在不斷公布的漏洞通報(bào)中,郵件系統(tǒng)的漏洞該算最普遍的一項(xiàng)。黑客常常利用電子郵件系統(tǒng)的漏洞,結(jié)合簡單的工具就能達(dá)到攻擊目的。
電子郵件究竟有哪些潛在的風(fēng)險(xiǎn)?黑客在郵件上到底都做了哪些手腳?一同走進(jìn)黑客的全程攻擊,了解電子郵件正在面臨的威脅和挑戰(zhàn)……
毫無疑問,電子郵件是當(dāng)今世界上使用最頻繁的商務(wù)通信工具,據(jù)可靠統(tǒng)計(jì)顯示,目前全球每天的電子郵件發(fā)送量已超過500億條,預(yù)計(jì)到2008年該數(shù)字將增長一倍。電子郵件的持續(xù)升溫使之成為那些企圖進(jìn)行破壞的人所日益關(guān)注的目標(biāo)。如今,黑客和病毒撰寫者不斷開發(fā)新的和有創(chuàng)造性的方法,以期戰(zhàn)勝安全系統(tǒng)中的改進(jìn)措施。
出自郵件系統(tǒng)的漏洞
典型的互聯(lián)網(wǎng)通信協(xié)議—TCP和UDP,其開放性常常引來黑客的攻擊。而IP地址的脆弱性,也給黑客的偽造提供了可能,從而泄露遠(yuǎn)程服務(wù)器的資源信息。
很多電子郵件網(wǎng)關(guān),如果電子郵件地址不存在,系統(tǒng)則回復(fù)發(fā)件人,并通知他們這些電子郵件地址無效。黑客利用電子郵件系統(tǒng)的這種內(nèi)在“禮貌性”來訪問有效地址,并添加到其合法地址數(shù)據(jù)庫中。
防火墻只控制基于網(wǎng)絡(luò)的連接,通常不對(duì)通過標(biāo)準(zhǔn)電子郵件端口(25端口)的通信進(jìn)行詳細(xì)審查。
黑客如何發(fā)動(dòng)攻擊
一旦企業(yè)選擇了某一郵件服務(wù)器,它基本上就會(huì)一直使用該品牌,因?yàn)橹饕姆?wù)器平臺(tái)之間不具互操作性。以下分別概述了黑客圈中一些廣為人知的漏洞,并闡釋了黑客利用這些安全漏洞的方式。
一、IMAP 和 POP 漏洞
密碼脆弱是這些協(xié)議的常見弱點(diǎn)。各種IMAP和POP服務(wù)還容易受到如緩沖區(qū)溢出等類型的攻擊。
二、拒絕服務(wù)(DoS)攻擊
1.死亡之Ping——發(fā)送一個(gè)無效數(shù)據(jù)片段,該片段始于包結(jié)尾之前,但止于包結(jié)尾之后。
2.同步攻擊——極快地發(fā)送TCP SYN包(它會(huì)啟動(dòng)連接),使受攻擊的機(jī)器耗盡系統(tǒng)資源,進(jìn)而中斷合法連接。
3.循環(huán)——發(fā)送一個(gè)帶有完全相同的源/目的地址/端口的偽造SYN包,使系統(tǒng)陷入一個(gè)試圖完成TCP連接的無限循環(huán)中。
三、系統(tǒng)配置漏洞
企業(yè)系統(tǒng)配置中的漏洞可以分為以下幾類:
1.默認(rèn)配置——大多數(shù)系統(tǒng)在交付給客戶時(shí)都設(shè)置了易于使用的默認(rèn)配置,被黑客盜用變得輕松。
2.空的/默認(rèn)根密碼——許多機(jī)器都配置了空的或默認(rèn)的根/管理員密碼,并且其數(shù)量多得驚人。
3.漏洞創(chuàng)建——幾乎所有程序都可以配置為在不安全模式下運(yùn)行,這會(huì)在系統(tǒng)上留下不必要的漏洞。
四、利用軟件問題
在服務(wù)器守護(hù)程序、客戶端應(yīng)用程序、操作系統(tǒng)和網(wǎng)絡(luò)堆棧中,存在很多的軟件錯(cuò)誤,分為以下幾類:
1.緩沖區(qū)溢出——程序員會(huì)留出一定數(shù)目的字符空間來容納登錄用戶名,黑客則會(huì)通過發(fā)送比指定字符串長的字符串,其中包括服務(wù)器要執(zhí)行的代碼,使之發(fā)生數(shù)據(jù)溢出,造成系統(tǒng)入侵。
2.意外組合——程序通常是用很多層代碼構(gòu)造而成的,入侵者可能會(huì)經(jīng)常發(fā)送一些對(duì)于某一層毫無意義,但經(jīng)過適當(dāng)構(gòu)造后對(duì)其他層有意義的輸入。
3.未處理的輸入——大多數(shù)程序員都不考慮輸入不符合規(guī)范的信息時(shí)會(huì)發(fā)生什么。
五、利用人為因素
黑客使用高級(jí)手段使用戶打開電子郵件附件的例子包括雙擴(kuò)展名、密碼保護(hù)的Zip文件、文本欺騙等。
六、特洛伊木馬及自我傳播
結(jié)合特洛伊木馬和傳統(tǒng)病毒的混合攻擊正日益猖獗。黑客所使用的特洛伊木馬的常見類型有:
