Techniki ataków robaków pocztowych. Teoria

//      Autor nie ponosi odpowiedzialności za wykorzystanie wiedzy zdobytej po przeczytaiu tego arta
//            bugi znaleziono dzięki www.google.pl
//                  pzdr mynio



Techniki ataków robaków pocztowych. Teoria


     Najbardziej popularną usługą Internetową obok WWW jest obecnie poczta elektroniczna (e-mail). Usługa ta umożliwia przesyłanie wiadomości pocztowych zawierających załączniki za pośrednictwem Internetu. Wysyłane wiadomości są przechowywane w skrzynkach pocztowych serwera poczty aż do momentu ich pobrania przez odbiorcę. W Internecie wykorzystuje się protokół poczty SMTP (Simple Mail Transfer Protocol), który umożliwia prowadzenie korespondencji bez konieczności stosowania specjalnych konwerterów ? bram pocztowych.


     Aby wiadomość została zaakceptowana przez system pocztowy powinna być zbudowana według pewnej struktury. Taka struktura określa sposób formatowania informacji wewnątrz wiadomości pocztowej. Obecnie najpopularniejszym standardem wiadomości pocztowych staje się MIME (Multipurpose Internet Mail Extension), dzięki któremu możliwe jest przesłanie dowolnych informacji multimedialnych. Format ten umożliwia nadawcy zawarcie w przesyłce pocztowej strumienia danych dowolnego typu ? tekstu, obrazu, audio, wideo itd. Możliwość zapisu wiadomości w standardzie MIME rozszerza protokół SMTP i znosi wszystkie jego ograniczenia. Każda wiadomość SMTP składa się z dwóch części: rozbudowanego nagłówka i przesyłanej treści, które rozdziela jedna pusta linia. Nagłówek zawiera ustandaryzowane słowa kluczowe (To, From, Subject, Cc) i przyporządkowane im wartości. Są to informacje sterujące.
MIME definiuje pięć dodatkowych pól, które mogą być dodane do nagłówka wiadomości pocztowej:

Content-Type                  Określa typ danych zawartych w wiadomości
Content-Transfer-Encoding      Określa sposób kodowania danych (ASCII, UUEncode, Base64)
MIME-Version                  Określa wersję standardu
Content-ID                  Określa unikatowy identyfikator wiadomości
Content-Description            Określa komentarz do wiadomości

Nagłówek Content-Type może określać następujące typy zawartości:

Text/Html       Tekst formatowany znacznikami HTML
Sound             Dźwięk      
Image             Format graficzny
Video             Animacje
Application       Typy danych określone przez aplikacje
Message             Określa jeden z trzech typów wiadomości
Multipart       Wiadomość wieloczęściowa

     Napastnik przy konstruowaniu ataku opiera się właśnie na znajomości struktury (wynikającej ze standardu) wiadomości pocztowej.
     Najczęściej wykorzystywaną do prowadzenia ataku właściwością wiadomości pocztowych jest możliwość dołączania załączników, które mogą zawierać złośliwy kody binarny (np. pliki .exe) oraz interpretowalny (skrypty strony klienta jak np. JavaScript). Jednak wysłanie przez napastnika specjalnie przygotowanej wiadomości pocztowej z dołączonym złośliwym załącznikiem nie gwarantuje jeszcze, że zostanie on na pewno uruchomiony przez odbiorcę. Większość klientów pocztowych wymaga od odbiorcy po odebraniu wiadomości zawierającej złośliwy kod specjalnego zachowania, takiego jak kliknięcie na załączniku, w celu jego uruchomienia. Przeważnie klient pocztowy ofiary prosi użytkownika o pozwolenie uruchomienia załącznika, co przy odmowie uniemożliwia kontynuowanie prowadzonego przez napastnika ataku.
     Dlatego atakującym najbardziej zależy na cichym dostarczeniu i uruchomieniu złośliwej przesyłki tak, aby ofiara nawet nie podejrzewała, że jest atakowana. Tu przydaje się wiedza na temat struktury wiadomości pocztowej i sposobu działania klienta poczty.
     Domyślnie licencjonowany program pocztowy interpretuje wiadomości pocztowe zgodnie z określonymi standardami np., MIME. Gdy jednak klient poczty otrzyma wiadomość, która nie jest zbudowana zgodnie z obsługiwanymi standardami to może to dać nieoczekiwane rezultaty w czasie jej interpretacji. Interpretacja takiej wiadomości przez klienta poczty może dać rezultaty przeprowadzenia ataku DoS (np. odmowy dalszego korzystania z oprogramowania) a w skrajnym przypadku na uruchomienie złośliwego kodu.
     Największe szanse uruchomienia złośliwego kodu w środowisku klienta pocztowego dają zdolności reprezentacji danych w standardzie MIME. Wynika to możliwości umieszczania w przesyłce treści o strukturze dokumentu HTML. Realizowane jest to przy wykorzystaniu nagłówka Content-Type z przypisaną wartością Text/Html. Wykorzystanie kodu HTML jest bardzo silnym narzędziem reprezentacji danych, ale stwarza pewne niebezpieczeństwa. Możliwe jest umieszczanie wewnątrz dokumentu HTML kodu interpretowalnego lub wykonywalnego, co przy powodzeniu ataku daje napastnikowi największe możliwości.
     Wysłanie specjalnie przy pomocy licencjonowanego klienta poczty spreparowanej wiadomości formatowanej kodem HTML zawierającej złośliwy kod nie jest wcale takie proste. Jest to spowodowane tym, iż większość nowoczesnych graficznych klientów pocztowych (np. Microsoft Outlook/Outlook Express) nie pozwala na manipulację nagłówkami wiadomości w standardzie MIME, co uniemożliwia wysyłanie wiadomości pocztowych zawierających kod HTML wykorzystujący podatność klienta poczty w interpretowaniu błędnych nagłówków. Ten problem nie występuje przy korzystaniu z klienta poczty, który działa z linii komend np. Netcata.
     Ataki opisywane w kolejnej części będą prezentowały różne mechanizmy wykonywania dowolnych działań w systemie ofiary. Wiele z prezentowanych ataków nie wymaga do ich do zainicjowania podejmowania przez użytkownika żadnych dodatkowych działań oprócz przeglądania wiadomości pocztowej zawierającej złośliwy kod. Do aktywowania złośliwego kodu wystarczy zwykły podgląd wiadomości w panelu podglądu (np. w Outlook/Outlook Express).

---