پست الكترونيكی يا همان ای-ميل، پر طرفدار ترين بخش كاربردی اينترنت است و تقريبا هر كسی كه از اينترنت استفاده می‌كند، حداقل يك صندوق پست الكترونيكی هم دارد. همين محبوبيت زياد، باعث شده كه توجه بسياری از هكر‌ها و خراب‌كار‌ها به اين سرويس اينترنتی جلب شود. در اين مقاله به شما می‌گوييم كه هكر‌ها چگونه و با چه ابزار‌هايی در سيستم‌های ای-ميل خراب كاری می‌كنند. روی سخن اين مقاله بيشتر با راهبران و واحد فناوری اطلاعات سازمان‌های گوناگون است، اما كاربران عادی هم می‌توانند اطلاعات مفيدی در اين مقاله بيابند.

چالشی در خصوص امنيت پست الكترونيكی

سيستم‌های پست‌الكترونيكی هم‌چون Microsoft Exchange، Lotus Notes و GroupWise در حقيقت برای يك منظور خاص طراحی شده‌اند:

بيشترين تعداد ای-ميل ممكن را دريافت و با كار آمد ترين شيوه‌ی ممكن ارسال می‌كنند، بدون اين‌كه بپرسند اين عمل موفقيت آميز بوده يا خير. همان‌طور كه می‌دانيد، در دنيای امروز، ای-ميل يكی از عمومی‌ترين ابزار‌های ارتباطی در زمينه های تجاری است كه هر روز نيز كاربرد آن بيشتر می‌شود. بد نيست كه بدانيد تعداد ای-ميل های كه به طور روزانه رد و بدل می‌شوند، تقريبا 50 ميليارد عدد است و پيش‌بينی می‌شود اين رقم تا سال 2008 دو برابر شود.

محبوبيت روز افزون ای-ميل، آن را تبديل به ابزاری دلخواه و قابل توجه برای افراد خراب‌كار كرده است. اين افراد كسانی هستند كه برای اذيت و آزار ديگران و يا برای كسب سود مادی، از اين ابزار عمومی به گونه ای نا‌مناسب استفاده می‌كنند.  هكر‌های اوليه (اجداد هكر‌های امروزی) از ضعف‌های پيش‌پاافتاده سيستم‌های عامل و يا پروتكل ای-ميل، برای اهداف خرابكارانه‌ی خود سود می‌بردند. ولی امروز با پيشرفته شدن ابزار های امنيتی و بهينه شدن پروتكل‌ها، هكر‌ها نيز متخصص‌تر شده و روش‌های جديد برای دور زدن سيستم‌های امنيتی فوق ابداع كرده‌اند.

بله، انگار اين بازی موش و گربه حالا حالاها ادامه دارد، چراكه با هر فنی كه صاحبان سيستم ها به كار می‌بندند و فناوری دفاعی خود را پيشرفته‌تر می‌كنند، هكر ها و ويروس نويسان عزيز نيز تغيير روش داده و سعی می‌كنند به هر ترتيبی كه شده، سيستم دفاعی را ناكام گذاشته و حمله خراب كارا‌نه‌ی خود را به شبكه شركت‌ها انجام می‌دهند.

آسيب پذيری سيستم‌های پست‌الكترونيك

به همراه مزيت‌هايی كه ای-ميل به ارمغان می‌آورد، يك سری نقاط ضعف و خطر پذيری نيز در سازمان‌ها ايجاد می‌كندكه از آن جمله می‌توان به اين موارد اشاره كرد:

 پروتكل‌های ارتباطی TCP & UDP

پروتكل‌های ارتباط اينترنت، برای ارتباط يك پارچه كامپيوتر‌های مختلف طراحی شده‌اند. در نتيجه هكر‌ها در اولين قدم، از شكاف های امنيتی اين پروتكل‌ها برای سازمان دهی حمله‌ی خود بهره می‌برند. پروتكل TCP/IP زمانی طراحی شد كه جمعيت هكر‌ها به گستردگی امروز نبود. پس كاملا واضح است كه اين پروتكل ذاتاً دارای شكاف‌های امنيتی متعددی می‌باشد.

