Vulnerabilitatea sistemelor e-mail

Sistemele e-mail ca Microsoft Exchange sau Lotus Notes au fost proiectate pentru a asigura transmiterea unui numar cat mai mare de mesaje mail, pe rute cat mai eficiente si rapide. Fara indoiala, acest obiectiv a fost atins - e-mail-ul este cea mai utilizata forma de comunicare de pe planeta, cel putin in mediul de afaceri.

Popularitatea comunicarii prin e-mail a facut ca aceasta sa devina o tinta atractiva pentru atacatorii care doresc sa produca pagube, pentru satisfactia personala sau, mai frecvent, pentru a obtine castiguri financiare. Primii hackeri e-mail identificau si exploatau vulnerabilitati simple in sistemele de operare si protocoalele folosite de programele e-mail. In prezent, hackerii dezvolta constant noi metode de ocolire a sistemelor de protectie ale solutiilor de securitate existente.    

Vulnerabilitatile sistemelor e-mail

Protocoalele de comunicatii TCP si UDP

Protocoalele de comunicatii Internet au fost concepute pentru a asigura comunicarea intre toate calculatoarele existente intr-o retea. Ca rezultat, hackerii incearca sa exploateze caracterul deschis al acestor comunicatii pentru a ataca diverse organizatii. Protocolul TCP/IP a fost proiectat cu mult inainte ca mediul Internet sa devina un adevarat teatru de confruntari intre hackeri, utilizatori si companiile de securitate, fiind afectat inca de la inceput de vulnerabilitati de securitate.

Primul pas al unui atac consta in identificarea serviciilor care ruleaza intr-o retea. Aceasta presupune culegerea de date privind reteaua prin diverse metode care includ:
Scanare ping - consta in transmiterea de mesaje ICMP echo request catre un interval de adrese IP pentru a determina care sunt active intr-un anumit moment. Scanerele mai evoluate folosesc alte protocoale, cum ar fi scanarea SNMP;  
Scanare TCP - identifica porturile TCP deschise (listening), in cautarea servicilor care ar putea fi exploatate pentru intruziune. Scanarile pot folosi conexiuni TCP normale sau scanari camuflate - stealth, care folosesc conexiuni pe jumatate deschise care nu sunt logate si scanari FIN care nu deschid porturi ci doar verifica daca sunt ascultate.
Scanare UDP - trimite pachete UDP invalide catre un anumit port. Majoritatea statiilor vor raspunde cu "destination port unreachable" pentru a informa ca nici un serviciu nu asculta pe portul respectiv. Aceste scanari sunt mai dificile deoarece UDP este un protocol care nu se bazeaza pe negocierea unei conexiuni.
Identificare OS - Identifica sistemele de operare si aplicatiile prin transmiterea unor pachete TCP. Fiecare sistem de operare va raspunde intr-un anumit mod la aceste pachete, ceea ce permite hackerilor sa determine tipul statiei si sistemul de operare pe care il ruleaza.

Disimularea adreselor IP

Exista mai multe tipuri de atacuri in care hackerii profita de posibilitatea de a falsifica adresele IP - "spoof". Desi fiecare pachet trimis contine si adresa IP sursa, aceasta nu este folosita pentru rutarea catre destinatie. Astfel, un atacator poate falsifica o adresa IP sursa pentru a exploata un server remote pretinzand ca este altcineva, folosind adresa unei statii care are dreptul de a se conecta si a opera anumite modificari. IP spoofing este folosita frecvent ca parte a atacurilor smurfing, care transmit solicitari ping catre adresa broadcast a retelei si determina raspunsul tuturor statiilor conectate la retea catre statia tinta (cea a carei adresa IP a fost falsificata).  

Accesibilitate LDAP/ Active Directory

Multe companii au servere gateway care sunt conectate la LDAP sau la alte tipuri de directoare pentru a valida existenta adreselor mail. Daca adresele sunt corecte, mesajul este livrat destinatarului. Daca adresa nu exista, este transmisa o notificare automata catre expeditor. Hackerii se folosesc de aceasta "politete" a sistemelor mail pentru a obtine adrese mail valide. Apoi sunt lansate atacuri Directory Harvest Attacks, in cadrul carora este folosit un program de generare automata a adreselor dintr-un domeniu si trimiterea de mesaje catre acestea. Prin eliminare, adresele care nu sunt respinse sunt marcate ca valide si adaugate in bazele de date cu adrese mail ale hacker-ilor pentru transmiterea de mesaje spam, virusi, spyware sau in alte scopuri. Serverele pot fi configurate pentru a respinge adresele invalide; totusi numarul de mesaje mail pe care va trebui sa il gestioneze organizatia va fi din ce in ce mai mare.

