La presente white paper analizza i vari metodi utilizzati
da virus e worm per introdursi in un network protetto. Tali
metodi includono i file allegati contenenti codice dannoso,
gli attacchi a carattere sociale, intestazioni MIME, utilizzo
disonesto degli script HTML e tecnologie simili. È stato realizzato
un URL dove è possibile effettuare un test per verificare
la vulnerabilità del vostro sistema a queste minacce. Questa
white paper esamina le diverse metodologie attraverso cui
un'e-mail può essere filtrata e ripulita dai codici dannosi,
utilizzando GFI MailSecurity for Exchange/SMTP, il prodotto
anti-virus della GFI, per l'analisi dei contenuti/exploit
delle e-mail.
Minacce e-mail: un pericolo costante!
Il grande utilizzo della posta elettronica nel corso degli
ultimi anni, è stato accompagnato dallo sviluppo di codici
maligni, dando così forma ad attacchi di virus tramite e-mail.
L'e-mail ha così fornito a hacker e cracker una facile strada
per diffondere i propri codici nocivi all'interno di un network.
Le LAN aziendali sono state violate da worm e da virus, così
come da cracker, attraverso l'uso della posta elettronica.
Gli hacker possono facilmente aggirare la protezione offerta
da un firewall superando il protocollo e-mail. Un firewall
comune non è in grado di proteggere da un attacco e-mail poiché,
esso semplicemente non analizza le e-mail ed il loro contenuto.
Poiché i messaggi e-mail possono includere file allegati,
gli hacker possono inviare file infetti e sperare che il destinatario
apra tali file. Questo è quanto è successo con Melissa e Manwella.
Tale metodo fa uso di tecniche a sfondo sociale con lo scopo
di indurre l'utente destinatario a mandare in esecuzione i
file. Inoltre, esistono altri metodi che consentono ad un
hacker esperto e probabilmente male intenzionato di inserire
codice tramite e-mail, con la possibilità di eseguire applicazioni
in modo automatico mentre l'utente legge il testo dell'e-mail.
Tali problemi si sono cominciati a diffondere a partire dall'uso
dell'HTML nelle e-mail, e sono stati sfruttati da famosi worm
come KaK e dai virus BubbleBoy e Nimda.
Sebbene i prodotti anti-virus siano in grado di individuare
molti virus e worm, gli hacker sono abili nello schivare tali
protezioni creando codici appositi per i propri scopi. Tale
aspetto è molto pericoloso poiché consente di penetrare quel
network aziendale che ha poca conoscenza di tali metodi e
by-passare le normali tecniche di protezione anti-hacker e
anti-virus. La minaccia costituita dagli hacker all'interno
di un network è quindi tanto maggiore quanto più basso il
loro livello di protezione.
I metodi utilizzati per attaccare
il tuo Sistema e-mail
Allegati con contenuto maligno
Melissa e LoveLetter sono stati tra i primi virus che hanno
evidenziato il problema delle infezioni correlato agli allegati
e-mail e all'ingenuità dei riceventi. La loro elevata diffusione,
infatti, è stata legata proprio al rapporto di fiducia che
esiste tra amici e colleghi. Si immagini di ricevere un allegato
da un amico che vi chiede di aprirlo. Questo è appunto ciò
che è successo con Melissa, AnnaKournikova, SirCam e altri
worm simili. Una volta in esecuzione, tali worm di solito
procedono al loro stesso reinvio agli indirizzi e-mail presenti
nella rubrica della vittima, ai mittenti di precedenti e-mail,
alle pagine web memorizzate, ed altro.
Gli autori dei virus pongono molta enfasi nel convincere la
vittima ad eseguire l'allegato. Per questo motivo danno ai
propri allegati nomi interessanti quali SexPic.cmd, me.pif,
ecc.. Un amministratore cerca di bloccare il pericolo legato
agli attacchi via e-mail attraverso l'individuazione di estensioni
ben note, gli autori di virus però, per aggirare tali protezioni
utilizzano sempre più estensioni diverse e sconosciute. Ad
esempio, file eseguibili (.exe) sono rinominati con estensioni
.bat, .cmd, più un'intera lista d'altre estensioni che forniscono
una tranquilla via all'infezione della vittima.
Molti utenti cercano di evitare il contagio da virus via e-mail
facendo il doppio clic con il mouse solo sui file con estensioni
sicure, quali JPG e MPG. Tuttavia, molti virus, come il worm
AnnaKournikova, utilizzano estensioni multiple per ingannare
l'utente. Il virus AnnaKournikova è stato trasmesso attraverso
un allegato e-mail nominato 'AnnaKournikova.jpg.vbs', il che
induceva il ricevente a credere di aver ricevuto un'innocua
immagine della famosa tennista, anziché uno Script in Visual
Basic contenente codice infetto.