در نخستين مرحله حمله، هكر به جمع‌آوری اطلاعاتی در مورد سرويس‌های موجود روی شبكه مورد نظر اقدام می‌كند هكر برای اين‌كار می‌تواند از يكی از تكنيك‌های زير استفاده كند:

Ping Sweeps (پيمايش بازه‌ای از نشانی‌ها): در اين  روش بازه‌ی خاصی از نشانی‌ها توسط يك برنامه مورد پيمايش قرار می‌گيرد (نشانی‌ها را Ping می‌كند) تا مشخص شود كه در بازه‌ی مورد نظر، كامپيوتر فعال (روشن و مرتبط با شبكه) وجود دارد يا خير. برنامه‌های پيشرفته‌تر، از پروتكل ديگری (مانند SNMP) برای انجام اين‌كار استفاده می‌كند.

TCP Scans (كشف در گاه‌های قابل دسترسی TCP): در اين روش مهاجم به دنبال درگاه‌هايی از پروتكل TCP است كه از طريق آن بتواند به سرويس‌های خاصی مانند Telnet دسترسی پيداكند و سپس با استفاده از اين سرويس‌ها، عمل مورد نظر خود را انجام دهد. عمل اكتشاف درگاه‌های پروتكل مورد نظر، به دو روش معمولی و مخفی قابل انجام است. در روش معمولی، سابقه‌ای از كار‌های انجام شده روی كامپيوتر ميزبان ثبت می‌شود. به همين دليل، هكرها بيشتر از روش مخفی (ارتباط نيمه باز يا Half-Open Connection) و يا روش FIN استفاده می‌كنند. در روش FIN، هيچ درگاهی از كامپيوتر ميزبان برای كنترل باز نمی‌شود و تنها درگاه‌هايی را كه در حال شنود هستند كنترل می‌شود.

UDP Scans (كشف درگاه‌های UDP): در اين روش، مهاجم داده های نامفهوم را به يك درگاه خاص می‌فرستد. بيشتر كامپيوترها، وقتی در درگاه مورد نظر سرويسی فعال نباشد، توسط ICMP (Internet Control Message Protocol) اعلام می‌كند كه درگاه مورد نظر در دسترس نيست. بدين ترتيب مهاجم پی می‌برد كه درگاه مورد نظر فعال نيست. عمل اكتشاف درگاه در UDP كمی سخت‌تر است. چرا كه پروتكل UDP مانند TCP عمل نمی‌كند. پروتكل TCP در هر ارتباط، سلامت ارتباط را از ابتدا تا انتهای آن كنترل می‌كند. ولی در UDP، داده ها ممكن است در بين راه از بين بروند.

OS Identification (شناسايی سيستم عامل كامپيوتر ميزبان): در اين روش، مهاجم با استفاده از TCP، سيستم‌ عامل‌ها و برنامه‌هايی را كه در روی كامپيوتر ميزبان در حال فعاليت هستند شناسايی می‌كند. هر سيستم عامل، در مقابل بسته (Packet) خاص TCP، اطلاعاتی از ماشين و سيستم عامل فعال روی آن ارائه می‌دهد كه اين اطلاعات می‌تواند مورد استفاده‌ی مهاجم قرار گيرد.

