МИСЗКИ книга (1085503), страница 9
Текст из файла (страница 9)
Р1еазе гйзгейвп1.<ВК<ЛРКАМЕ> </ВОРУ> <7НТМЬ> -2— — 1 Сопгепг-Туре: апо1Ых-мат; паше="Ьейо.Ьаг" Сопгепг-Тгапз1ег-Епсоошй: г1иогед-ргшгаЫе Сопгепг-1Р: <ТНЕ-С1Р> есЬо оП Йг сй есЬо "Уоиг вуыеш Ьаз а ргоЫепИ" рапзе — 1 о еВ Ф' ос о 53 Первые четыре строки послания — зто команды протокола ЯМТР, которые обеспечивают отправку сообщения на сервер ЯМТР„работающий в режиме свободной ретрансляции — рассылающий любые сообщения, поступающие на сервер, по любому адресу. Команда Ье!1о устанавливает связь с сервером- ретранслятором.
Команда пий 1гопз указывает почтовый адрес отправителя, и ее следует избегать, а команда гср1 ю задаст адрес получателя. Последней стоит команда г1ага, после которой начинается собственно послание. В послании активный код помещен во вложение, ограниченное строками « — 1», и этот код содержит несколько команд МБ-0ОБ для отображения каталога диска С. "и вывода сообщения о наличии в системе уязвимости.
Чтобы почтовый клиент автоматически отобразил послание, в него помещен код НТМ1., содержащий тег 1РКАМЕ для включения в текст послания встроенного фрейма: <1РКАМЕ вгс=30сЫ:ТНЕ-С10 Ье1яЬЬе300 злнЬЬ=300> ТЫв теввайе ивев а сЬягасгег веГ гЬаг до пог впрроггег1 Ьу гЬе 1лгегнег Зегзйсе. Р1еаве г11вгейагд.<ВК<ЛРКАМЕ> Обратите внимание на атрибут вгс=30скйТНЕ-С10, который указывает на источник данных для фрейма с помощью идентификатора, и этот же идентификатор присвоен второму вложению в заголовке Сопгеп1-10: <ТНЕ-С10>. При аткрьгтии этого письма в почтовом клиенте происходит автоматическая загрузка данных во встроенный фрейм, и туг-то и происходит самос интересное.
Данные во втором вложении — зто набор команд МБ- 008: есЬо о1Т озг сй ееЬо "Уоиг вув(ент Ьав а ргоЬ1епз Г рапве Тип данных для второго вложения определен как пийо/хзлат — т. е., абсолютно не соответствующий действительности, поскольку вложение содержит команды МЯ-00$. Простой экс- 52 нсримент показывает, что при чтении подготовленного таким образом письма почтовый клиент ОЕ сбивается, и автоматически, без участия пользователя, исполняет эти команды при выборе письма в диалоге почтового клиента. В принципе, вместо приведенных команд МЗ-005 можно авссти любые другие команды, вплоть до приказа установить соединение с требуемым компьютером.
слякк ткг-'хг--тз: "' г юл 1й '„э в в в м х м л в м. Рис. 7. Результат выполнения вложенного в тело письма кода. 2.2. П еполнение б а. Эта атака похожа на рассмотренную нами в предыдущей |лаве. При определенном изменении значения полей письма можно добиться выполнения от имени почтового клиента про| рлммного кода кракера. Так, в 2000 году была найдена уязвимость клиента ОЕ, слатанная с переполнением поля времени ОМТ. Поместив в это ~юле вместо даты кракерский код, далее можно заставить почтогал о клиента выполнить код при загрузке сообщения по прото- колу РОРЗ или 1МАР. Эта уязвимость была устранена в пакете Бегу1се Рас1с 1 для уу'шдоюз 2000.
2.3. Запись и чтение локальных айлов. Записать или прочитать файлы на машине пользователя можно как с помощью активных вложений, так и с помощью языка НТМ1., используя рассмотренные нами методы атак на браузеры. Эта атака часто применяется для размещения на компьютере клиента программ-шпионов, троянских коней и т. п. 2.4. ытие исх клиентских сое инеинй. Эта атака служит для организации связи компьютера- жертвы с атакующим компъютером. Позволяет обойтись без постоянного сканирования компьютеров (надо только ждать) и преодолеть защиту от доступа компьютеров из внешней сети к локальным машинам (если она есть). 3. Атаки на почтовый я к.
3.1. По бо па ля к почтовом я и пользователя. Используя различные программные средства, злоумышленник, проводя атаку по словарю нли последовательным перебором, может определить пароль для доступа к почтовому ящику жертвы. После получения пароля злоумышленник имеет возможность контролировать всю корреспонденцию жертвы, а также отправлять письма от его имени. 3.2. «Раз ение» и чтового я ика. Этот вариант атаки является делом рук кракеров-вандалов.
Она не дает доступа к чужой корреспонденции, но вынуждает пользователя сменить почтовый ящик. Атака заключается в отправке на адрес пользователя огромного количества сообщений с разными темами и адресами отправителей. Почтовый файл пользователя на сервере забивается присланным хламом, из-за которого настоящие письма либо не помещаются в ящик, либо теряются в нем. Для автоматизации подобных атак создаются специальные программы — мейлбомберы.