Frequentemente, gli hacker cercano di penetrare nei network
inviando allegati che sembrano Flash movie, questi appaiono
come simpatiche animazioni, ma contemporaneamente eseguono
comandi nascosti per impossessarsi di password e fornire agli
hacker l'acceso al vostro network.
Per indurre ulteriormente le vittime all'esecuzione di tali
allegati, alcuni hacker utilizzano le vulnerabilità comuni
come le estensioni di Classe ID (CLSID) delle applicazioni
da eseguire. Questo metodo consente agli hacker di mascherare
la reale estensione dei file; in tal modo è possibile mascherare
sotto il nome 'clenafile.jpg' un file maligno HTA (HTML application).
Un tale sistema è attualmente in grado di raggirare quelle
soluzioni di filtraggio di contenuto e-mail che utilizzano
semplici metodi di ricerca, consentendo così agli hacker di
raggiungere facilmente il proprio obiettivo.
Gli allegati e-mail sono probabilmente la minaccia numero
uno, e i metodi sopra descritti sono ben noti negli ambienti
dei creatori di virus.
E-mail con intestazioni MIME alterate
Il worm Nimda colse Internet di sorpresa, aggirò molti degli
strumenti di sicurezza e-mail, e creò danni tanto ai server
dei network aziendali quanto ai singoli utenti. Tale warm
utilizza un difetto interno ad Outlook Express e Internet
Explorer nell'inviare le e-mail. Sebbene tale warm non sia
stato diffuso solo attraverso la posta elettronica, questa
tecnologia ha contribuito parecchio al suo obiettivo di diffondersi
in quanti più host fosse possibile. Un gran numero di network
aziendali hanno avuto non pochi problemi nel disinfettare
i propri computer da questo codice dannoso.
La peculiarità di Nimda è che entra in esecuzione automaticamente
sui computer che hanno versioni vulnerabili di Internet Explorer
o di Outlook Express. Poiché queste sono fondamentalmente
installate su tutti i sistemi Windows, la maggior parte degli
utenti che hanno ricevuto tale worm attraverso e-mail sono
stati infettati con facilità. Questo exploit utilizza un'intestazione
MIME alterata che informa Outlook Express che il file allegato
è un file di tipo WAV. In questo modo si consente al worm
di essere eseguito automaticamente. Una tale metodologia ha
quindi posto un problema fondamentale per la sicurezza e-mail,
infatti, in questo modo non è più richiesto, come in altri
casi, l'intervento dell'utente per l'esecuzione del file infetto.
Le intestazioni MIME specificano cose quali oggetto, data
o nome del file. Nella storia di Outlook Express, i campi
data e nome del file sono stati i primi ad essere scoperti
come vulnerabili ad attacchi con sovraccarico del buffer.
Attraverso l'uso di una stringa lunga e ben congeniata, un
hacker esperto può eseguire arbitrariamente linee di codice
sul computer infettato. In questo modo le vulnerabilità del
sistema sono pronte per essere sfruttate per la diffusione
di virus e per penetrare i network remoti.
E-mail HTML con script allegati
Attualmente, tutti i client e-mail sono in grado di inviare
e ricevere un e-mail HTML. Un HTML può includere script e
Contenuto Attivo, per esempio comandi JavaScript e ActiveX,
che consentono a codici o programmi di essere eseguiti sul
computer client.
Outlook e altri programmi utilizzano strumenti di Internet
Explorer per visualizzare gli HTML, il che comporta problemi
di sicurezza legati alle vulnerabilità proprie di Internet
Explorer. Queste vulnerabilità possono essere sfruttate via
e-mail per diffondere worm pericolosi, creare danni ai network
aziendali e abilitare agli hacker funzioni di sistema quali
lettura/scrittura ed eliminazione di file. I virus che utilizzano
l'e-mail HTML per raggirare le misure di sicurezza ed infettare
i computer includono worm quali KaK, BubbleBoy e Hap Time.
I virus basati sugli script HTML hanno quindi aggiunto l'ulteriore
pericolo di poter essere eseguiti automaticamente nel momento
in cui un'e-mail infetta è aperta. Essi non dipendono dagli
allegati; pertanto i filtri per allegati dei software anti-virus
sono inutili per un contrasto efficace. Il virus BadTrans.B,
per esempio, per diffondersi combina un'e-mail exploit con
l'HTML, utilizzando l'HTML per lanciare l'allegato automaticamente
una volta che l'e-mail è stata ricevuta.
Test di vulnerabilità
Si può facilmente testare se il vostro sistema è vulnerabile
o meno ai pericoli descritti sopra: GFI ha realizzato una
zona test che consente a tutti di verificare la vulnerabilità
del proprio sistema alle e-mail contenenti allegati .vbs,
file CLSID, exploit quali intestazioni MIME alterate, exploit
ActiveX, ed altro. I test eseguibili in tale zona sicuri e
non provocano alcun tipo di danno. Con questi test si può
facilmente conoscere se il vostro sistema è al sicuro o meno
da un numero consistente di minacce e-mail.
