Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Крис Касперски
Электронная почта была и остается одним из основных инструментов хакера (достаточно вспомнить письма с зловредными вложениями или эксплуатацию «дыр» популярных почтовых клиентов). Атакующие применяют все более и более изощренные приемы, зачастую неизвестные широкой аудитории администраторов и специалистов по безопасности. Сегодня мы поговорим о… ссылках на картинки и покажем, на что они способны, а способы они на многое!
Хорошо подготовленная и продуманная атака («пионеров» и вандалов мы в расчет не берем) начинается с тщательного сбора информации о жертве, реконструкции топологии локальной сети (если у жертвы есть сеть), определении типа и версий используемого программного обеспечения, выявлении защитных комплексов (спам-фильтров, брандмауэров, систем обнаружения вторжений и т. д.), а также составления графика работы жертвы для осуществления атаки в наиболее «удобное», с точки зрения хакера, время.
Неожиданным хакерским подспорьем оказалась… электронная почта. Отвечая на хакерское письмо (вполне безобидное со всех точек зрения), жертва, сама того не подозревая, включает в заголовок ответа не только данные об установленном программном обеспечении, но и более «тонкую» информацию (например, номера локальных портов, по стратегии назначения которых при длительной переписке можно выявить наличие транслятора сетевых адресов или сделать вывод о степени загруженности узла).
Более «продвинутые» хакерские письма, «закодированные» в HTML-формате, используют сценарии JavaScript и ссылки на внешние (подконтрольные хакеру) ресурсы, что позволяет собрать намного больше информации и не требует от жертвы ответа – достаточно просмотреть письмо (в популярных почтовых клиентах просмотр включен по умолчанию, и очень мало кто из пользователей отключает его). Относящиеся к «тяжелой артиллерии», мы рассматривать не будем, а вооружимся одной лишь «снайперской винтовкой» – внешними ссылками на картинки, возможности которых сильно недооцениваются как хакерами, так и специалистами безопасности.
Руководящая идея
Внедряем в HTML-письмо ссылку на картинку, расположенную на подконтрольном хакеру веб-сервере, и отправляем его жертве. В момент просмотра письма почтовый клиент (если только в нем не отключена загрузка картинок) обращается к хакерскому веб-серверу, передавая в заголовке запроса огромное количество критической к раскрытию информации. Плюс точное время открытия письма жертвой, плюс IP-адрес, плюс еще много чего.
Грубо говоря, внедренная картинка в данном случае работает как классический «счетчик» наподобие того же SpyLog, собирающего множество информации, однако, имея собственный веб-сервер, можно выявить намного больше «интимных» деталей, раскрытие которых существенно упрощает атаку.
Начнем со спам-фильтров, обрабатывающих графические изображения (а с учетом популярности графического спама такие фильтры получают все большее и большее распространение). Очевидно, чтобы отделить зерна от плевел, фильтр должен загрузить картинку, следуя указанной ссылке. Если фильтр установлен непосредственно на почтовом сервере жертвы (или перед ним), хакерский веб-сервер «поймает» GET-запрос сразу же после отправки письма (или спустя короткое время с учетом очереди обработки писем), даже если жертва спит мертвым сном и не заботится о проверке почты. Как вариант спам-фильтр может быть установлен на локальной машине (интегрирован в почтовый клиент), работающей на «автопилоте» (то есть остающейся включенной на ночь) и загружающей письма по POP3-протоколу каждые 3-5 минут. Может ли хакер различить две эти ситуации? Конечно же, может! Внешний спам-фильтр имеет свой собственный IP, отличающийся от IP-адреса клиента, что выдает его с головой!