IRCERT - محافظت در مقابل خطرات ايميل (۱)

صفحه اول > مقالات

محافظت در مقابل خطرات ايميل (۱)

مقدمه

مي خواهيم ببينيم چرا نرم افزار ضدويروس بتنهايي براي محافظت سازمان شما در مقابل حمله ويروسهاي کامپيوتري فعلي و آينده کافي نيست. علاوه بر اينها گاهي به ابزاري قوي براي بررسي محتواي ايميلها براي حفاظت در مقابل حملات و ويروسهاي ايميل (منظور از ويروس ايميل ويروسي است که از طريق ايميل گسترش مي يابد) و جلوگيري از نشت اطلاعات نياز است. اما در هر صورت رعايت بعضي نکات هميشه توسط کاربران الزامي است.

شما مي توانيد مقالات ويروس و ضدويروس و طرزکار برنامه هاي ضدويروس را نيز مطالعه کنيد.

خطرات ويروسهاي ايميل و اسبهاي تروا

استفاده گسترده از ايميل راه ساده اي را براي گسترش محتويات مضر در شبکه ها پيش روي هکرها قرار داده است. هکرها براحتي مي توانند از حصار ايجاد شده توسط يک فايروال از طريق نقب زدن از راه پروتکل ايميل عبور کنند، زيرا فايروال محتويات ايميل را بررسي نمي کند. CNN در ژانويه ۲۰۰۴ گزارش داد که ويروس MyDoom هزينه اي در حدود ۲۵۰ ميليون دلار را بدليل آسيب هاي وارده و هزينه هاي پشتيباني فني بر شرکتها تحميل کرده است، اين در حاليست که NetworkWorld هزينه هاي مقابله با Blaster، SoBig.F، Wechia و ساير ويروسهاي ايميل تا سپتامبر ۲۰۰۳ را تنها براي شرکتهاي ايالات متحده ۳/۵ ميليارد دلار ذکر کرد. (يعني عدد ۳۵ با هشت تا صفر جلوش!!!)

بعلاوه، از ايميل براي نصب اسبهاي تروا استفاده مي شود که مشخصاً سازمان شما را براي بدست آوردن اطلاعات محرمانه يا بدست گيري کنترل سرورتان، هدف مي گيرند. اين ويروسها که خبرگان امنيت از آنها بعنوان ويروسهاي جاسوسي ياد مي کنند، ابزار قدرتمندي در جاسوسي صنعتي بشمار ميروند! يک مورد آن حمله ايميلي به شبکه مايکروسافت در اکتبر۲۰۰۰ است که يک سخنگوي شرکت مايکروسافت از آن بعنوان “يک عمل جاسوسي ساده و تميز” ياد کرد. برطبق گزارشها، شبکه مايکروسافت توسط يک ترواي backdoor که به يک کاربر شبکه توسط ايميل ارسال شده بود، هک شد.

خطر نشت و فاش شدن اطلاعات

سازمانها اغلب در آگاهي دادن به کارکنانشان نسبت به وجود مخاطرات دزدي داده هاي مهم شرکتهايشان ، کوتاهي مي کنند. مطالعات مختلف نشان داده است که چگونه کارمندان از ايميل بمنظور فرستادن اطلاعات حقوقي محرمانه استفاده مي کنند. گاهي آنها اينکار را از روي ناراحتي يا کينه توزي انجام مي دهند. گاهي بدليل عدم درک مناسب از ضربه مهلکي است که در اثر اين عمل به سازمان وارد مي شود. گاهی کارمندان از ايميل براي به اشتراک گذاري داده هاي حساسي استفاده مي کنند که رسماً مي بايست در داخل سازمان باقي مي ماند.

بر طبق مطالعات و پرس وجوهاي Hutton در انگلستان در سال ۲۰۰۳ نشان داده شد که صاحب منصبان دولتي و اعضاء هيات رئيسه BBC از ايميل براي فاش ساختن اطلاعاتي که محرمانه بوده اند استفاده کرده اند. مقاله اي در مارس ۱۹۹۹ در PC Week به تحقيقي اشاره کرد که طي آن از ميان ۸۰۰ پرسنل مورد مطالعه، ۲۱ تا ۳۱ درصد آنها به ارسال اطلاعات محرمانه ـ مانند اطلاعات مالي يا محصولات ـ به افراد خارج از شرکتشان اعتراف کرده اند.

خطر ايميلهاي دربردارنده محتويات بدخواهانه يا اهانت آور

ايميلهاي ارسالي توسط کارکنان که حاوي مطالب نژادپرستانه، امور جنسي يا ساير موضوعات ناخوشايند است، مي تواند يک شرکت را از نقطه نظر قانوني آسيب پذير نمايد. در سپتامبر ۲۰۰۳ مشاوران شرکت مالي Holden Meehan مجبور به پرداخت ۱۰هزار پوند به يکي از کارکنان سابق بدليل ناتواني در محافظت وي در مقابل آزار ايميلي! شدند. Chevron مجبور به پرداخت ۲/۲ ميليون دلار به چهار نفر از کارکنانش شد که به وضوح ايميلهاي آزاردهنده جنسي دريافت کرده بودند. تحت قانون انگليس، کارفرمايان مسوول ايميلهايي هستند که توسط کارکنانشان در مدت استخدامشان نوشته و ارسال مي شود، خواه کارفرما راضي به آن ايميل بوده باشد، خواه نباشد. مبلغي معادل ۴۵۰هزار دلار از شرکت بيمه Norwich Union طي يک توافق خارج از دادگاه بخاطر ارسال توضيحات مربوط به يک سري از مسابقات درخواست شد.