E' possibile realizzare i test dal sito: http://www.gfi.com/emailsecuritytest/
La pagina può essere visitata con sicurezza regolarmente:
GFI Security Labs è alla costante ricerca delle nuove minacce
e-mail e aggiunge continuamente i nuovi test di vulnerabilità.
Proteggetevi da queste minacce
con GFI MailSecurity
GFI MailSecurity for Exchange/SMTP protegge contro le tecniche
descritte sopra attraverso un filtro dei contenuti, l'analisi
degli allegati e lo scanner per virus di tutte le e-mail in
ingresso e in uscita a livello del server. I prodotti chiave
di GFI MailSecurity includono motori di ricerca anti-virus
multipli per una protezione migliore, analisi del contenuto
e degli allegati e-mail per un'eventuale disposizione in quarantena,
uno scudo anti-exploit per disabilitare gli exploit Windows/Office
lanciati via e-mail; un motore per le minacce e-mail per analizzare
e disabilitare gli script HTML, i file .exe e molto altro.
Scansione dei virus
Mentre gli scanner anti-virus tradizionali operano sul computer
da tavolo, GFI MailSecurity blocca i virus a livello di server,
il che significa che una rete di utenza alle spalle di GFI
MailSecurity non potrà mai essere toccata da un virus. GFI
MailSecurity è unico in tal senso, esso consente di utilizzare
motori anti-virus multipli per proteggere la vostra azienda
dalle varie minacce virus. Il pacchetto GFI MailSecurity è
diffuso con i motori anti-virus Norman Virus Control e BitDefender
e supporta in modo automatico l'aggiornamento delle firme.
Il motore anti-virus McAfee è supportato, ma come motore opzionale.
La scansione dei virus è la tecnica largamente utilizzata
per la scoperta dei virus e worm conosciuti. Comunque, quando
vi è la comparsa di un nuovo virus, gli scanner tradizionali
sono normalmente lenti nell'aggiornare le firme contro queste
nuove minacce. La protezione fornita però da GFI MailSecurity
è a multi livello e non si limita alla sola scansione dei
virus.
Analisi degli allegati
GFI MailSecurity può anche bloccare i tipi di file sospetti
che possono avere un contenuto pericoloso, quali i file con
estensioni *.exe, *.vbs e altri tipi di file. Il team di ricerca
della GFI possiede una lista aggiornata dei vari allegati
eseguibili, che è utilizzata per individuare sia i virus e
worm futuri che quelli già esistenti. GFI MailSecurity consente
anche un'analisi delle estensioni di Classe ID (CLSID), che
permette facilmente di individuare gli attacchi che potrebbero
basarsi su tale metodologia. Questo aggiunge ai componenti
di GFI MailSecurity un importante livello di sicurezza per
la scoperta di virus e l'analisi degli allegati.
Rimozione del Contenuto Attivo degli
HTML
Mentre JavaScript e tecnologie simili sono molto usate nell'HTTP
(hypertext transfer protocol), il loro utilizzo è invece contenuto
nelle e-mail. GFI MailSecurity può facilmente proteggere contro
tali minacce attraverso il suo disattivatore brevettato di
HTML, il quale analizza le e-mail HTML per individuare Contenuto
Attivo e script HTML. Il disattivatore di script HTML disabilita
ogni script trovato ed inoltra al destinatario la nuova e-mail
ripulita ed innocua, includendo le formattazioni e le immagini.
Per ulteriori informazioni e per una versione di valutazione
di GFI MailSecurity for Exchange/SMTP, si visiti il sito:
http://www.gfi-italia.com/italia/mailsecurity/.
© 2003 GFI Software Ltd. All rights reserved. The
information contained in this document represents the current
view of GFI on the issues discussed as of the date of publication.
Because GFI must respond to changing market conditions, it
should not be interpreted to be a commitment on the part of
GFI, and GFI cannot guarantee the accuracy of any information
presented after the date of publication. This White Paper
is for informational purposes only. GFI MAKES NO WARRANTIES,
EXPRESS OR IMPLIED, IN THIS DOCUMENT. GFI FAXmaker, GFI MailEssentials,
GFI MailSecurity, GFI LANguard and GFI DownloadSecurity and
the GFI FAXmaker, GFI MailEssentials, GFI MailSecurity, GFI
LANguard and GFI DownloadSecurity logos and the GFI logo are
either registered trademarks or trademarks of GFI Software
Ltd. in the United States and/or other countries. Microsoft,
Exchange Server, ISA Server, VS API, Word, Excel, SUS, and
Windows NT/2000/XP are either registered trademarks or trademarks
of Microsoft Corporation in the United States and/or other
countries. All product or company names mentioned herein may
be the trademarks of their respective owners. GFI. http://www.gfi.com
info@gfi.com 1-888-2GFIFAX / +44 (0) 870 770 5370
|