Panagiotis Posted February 10, 2006 Report Share Posted February 10, 2006 Από το Pamal's WebLog Περί email-spoofing Αυτό είναι το πρώτο μέρος ενός αφιερώματος που μιλάει για τις μεθόδους προστασίας από κακόβουλους χρήστες που θα προσπαθήσουν να μας κοροϊδέψουν μέσω email έτσι ώστε να τους δώσουμε απόρρητες η εμπιστευτικές πληροφορίες. Σε αυτό το πρώτο μέρος θα αναφέρουμε λεπτομέρειες για το τι είναι και πως δημιουργείτε ένα spoofed μήνυμα. Στο δεύτερο μέρος θα δούμε πως σαν χρήστες μπορούμε να καταλάβουμε αν ένα μήνυμα είναι spoofed χρησιμοποιώντας το Outlook 2003 ενώ στο τρίτο μέρος θα δούμε πως ο Microsoft Exchange Server 2003 μπορεί να μας προστατέψει από τέτοιες επιθέσεις.<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> Spoofing ονομάζουμε τη μέθοδο κατά την οποία ένας κακόβουλος χρήστης παραποιεί τη διεύθυνση του αποστολέα σε ένα ηλεκτρονικό μήνυμα που στέλνει ο ίδιος με απώτερο σκοπό να εκμαιεύσει πληροφορίες ή να αναγκάσει το θύμα να κάνει κάτι (όπως πχ να καταστρέψει κάποιο έγγραφο). Για παράδειγμα το πραγματικό μου email είναι pamal@microsoft.com αλλά τη στιγμή που στέλνω το μήνυμα, αλλάζω την email διεύθυνση μου σε kati.allo@kapou-allou.gov. Όσο περίεργο και αν φαίνεται αυτό δεν αποτελεί παραβίαση του SMTP Standard. Το πρωτόκολλο SMTP από τη φύση του δεν παρέχει κάποια ασφάλεια (βλ. RFC 2821 - section 7.1 [1]), έτσι οποιοσδήποτε μπορεί να αλλάξει το πεδίο From: του ηλεκτρονικού του μηνύματος. Η πρακτική αυτή χρησιμοποιείτε συνήθως από κακόβουλα άτομα που θέλουν να εκμαιεύσουν πληροφορίες από ανυποψίαστους χρήστες (πχ κωδικούς ή κάποια απόρρητη πληροφορία). Έχουν αναπτυχθεί διάφορες συμπληρωματικές μέθοδοι για να αποτρέψουν αυτές τις επιθέσεις αλλά θα τις συζητήσουμε στο τρίτο μέρος αυτού του αφιερώματος. Στην απλούστερη μορφή της επίθεσης, το κακόβουλο άτομο (από τώρα και στο εξής ο “cracker”) ανοίγει μία σύνδεση στην πόρτα επικοινωνίας του SMTP (tcp-25) server του θύματος και δίνει τις εξής εντολές: [Cracker] telnet victims.mailserver.org [server] 220 victims.mailserver.org [Cracker] helo otidipote.org [server] 250 victims.mailserver.org Hello otidipote.org [crackers ip sender], pleased to meet you [Cracker] mail from:[email protected] [server] 250 [email protected]... Sender ok [Cracker] rcpt to:[email protected] [server] 250 [email protected]... Recipient ok [Cracker] data [server] 354 Enter mail, end with "." on a line by itself [Cracker] From: [email protected] [Cracker] To: [email protected] [Cracker] Subject: Please send me the password [Cracker] <μία κενή γραμμή> [Cracker] Hello my employee. I forgot the password for our banking application and I’m abroad with no access to the corporate network. Please send me the password to my hotmail account at [email protected]. [Cracker] Thank you [Cracker] <CR><LF>.<CR><LF> (αυτή η ακολουθία ουσιαστικά είναι ένα enter (Carriage Return – Line Feed), μετά μία τελεία και μετά πάλι ένα enter. Δεν θα γράψετε τα CR κλπ αλλά απλά θα πατήσετε την παραπάνω ακολουθία πλήκτρων) [server] 250 Message accepted for delivery Θα πρέπει να σημειώσουμε πως τα στοιχεία αποστολέα και παραλήπτη που βλέπουμε στον mail client μας (πχ Outlook 2003) είναι αυτά που μπήκαν μετά το κομμάτι DATA έτσι στο παραπάνω παράδειγμα βλέπουμε πως ο cracker άλλαξε το From: έτσι ώστε να φαίνεται σαν το αφεντικό του θύματος. Όπως είναι λογικό, το email του recipient δεν μπορεί να είναι άσχετο. Δεν μπορούμε για παράδειγμα να κάνουμε spoofing στον mail server της Microsoft και σαν παραλήπτη να βάλουμε κάποιο χρήστη του οποίου το email τελειώνει σε @asxeto-domain.net. Επειδή τώρα το spoofing δεν σημαίνει απαραίτητα πως ο cracker θα μπορεί να διαβάζει τα μηνύματα του αφεντικού βλέπουμε πως προσπαθεί να κοροϊδέψει το θύμα έτσι ώστε να πάρει την απάντηση σε κάποιο άλλο email account (hotmail, gmail κλπ). Αυτό το “τρικ” έχει ονομαστεί “social engineering” [2] γιατί ουσιαστικά χειραγωγείς το θύμα. Ένας ανυποψίαστος χρήστης δεν έχει λόγο να αμφισβητήσει την εντολή του προϊσταμένου του. Στο επόμενο μέρος αυτού του αφιερώματος θα δούμε πως μπορεί κάποιος χρήστης να δει μέσα από το Outlook αν ένα μήνυμα είναι spoofed ή όχι. [1] Request for Comment 2821 – Simple Mail Transfer Protocol [2] Wikipedia – Social Engineering (Computer Security) Παναγιώτης Μαλακούδης Rapid Response Engineer Microsoft Premier Field Engineering Link to comment Share on other sites More sharing options...
Recommended Posts