útok obsahem, kdy útočník, zná případně zkouší objevit slabinu v kódu a způsobit výjimku. Útočník pošle legitimní zprávu, která projde všemi ochrannými prvky a způsobí škodu až u cílového příjemce. Jedním z mnoha příkladů může být neukončená hlavička Message-ID způsobující pád MS Outlook. Tvar hlavičky byl: Message-ID:
Hádání hesel Hádání hesel patří jistě mezi nejrozšířenější pokusy, jednak proto, že k provedení takovéhoto útoku nejsou potřeba žádné znalosti a také proto, že mnoho uživatelů nerespektuje základní bezpečnostní prvky potřebné ke správě hesel. K tomuto útoku je zapotřebí pouze terminál a přístup k rozhraní vzdáleného e-mail serveru. Případný útočník zkouší všechna hesla, tzv. brute force (hrubá síla) případně hesla podle předem připraveného schématu. Například pokud zná tvar hesla. V závislosti na tvaru hesla může zkusit "slovníkový útok" obsahující pouze slova obvyklá v dané lokalitě. Na zcela nezabezpečený e-mail server bez "password policy" může útočníkovi stačit velice optimalizovaný slovník obsahující jen podstatná jména. Nesprávné použití uživatelem nebo administrátorem Nesprávné nastavení e-mailového serveru patří mezi nejčastější příčiny zneužití služeb. Nebývá výjimkou, že administrátor používá velice slabá hesla nebo dokonce hesla shodná s logovacím jménem, takováto hesla jsou snadno prolomitelná a vždy jdou na vrub administrátorovi. Další možností je, že se koncový uživatel neodloguje z používané služby a útočník může jeho e-mailovou službu zneužít, riziko takovéhoto útoku je však malé. Zneužití zdrojů "legální cestou" Open relay systémy Tyto systémy jsou otevřené pro libovolného odesílatele. Jakýkoliv odesílatel může tento server použít pro odeslání zprávy z neautorizované adresy na adresu třetí strany tj. takové, která není na příslušném serveru hostována. Takovéto otevřené servery jsou aktivně vyhledávány a zařazovány do seznamu blokovaných adres, nicméně open relay server zůstává napaden do té doby, než je uzavřen. Administrátor tento způsob napadení snadno rozezná z rychle narůstaíjcího provozu a naprostého zahlcení serveru. Existují i záměrně otevené servery, ale ve velké většině případů je server otevřen chybou v administraci. Legální účty V případě útoku přes legální účet útočník zneužije legálně nabité adresy k autentifikaci pro server případně k rozeslání zpráv pomocí této adresy. Týká se to hlavně tzv. "freemailových" služeb. Typickým příkladem takto napadené služby je Yahoo případně Hotmail. Útočník využívá registračního formuláře a generátoru náhodných řetězců k vytváření stále nových účtů. Obranou je zanesení strojově obtížně rozpoznatelných ověřovacích řetězců v podobě obrázku. E-maily pocházející z takovéhoto napadení mají všechny shodné příznaky, e-mailová adresa uvedená v hlavičce je na první pohled nesmyslná a generovaná skriptem, například [email protected] atp.

Viry Klasické v příloze S rozšířením internetu a e-mailové komunikace ustoupil klasický způsob šíření virů v programech a přišel nový způsob šíření virů v e-mailové komunikaci. V dnešní době se jedná o nejrozšířenější a velice účinný způsob. Vir se maskuje jako legální zpráva většinou od přítele. Pokud se uživatel nechá zlákat a spustí přílohu, virus se aktivuje a provede naprogramovanou akci. Obrana před viry v e-mailových zprávách musí být alespoň dvoustupňová s patřičným upozorněním uživatele e-mailové služby. Prvním stupněm je antivirový program na straně serveru, který zachytí velké množství virů již na straně serveru. Ale některé viry mohou přesto proniknout, proto je nutné, aby i uživatel měl antivirový program pokud možno od jiného výrobce než ten co je na serveru. Vzájemnou kombinací rozdílných virových bází v obou programech se dosáhne vyšší účinnosti. Virová nákaza se šíří paprskovitě z jednoho napadeného stroje na další. Některé viry použijí adresář uložený na straně e-mail klienta k rozeslání vlastních kopií na tyto adresy, pokud je napadena firma, pak většina jejích zaměstnanců má v adresáři ostatní pracovníky a vzájemné zahlcení vede k paralýze e-mailové služby této firmy. Dalším typem virů jsou tzv. e-mailoví červi, kteří otevírají možnosti jak napadnout vzdálený počítač a převzít nad ním kontrolu. Případně nainstalují vlastní komponentu využívající SMTP protokol k vytvoření z napadeného stroje "open relay" server. Následně zašlou tvůrci či iniciátorovi informaci o takto napadeném počítači a ten pak má možnost jeho pomocí zahájit útok. V poslední době je velice rozšířeným virem W32-Beagle [12], kopírující variantu viru Tooso. Tento trojský kůň spouští na kompromitovaném počítači vlastní SMTP komponentu a otevírá k němu přístup pro útočníka. Po aktivaci rozesílá virus zprávy se zfalšovanou hlavičkou a textem "Password is", čímž v příjemci vyvolá dojem, že mu administrátor e-mailové služby posílá heslo k jeho službě. Poté otevře přílohu a pokusí se program spustit, tím dojde k aktivaci viru. Viry v URL Jedná se o mnohem nebezpečnější formu zasílání virů než předchozí varianta. V tomto případě přijde virus v podobě URL, na které nepozorný uživatel klikne a nevědomky spustí virus. Obranou před těmito viry jsou seznamy IP adres a hostname serverů, odkud se virus dá stáhnout a na něž ukazuje adresa zasílaná v e-mailové zprávě. Bohužel aktualizace seznamů je velice pomalá a následuje většinou až po vlně napadení.