روشهاي استفاده شده براي حمله به سيستم ايميل

براي درک انواع تهديدات ايميلي که امروزه وجود دارد، نگاهي اجمالي به روشهاي اصلي فعلي حملات ايميلي مي اندازيم:

ضميمه هايي با محتواي آسيب رسان

Melissa و LoveLetter جزو اولين ويروسهايي بودند که مساله ضميمه هاي (Attachments) ايميل و اعتماد را نشان دادند. آنها از اعتمادي که بين دوستان و همکاران وجود داشت استفاده مي کردند. تصور کنيد يک ضميمه از دوستي دريافت مي کنيد که از شما مي خواهد آن را باز کنيد. اين هماني است که در Melissa، AnnaKournikova، SirCam و ساير ويروسهاي ايميلي مشابه اتفاق مي افتاد. به محض اجرا شدن، چنين ويروسهايي معمولا خودشان را به آدرسهاي ايميلي که از دفترچه آدرس شخص قرباني بدست مياورند و به ايميلهايي که صفحات وب ذخيره مي کنند، ارسال مي کنند. ويروس نويسان تاکيد زيادي روي اجراي ضميمه اي که توسط قرباني دريافت مي شود، دارند.بنابراين براي نام ضميمه ها از عناوين متفاوت و جذاب مانند SexPic.cmd و me.pif استفاده مي کنند.

بسياري از کاربران سعي مي کنند که از سرايت ويروسهاي ايميل جلوگيري کنند و فقط روي فايلهايي با پسوندهاي مشخص مانند JPG و MPG کليک مي کنند. بهرحال بعضي ويروسها، مانند کرم AnnaKournikova، از پسوند چندتایی بمنظور گول زدن کاربر براي اجراي آن استفاده مي کند. ويروس AnnaKournikova از طريق ضميمه ايميل و با عنوان ‘AnnaKournikova.jpg.vbs’ منتقل ميشد که دريافت کننده را متقاعد مي کرد که يک تصوير به فرمت JPG را از ستاره مشهور تنيس دريافت کرده است تا اينکه فايل ضميمه يک اسکريپت ويژوال بيسيک حاوي کدهاي آسيب رسان باشد.

بعلاوه، پسوند Class ID (CLSID) به هکرها اين اجازه را مي دهد که پسوند واقعي فايل را پنهان کنند و بدينوسيله اين حقيقت که cleanfile.jpg يک برنامه HTML مي باشد پنهان مي ماند. اين روش در حال حاضر نيز فيلترهاي محتواي ايميل را که از روشهاي ساده بررسي فايل استفاده مي کنند، فريب مي دهد و به هکر امکان رسيدن به کاربر مقصد را به سادگي مي دهد.

ايميلهاي راه اندازنده اکسپلويت هاي شناخته شده

اکسپلويت در حقيقت استفاده از شکافهای امنيتي موجود است. کرم Nimda اينترنت را با شگفتي مواجه کرد و با گول زدن بسياري از ابزار امنيت ايميل و نفوذ به سرورها و شبکه هاي بزرگ و سرايت کردن به کابران خانگي، اينترنت را فراگرفت. حقه بکارگرفته شده توسط Nimda اين است که روي کامپيوترهايي که نسخه آسيب پذيري از IE يا Outlook Express را دارند، بطور خودکار اجرا مي شود. Nimda از اولين ويروسهايي بود که از يکی از این شکافها بمنظور انتشار بهره برداري مي کنند. براي مثال، انواعي از ويروس Bagle که در مارس ۲۰۰۴ ظهور کردند، از يکي از شکافهاي اوليه Outlook براي انتشار بدون دخالت کاربر استفاده مي کردند.

ايميلهاي با فرمت HTML دربردارنده اسکريپت

امروزه، تمام استفاده کنندگان ايميل مي توانند ایميلهاي HTML را ارسال و دريافت کنند. ايميل با فرمت HTML مي تواند اسکريپتها و محتويات فعالي را دربرگيرد که مي توانند به برنامه يا کدها اجازه اجرا روي سيستم دريافت کننده را دهند. Outlook و محصولات ديگر از اجزا IE براي نمايش ايملهاي HTML استفاده مي کنند، به اين معني که اينها شکافهاي امنيتي موجود در IE را به ارث مي برند!

ويروسهاي بر پايه اسکريپتهاي HTML خطر مضاعف توانايي اجراي خودکار را، وقتي که ايميل آسيب رسان باز مي شود، دارند. آنها به ضميمه ها متوسل نمي شوند؛ بنابراين فيلترهاي ضميمه که در نرم افزارهاي ضدويروس وجود دارند در نبرد با ويروسهاي اسکريپت HTML بلااستفاده هستند. براي مثال ويروس BadTrans.B از HTML براي اجراي خودکار در هنگام بازشدن استفاده مي کند و از يک اکسپلويت ايميل با فرمت HTML براي انتشار استفاده مي کند. در مقاله بعدي به روشهاي مقابله خواهيم پرداخت.