Inginerie sociala

In multe cazuri hackerii se bazeaza pe atitudinea in general increzatoare a oamenilor pentru a obtine informatii sub diverse pretexte. Atacatorul poate folosi instrumente legitime, cum ar fi motoarele de cautare internet pentru a gasi adrese mail valide din cadrul unei organizatii. Apoi hackerul trimite un mesaj mail catre o adresa mail valida in incercarea de a obtine un raspuns. La primirea acestuia, sunt analizate header-ele pentru a determina traseul urmarit de mesajele mail in cadrul organizatiei si a identifica server-ele si eventual  verificarile la care sunt supuse mesajele (antispam, antivirus etc).

Protectia firewall nu este suficienta

O greseala frecvent intalnita este considerarea aplicatiei firewall ca fiind capabila sa detecteze si sa blocheze un atac bazat pe mesaje mail.
Aplicatiile firewall controleaza conectivitatea in retea si in mod normal nu verifica traficul derulat pe portul e-mail standard (25). Administratorul de retea poate adauga reguli care permit specificarea tipurilor de trafic care au permisiunea de a trece prin firewall. Spre exemplu, traficul pe portul 25 este considerat ca e-mail, ceea ce ar putea permite unui atacator folosirea portului 25 pentru lansarea unui atac.

Metodele de atac ale hackerilor

Serverele mail folosite in companiile de azi sunt alese pe considerente de performanta, pret, recunoasterea numelui sau alte aspecte, cum ar fi prezenta Lotus Notes sau Microsoft Exchange. Dupa alegerea unui anumit tip de server mail, organizatia va fi nevoita sa il foloseasca o lunga perioada de timp, pentru ca platformele nu sunt interoperabile. Fiecare tip de server are propriul set de vulnerabilitati, care ofera hackerilor ample oportunitati pentru a lansa un atac. De indata ce aceste vulnerabilitati sunt identificate, un hacker poate opri functionarea unui intreg rack de servere mail.

Vulnerabilitati IMAP si POP

Hackerii au identificat anumite vulnerabilitati ale serverelor IMAP si POP care pot fi exploatate. Atacuri dictionar (constau in incearcarea de a identifica parolele sau cheile de criptare folosind liste de cuvinte existente in dictionare sau combinatii) pot duce la expunerea continutului mesajelor e-mail stocate pe un server IMAP sau POP. Exista foarte multe utilitare disponibile pentru a lansa astfel de atacuri, foarte usor de folosit datorita interfetelor de utilizator intuitive. Parolele slabe reprezinta o alta vulnerabilitate a acestor protocoale. Multe companii nu au implementate masuri de control a parolelor, permitand utilizatorilor folosirea de parole care sunt usor de ghicit. In plus, serviciile IMAP sau POP pot contine defecte sau bug-uri care pot fi folosite pentru a provoca erori de tip buffer overflow.
In general, atacurile dictionar au sanse de reusita din cauza ca utilizatorii isi aleg parole care sunt usor de retinut si aleg cuvinte din limba materna.

Atacuri DOS - Denial of Service

Syn flood - transmiterea de pachete TCP SYN (pentru initializarea conexiunii) intr-o succesiune foarte rapida, astfel incat sistemul atacat sa astepte completarea unui numar foarte mare de conexiuni, situatie care provoaca ocuparea completa a resurselor sistemului si incetarea transferurilor legitime prin retea. O metoda de protectie este salvarea de "SYN cookies". Fiecare conexiune este identificata printr-un numar. Ca raspuns la un atac SYN, statia tinta creaza un numar "cookie" pentru conexiunea respectiva, si apoi il salveaza pentru a elibera resursele sistemului. In cazul in care conexiunea se dovedeste a fi legitima, informatiile pot fi recuperate din cookie la primirea pachetelor urmatoare.
Ping of death - transmiterea  unei solicitari ICMP echo request invalide, cu dimensiune mai mare de 65.535 bytes.
Loop - trimiterea unui pachet SYN special conceput cu adresa si port de provenienta/destinatie identice, sistemul intrand intr-o bucla infinita in incercarea de a finaliza conexiunea TCP.

Configurarea incorecta sau insuficienta a sistemelor

- Folosirea de configuratii implicite - majoritatea sistemelor sunt livrate catre consumatori cu configuratii implicite, cu intentia de a le face cat mai usor de utilizat. Din pacate, usor de utilizat de cele mai multe ori inseamna vulnerabil, pentru ca utilizatorul isi poate derula activitatea fara a fi incomodat din ratiuni de securitate (interzicerea anumitor tipuri de operatiuni, blocarea rularii unor programe, etc.)
- Parole de administrator implicite/inexistente - un mare numar de sisteme sunt configurate fara a avea parole de administrator. Printre primele operatii efectuate de un atacator la accesarea unei retele este scanarea in cautare de statii fara parola.
- Aparitia unor brese - in principiu orice program poate fi configurat pentru a rula intr-un mod care sa sporeasca vulnerabilitatea sistemului. Mai mult, uneori administratorii nu configureaza corect sistemele; in principiu, pentru a evita exploatarea unor brese, pe un sistem trebuie sa ruleze numai aplicatiile strict necesare. Multi administratori insa nu stiu cum sa dezactiveze serviciile rulate implicit de sistem .