Единственный способ противодействия — белый список — позволяет лишь отдешпь письма доверенных пользователей от мусора, но письма не попавшие в ящик он не вернет. Посильную помощь вандалам в деле «разрушения» почтовых жциков оказывают спамеры. Парой достаточно внести адрес жертвы в списки рассылки и не затруднять себя поиском или написанием программы. 4.
Со иальная инжен ия. Эти методы — воистину универсальны и всемогущи. Письмо с вложением, сопровождаемым ловко составленным текстом, приглашающим воспользоваться немыслимо выгодными услугами, загрузить чудо-программу, документ МБ О%се (вспомните про макровирусы) — все это наилучший способ взлома компьютера. Ведь самый простой метод проникновения в чужой компьютер — это запуск на нем программы злоумышленника руками самого пользователя. Самый простой и надежный метод получения пароля досзупа к почтовому серверу, а также и вообще к любому сервису Интернета, состоит в рассылке мошеннических писем, имеющих целью вынудить пользователя самому сообщить свой пароль. Например, письмо, якобы от провайдера Интернета, приглаьзающее получателя указать «новый» пароль для защиты своего доступа к серверу Интернета.
Это — неприкрытое мошенничество, поскольку системные администраторы, что бы там о иих не писалось в различных изданиях, никогда ие опускаются до такой ~ лупости, как запрос у пользователей их паролей по электронной ~к>чте. Тем не менее, такой прием срабатывает — ведь к освоению Интернета ежедневно приступает множество доверчивых новичков (все мы когда-то были новичками), так что шансы на успех неплохие.
Вот пример такого письма: «Уважаемый пользователь!!! К сожалению, на Вашем счету был обнаружен факт двойного доступа к нашему серверу, т.е. в одно и то же время, используя Ваш аккаунт, в систему вошли 2 (два) пользователя. 54 Вследствие чего возникла необходимость в смене Вашего текущего пароля доступа к нашей сети. Вам необходимо отвеппь на это письмо, используя следующий формат; 1ой: ваш логин ор: ваш старый пароль пр1: ваш новый пароль пр2: ваш новый пароль епк ваш е-шай Эти сведения должны находиться в начале Вашего сообщения. Обратите внимание на то, что новый пароль должен быть повторен дважды! Это необходимо для точной идентификации Вашего аккаунга, Рекомендуется прислать свои сведения до 28.07.2004, т.к.
по истечении этого срока возможно отключение Вашего аккаунга. Желаем Вам успехов ! ! ! С уважением, администрация сервера.» Письмо составлено с тонким учетом психологии пользователа Проявлена забота о его средствах, проведен четкий инструктаж и добавлена угроза отключения. Рассылка писем с вложениями представляет собой наилучший способ внедрения троянов. Применяемая при этом техника обмана пользователей весьма проста — разослав кучу писем с вложенной программой инсталляции трояна, кракер ждет, когда доверчивый получатель письма щелкнет на кнопке (или ссылке) для открытия вложения. Чтобы привлечь внимание, это вложение рекламируется в письме как, допустим, «бесплатное» обновление %еЬ-браузера илн «пакет бизнес-программ», бесплатные порно-фотографии, имитация служебных сообщений (вирус туг!оош) и т. п. (и это только часть того, что доводилось находить в своем почтовом ящике).
Щелчок для открытия вложения запускает программу инсталляции. На компьютере- 5б асртве устанавливается, например, троян, который сообщает козяину о своем успешном внедрении по конкретному 1р-адресу. Все остальное очень просто. Если внедренный троян— ленивый», т.е. работает как обычный кейлоггер, он будет постепенно передавать всю информацию о ваших действиях своиму хозяину — н, в числе прочего, передаст все введенные вами пороли. Если же троян «активный», т. е. поддерживает средства чдалснного управления, он позволит своему хозяину подюпокпъся к компъютеру-жертве и делать на нем что угодно — факто люки стать владельцем всех информационных ресурсов коми мегера. В конце 2002 г., в Москве арестовали одну компанию кулмщкеров, занятых рассылкой троянов, которые выведывали па!кгии доступа к провайдерам Интернета у получателей писем.
Чкраденные пароли затем продавались с веб-сайта. Так что, не ~могря на все несовершенство нашего законодательства стоит иодумать, прежде чем применять все зтн методы в действии. На методах социальной инженерии основан еще один эффективный метод обхода защиты почтовых сервисов (и не тольки ик). На веб-страницах, предоставляющих сервис электронной ио пы, очень часто можно встретить строку вида «Забыли па!«окьу», позволяющую восстановить забытый пароль доступа. ! ! (оичок на этой строке предлагает ввести ответ иа вопрос, котормй вы выбрали при регистрации на почтовом сервере — наиримср„«Ваше любимое блюдо?», «Девичья фамилия матери?», -!(ик зовут Вашу собачку2» и так далее.
Такой способ восстаиоклсния доступа к почте — это настояпцш Клондайк для понимкиощего человека, поскольку число блюд, имен и фамилий не игк уж и велико и, к тому же, их можно выведать у самого хомииа почтового ящика. Скажем, если в непринужденной вирту«ми.иой беседе узнать у пользователя Коли, что его любимое окюдо — картошка, то можно попытаться проникнуть в его почи гимй яндык, указав в ответ на запрос о любимом блюде строку гиии ро!агез, картошка или КРНМПЙР (картошка с переключенимм языком).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