Jedním z virů v URL je MytooB [13], v současné době se jedná o jeden z nejnebezpečnějších virů. Maskuje se jako zpráva od administrátora a přikládá URL s adresou, pod kterou je však umístěn virus. Nic netušící uživatel na URL klikne a nevědomky tak spustí virus. MytooB otevírá přístup ke kompromitovanému počítači. Spam Nevyžádaná pošta se nejvíce podobá "Denial of Service", příjemce nějakým způsobem obtěžuje a zahlcuje protředky e-mail serveru. Proti spamu existuje mnoho technik, ale každá z nich je úspěšná jen po nějaký poměrně krátký čas. V současnosti je napadání e-mail serveru spamem velice palčivým problémem bez řešení v dohledné budoucnosti. Typy spamu Obchodní nabídky Spamu může být velké množství, důležité je jeho rozlišení podle zaměření. Nejméně škodlivou variantou je spam zaměřený jen na prosté zasílání nic neříkajících informací typu hoax (viz. níže). Druhou zdánlivě neškodnou variantou jsou nejrůznější obchodní nabídky. Princip spočívá v rozesílání nabídek prodeje výhodného zboží a vyzývá k nákupu přes internet. Největší nebezpečí tohoto útoku je možná krádež a zneužití osobních dat v případě proběhnutí transakce. Hoaxy Jako hoax [4] je označena zpráva, která není pro uživatele nijak nebezpečná, jen a pouze obtěžuje a zatěžuje komunikační kanály. Ačkoliv hoax sám o sobě nijak neškodí, může způsobit několik závažných situací. Například ztrátu důvěrnosti, pokud hoax odesílá například pracovník IT firmy, pak je tato firma na poli informačních technologií nedůvěryhodná. Hoax je smyšlené varování, upozorňující na nějakou falešnou hrozbu, mystifikaci, výmysl, případně žert. Typickým příkladem je forma řetězových dopisů vyzývajících k hromadnému rozeslání, neinformovaný uživatel této žádosti většinou vyhoví a v případě firmy snadno zahltí e-mailový provoz. Hoax je nebezpečný tím, že v poměrně krátké době umožňuje nasbírat velké množství unikátních a aktivních e-mailových adres. Tento soubor adres pak útočník může využít k rozesílání spamu. Podvodné e-maily Podvodný e-mail se na první pohled tváří jako legální, ale obsah je zcela smyšlený. Poutavým obsahem se útočník snaží prostřednictvím e-mailu vylákat z napadeného finanční obnos případně jej vylákat k jiné akci.

Příkladem může být série podvodných e-mailů z Nigérie [5], která zasáhla e-mailovou komunikaci mimo jiné i v naší republice. Skupina útočníků se prostřednictvím těchto podvodných e-mailů vydávala za bohaté osoby, potřebující vyvézt ze země značný finanční obnos, kterými ve skutečnosti nebyla a z obětí vylákaly nemalé finanční obnosy. I to je důkaz velkého nebezpečí zneužití e-mailové komunikace v praxi. Dalším typem je útočníkova snaha o vylákaní citlivých dat z oběti prostřednictvím e-mailu. Například bankovních údajů, či hesel, s tímto typem úzce souvisí další podkapitola falšování hlaviček. Falšování hlaviček Hlavičky e-mailové zprávy mohou být zcela libovolné. Je jen v rukou útočníka případně legálního odesílatele jaké hlavičky pošle [7]. To bývá zdrojem mnoha nedorozumění, i záměrných. Protokol SMTP byl navržen v 70. letech a v té době byla rozšířenost připojení, kde byl používán, nulová, objekty přistupující k síti byly hlídány jinak. Tato zdánlivá nedokonalost protokolu SMTP je zdrojem častých útoků. Útočníka téměř vždy vede k falšování hlaviček snaha získat osobní a citlivé údaje oběti. Většinou se zfalšovaná hlavička jeví jako korektní, například z bankovního ústavu nebo ze známého portálu, kde je vysoká pravděpodobnost velké rozšířenosti, například eBay nebo Hotmail. Bohužel kvůli počtu rozeslílaných e-mailových zpráv a velkého počtu uživatelů obecně známých služeb jsou tyto útoky velice úspěšné. Techniky boje proti spamu Proč bojovat proti spamu Z prvního pohledu se může zdát, že se vlastně ani o útok nejedná, opak je však pravdou. Nevyžádaná pošta představuje nebezpečí pro příjemce, ať už z důvodů podvodných e-mailů, které do této kategorie také zapadají, nebo z důvodu zahlcování komunikačních kanálů vedoucích až k paralýze e-mailové komunikace firem a tím i k finančním ztrátám. Některé prameny uvádějí [8], že nevyžádaná pošta stojí americké firmy v průměru 874 amerických dolarů ročně na jednoho zaměstnance. Do této sumy se promítájí náklady na posilování komunikačních linek a čas potřebný k vytřídění legálních zpráv od nevyžádané pošty. V průměru ztratí jedna firma 1.4 % ročního výkonu jen v důsledku spamu, jeden zaměstnanec dostane v průměru 13.3 spamu denně a stráví 6.5 minuty denně tříděním nevyžádané pošty [8]. Z tohoto důvodu je potřeba snažit se spam omezit, neboť tato forma útoku zůstává netečná vůči mnohým formám detekce.