Exploatarea vulnerabilitatilor software

Bug-urile programelor pot fi exploatate pentru a ataca serviciile serverelor, aplicatiile client, sistemele de operare sau stiva de protocoale de retea din kernel (network stack) - partea din kernel care asigura comunicatiile sistemului. Bug-urile software pot fi clasificate astfel:

- Buffer overflow - un exemplu tipic este precizarea de catre programatori a unui anumit numar de caractere pentru a inregistra numele de utilizatori. Hackerii vor cauta aceste vulnerabilitati prin transmiterea de siruri de caractere de dimensiuni mai mari decat este permis si de instructiuni de cod care sa fie executate pe server. Hackerii descopera aceste bug-uri pe mai multe cai. In primul rand, codul sursa pentru multe dintre serviciile rulate pe servere este disponibil pe Internet. Hackerii vor analiza de asemenea toate situatiile in care programele accepta introducerea de date si vor incerca sa transmita date invalide; daca programul se opreste cu eroare, exista posibilitatea ca atacatorul sa obtina acces in sistem.

- Combinatii atipice - programele sunt de obicei construite din mai multe nivele de cod, avand sistemul de operare ca baza. Atacatorii pot transmite instructiuni care nu au semnificatie pentru majoritatea nivelelor de cod, dar produc rezultate imprevizibile la unul dintre ele.

- Date de intrare invalide - multi programatori nu iau in calcul efectele introducerii de date care nu respecta specificatiile luate in calcul.

Exploatarea factorului uman

Educarea utilizatorilor privind metodele de atac folosite de hackeri in ultimi ani a cunoscut progrese semnificative, astfel incat majoritatea celor care folosesc e-mail-ul dispun de cunostinte elementare de securitate. Astfel, utilizatorii sunt avertizati sa nu acceseze fisiere .exe provenind din surse necunoscute; prin urmare, hackerii sunt nevoiti sa foloseasca diverse subterfugii pentru a-i induce in eroare:
- extensie dubla - virusii Netsky si Klez erau livrati in fisiere denumite "fisier.txt.exe". In cazul Netsky, apareau si 100 de spatii intre cele doua extensii pentru ca extensia .exe sa nu fie vizibila, sau folosea extensia .COM pentru a se asemana cu o adresa e-mail.  
- fisiere zip protejate cu parola - transmise ca atasament e-mail, cu parola continuta in mesaj - fisierul zip parolat nu va putea fi scanat de aplicatiile antivirus instalate pe serverele mail.
- falsificarea provenientei - folosirea de adrese mail valide obtinute de pe servere LDAP, in incercarea de a convinge utilizatorii sa acceseze fisierele atasate sau o anumita locatie web, de obicei un server web compromis. De asemenea, poate fi folosit ca subiect "Re:re:re" pentru a crea iluzia unui fisier retransmis intre mai multi utilizatori. MyDoom includea termeni tehnici pentru a crea impresia unei disfunctionalitati a serverelor mail. Bangle folosea pictograme de fisiere text sau Excel pentru a determina utilizatorii sa lanseze executabilele respective.

Auto-propagarea, noua misiune a aplicatiilor malware

Hackerii sunt din ce in ce mai sofisticati si nu se mai limiteaza la obtinerea de acces in diverse retele si provocarea de disfunctionalitati. In prezent, foarte multe atacuri se bazeaza pe troieni proiectati pentru a raspandi virusi la cat mai multe sisteme, cu intentia de a prelua controlul asupra acestora si a le folosi pentru transmiterea de mesaje spam sau lansarea de atacuri coordonate.

Troieni

Troienii contamineaza sistemele utilizatorilor fara a fi detectati, fiind de obicei livrati ca atasamente e-mail. Dupa accesarea sa, atacatorul obtine acces nelimitat la fisierele stocate pe computer. Troienii pot fi ascunsi in programe legitime (screen-savere, jocuri etc.).

Functiile asigurate de troieni:

- Acces remote pentru atacatori, care pot asculta anumite porturi desemnate in prealabil, pot asigura accesul la statiile aflate in spatele unui firewall si pot comunica prin canale IRC, fara a initializa conexiuni TCP/IP; 
- Transfer de informatii - inregistrarea carecterelor tastate (key logging), identificarea fisierelor care contin parole si alte informatii confidentiale;
- Distrugerea de fisiere;
- Proxy - transformarea statiei compromise in server proxy pentru atacatori care realizeaza achizitii cu carti de credit furate sub acoperirea anonimatului - sursa aparenta a operatiunilor este calculatorul infectat;
- Denial of Service - atacuri coordonate care includ un numar foarte mare de calculatoare compromise (zombie).