1.遠(yuǎn)程訪問——過去,特洛伊木馬只會(huì)偵聽對(duì)黑客可用的端口上的連接。而現(xiàn)在特洛伊木馬則會(huì)通知黑客,使黑客能夠訪問防火墻后的機(jī)器。有些特洛伊木馬可以通過IRC命令進(jìn)行通信,這表示從不建立真實(shí)的TCP/IP連接。
2.數(shù)據(jù)發(fā)送——將信息發(fā)送給黑客。方法包括記錄按鍵、搜索密碼文件和其他秘密信息。
3.破壞——破壞和刪除文件。
4.拒絕服務(wù)——使遠(yuǎn)程黑客能夠使用多個(gè)僵尸計(jì)算機(jī)啟動(dòng)分布式拒絕服務(wù)(DDoS)攻擊。
5.代理——旨在將受害者的計(jì)算機(jī)變?yōu)閷?duì)黑客可用的代理服務(wù)器。使匿名的TelNet、ICQ、IRC等系統(tǒng)用戶可以使用竊得的信用卡購物,并在黑客追蹤返回到受感染的計(jì)算機(jī)時(shí)使黑客能夠完全隱匿其名。
典型的黑客攻擊情況
盡管并非所有的黑客攻擊都是相似的,但以下步驟簡要說明了一種“典型”的攻擊情況。
步驟1:外部偵察
入侵者會(huì)進(jìn)行‘whois’查找,以便找到隨域名一起注冊(cè)的網(wǎng)絡(luò)信息。入侵者可能會(huì)瀏覽DNS表(使用‘nslookup’、‘dig’或其他實(shí)用程序來執(zhí)行域傳遞)來查找機(jī)器名。
步驟 2:內(nèi)部偵察
通過“ping”掃描,以查看哪些機(jī)器處于活動(dòng)狀態(tài)。黑客可能對(duì)目標(biāo)機(jī)器執(zhí)行UDP/TCP 掃描,以查看什么服務(wù)可用。他們會(huì)運(yùn)行“rcpinfo”、“showmount”或“snmpwalk”之類的實(shí)用程序,以查看哪些信息可用。黑客還會(huì)向無效用戶發(fā)送電子郵件,接收錯(cuò)誤響應(yīng),以使他們能夠確定一些有效的信息。此時(shí),入侵者尚未作出任何可以歸為入侵之列的行動(dòng)。
步驟 3:漏洞攻擊
入侵者可能通過發(fā)送大量數(shù)據(jù)來試圖攻擊廣為人知的緩沖區(qū)溢出漏洞,也可能開始檢查密碼易猜(或?yàn)榭眨┑牡卿泿簟:诳涂赡芤淹ㄟ^若干個(gè)漏洞攻擊階段。
步驟 4:立足點(diǎn)
在這一階段,黑客已通過竊入一臺(tái)機(jī)器成功獲得進(jìn)入對(duì)方網(wǎng)絡(luò)的立足點(diǎn)。他們可能安裝為其提供訪問權(quán)的“工具包”,用自己具有后門密碼的特洛伊木馬替換現(xiàn)有服務(wù),或者創(chuàng)建自己的帳戶。通過記錄被更改的系統(tǒng)文件,系統(tǒng)完整性檢測(cè)(SIV)通常可以在此時(shí)檢測(cè)到入侵者。
步驟 5:牟利
這是能夠真正給企業(yè)造成威脅的一步。入侵者現(xiàn)在能夠利用其身份竊取機(jī)密數(shù)據(jù),濫用系統(tǒng)資源(比如從當(dāng)前站點(diǎn)向其他站點(diǎn)發(fā)起攻擊),或者破壞網(wǎng)頁。
另一種情況是在開始時(shí)有些不同。入侵者不是攻擊某一特定站點(diǎn),而可能只是隨機(jī)掃描Internet地址,并查找特定的漏洞。
郵件網(wǎng)關(guān)對(duì)付黑客
由于企業(yè)日益依賴于電子郵件系統(tǒng),它們必須解決電子郵件傳播的攻擊和易受攻擊的電子郵件系統(tǒng)所受的攻擊這兩種攻擊的問題。解決方法有:
1.在電子郵件系統(tǒng)周圍鎖定電子郵件系統(tǒng)——電子郵件系統(tǒng)周邊控制開始于電子郵件網(wǎng)關(guān)的部署。電子郵件網(wǎng)關(guān)應(yīng)根據(jù)特定目的與加固的操作系統(tǒng)和防止網(wǎng)關(guān)受到威脅的入侵檢測(cè)功能一起構(gòu)建。
2.確保外部系統(tǒng)訪問的安全性——電子郵件安全網(wǎng)關(guān)必須負(fù)責(zé)處理來自所有外部系統(tǒng)的通信,并確保通過的信息流量是合法的。通過確保外部訪問的安全,可以防止入侵者利用Web郵件等應(yīng)用程序訪問內(nèi)部系統(tǒng)。
3.實(shí)時(shí)監(jiān)視電子郵件流量——實(shí)時(shí)監(jiān)視電子郵件流量對(duì)于防止黑客利用電子郵件訪問內(nèi)部系統(tǒng)是至關(guān)重要的。檢測(cè)電子郵件中的攻擊和漏洞攻擊(如畸形MIME)需要持續(xù)監(jiān)視所有電子郵件。
在上述安全保障的基礎(chǔ)上,電子郵件安全網(wǎng)關(guān)應(yīng)簡化管理員的工作、能夠輕松集成,并被使用者輕松配置。