Spam Assassin Účinná metoda založená na komplexní sadě pravidel [9]. E-mailová zpráva je podrobena analýze a na základě pravidel se přičítá, případně odčíta tzv. "skóre" zprávy. Pokud přesáhne určitou stanovenou mez, je zpráva klasifikována jako spam. Bayesianské filtry Tento filtr využívá vzorce Bayesovské pravděpodobnosti [10] . P(spam|words) = [ P(spam|words) * P(spam) ] / P(words) Každé slovo má danou váhu, čím vyšší, tím je větší pravděpodobnost, že se vyskytuje pouze v e-mailové zprávě, která je spamem. Útok zneškodnující toto filtrování je velice snadný, stačí vložit mezi slova znaky, které způsobí nečitelnost pro stroj. Například [email protected] dnešní době se používá kombinace několika filtrů, mimo jiné i detekce aditivních znaků ve slovech. Sender Policy Framework Zcela nový způsob detekce spamu [11]. Jedná se o ověření odesílatele, která se dá přirovnat k telefonickému ověření v případě transakce, kdy si prodávající ověří u objednavatele, zda dodávku skutečně objednal. Zamezí se tak falešné objednávce, kdy se objednavatel vydával za někoho jiného. V případě e-mailové komunikace se jedná o velice častý jev. Útočník se vydává za legálního odesílatele, ale IP adresu zfalšovat nemůže. Příjemce může ověřit u odesílatele zda je IP adresa přiřazena k doméně, za kterou se vydává. Pokud je nastaveno SPF, pak je spam odhalen okamžitě. Jedná se o rychlou a snadno implementovatelnou obranu proti útokům obsahem, u které dosud nejsou známy slabiny. Přímé útoky na komunikaci Zachytávání zpráv Než zpráva dorazí od odesílatele k příjemci projde mnoho lokací a pomocných SMTP serverů. Na každém takovémto uzlu existuje teoretická možnost zachycení zprávy. Útočník může zprávu přečíst a její obsah využít nebo zprávu později přeposlat znovu, například pokud obsah nabádá příjemce k nějaké akci - nákup akcií, prodej atp. Řešením je šifrování e-mailových zpráv.

Závěr Výše popsané útoky způsobují nezanedbatelné ztráty ve všech odvětvích průmyslu a obchodu. E-mailová komunikace se v mnoha firmách stala hlavní a ostatní formy odsunula do pozadí. Jedním z největších problémů je stále neřešená neinformovanost koncových uživatelů, kteří považují e-mailové služby za stejně bezpečné jako například telefon. Z toho vyplývá i bezmezná důvěra a útoky k získání citlivých dat či kompromitaci počítače jsou úspěšné.

Použitá literatura a zdroje: [1] http://securityresponse.symantec.com/avcenter/venc/data/dos.attack.html [2] http://en.wikipedia.org/wiki/Buffer_overrun [3] http://en.wikipedia.org/wiki/E-mail_spam [4] http://www.hoax.cz/ [5] http://www.nationmaster.com/encyclopedia/Nigerian-scam [6] http://news.bbc.co.uk/2/hi/business/2003264.stm [7] http://www.faqs.org/rfcs/rfc2821.html [8] http://www.pcworld.com/news/article/0,aid,111433,00.asp [9] http://spamassassin.apache.org/ [10] http://en.wikipedia.org/wiki/Bayesian_filtering [11] http://spf.pobox.com/ [12] http://securityresponse.symantec.com/avcenter/venc/data/[email protected] [13] http://securityresponse.symantec.com/avcenter/venc/data/[email protected]