 هكرها به راحتی می‌توانند نشانی IP را جعل كنند

تعدادی از حملات با استفاده از جعل نشانی IP انجام می‌گيرد. حتما می‌دانيد كه هر بسته اطلاعاتی با استفاده از پروتكل TCP/IP ارسال می‌شود، نشانی IP مبداء ارسال كننده‌ی بسته را نيز به همراه خود برای ميزبان می‌برد تا ميزبان با استفاده از آن نشانی، بتواند پاسخ فرستنده را بدهد. هيچ‌گاه نمی‌توان برای تأييد اصالت فرستنده به اين نشانی استناد كرد. به همين دليل، مهاجم می‌تواند به تعداد زيادی از كامپيوتر‌ها پيغام خاصی را ارسال كند و در پيغام ارسالی خود، نشانی كامپيوتر ديگری را قرار دهد.

بعد از آن كاملا مشخص است كه چه اتفاقی خواهد افتاد، همه‌ی كامپيوتر های دريافت كننده پيغام، پاسخ خود را به نشانی مبدأ قيد شده در پيغام ارسال خواهند كرد، نه به فرستنده‌ی اصلی پيغام. بنابر اين كامپيوتر مورد نظر در آنِ واحد با حجم عظيمی از پيغام‌ها مواجه شده و به ناچار از سرويس عادی خود خارج خواهد شد. درست مانند اين است كه كسی برای اذيت كردن شخص خاصی، يك آگهی وسوسه كننده با شماره تلفن شخص مورد نظر در يك روزنامه‌ی پرفروش بدهد. برای مثال بگويد: اگر يك خانه‌ی مناسب در بهترين نقطه شهر، تمام قسط و با اقساط ناچيز می‌خواهيد، با شماره تلفن ... تماس بگيريد. برای كمك به نتيجه بخشی حمله، جعل نشانی IP و ساير حملات بارها و بارها استفاده می‌شوند.

 دسترسی به LDAP/Active Directory كامپيوتر سرويس دهنده‌ی ای-ميل

اكثر سازمان‌ها از سرويس دهنده‌ی ای-ميل داخلی استفاده می‌كنند كه اين سرور‌ها، با استفاده از LDAP و يا ساير ابزار‌ها، نشانی ای-ميل دريافتی را كنترل می‌كنند. اگر نشانی قيد شده قابل شناسايی بود، ای-ميل را به صندوق شخصی تحويل می‌دهد و در صورت عدم شناسايی، پيغامی با لحن پوزش مبنی بر عدم شناسايی صاحب نشانی، برای فرستنده ارسال می‌شود. مهاجمان اكثرا از اين برخورد مؤدبانه سوء استفاده كرده و برای پی‌بردن به نشانی های موجود از آن استفاده می‌كنند. مهاجمان در اين مرحله اقدام به حمله از نوع DHA (Directory Harvest Attacks) می‌كنند. در اين نوع حمله يك برنامه با ارسال مكرر ای-ميل با نشانی‌های حدسی به سازمان مورد نظر، سعی می‌كند تا نشانی‌های موجود را به‌دست آورد. اين نشانی‌های واقعی در مرحله‌ی بعد می‌تواند مورد استفاده‌ی ويروس نويسان، آگهی دهندگان و غيره قرار گيرند.

سرور‌های ای-ميل می‌توانند به گونه ای پيكر‌بندی شوند تا ای-ميل‌هايی را كه نشانی نا معتبر دارند بی‌پاسخ بگذارند. البته در اين صورت نيز مجبورند هميشه حجم نا‌محدودی از ای-ميل ها را مورد پردازش قرار دهند.

 مهندسی اجتماعی

متأسفانه اعتماد افراد داخل سازمان هميشه فرصت مناسبی را به مهاجمان، برای دسترسی به اطلاعاتی خاص از قبيل رمز عبور افراد و يا ای-ميل يكی از افراد داخل سازمان و ارسال ای-ميل برای وی و دريافت جواب، می‌تواند با استفاده از اطلاعات Header ای-ميل دريافتی، حمله‌ای از سطح ماشين ميزبان انجام دهد. يا اينكه در يك سازمان بزرگ با يكی از كارمندان بخش خدمات به صورت تلفنی تماس گرفته و بگويد كه: من فلانی از بخش IT شركت هستم و برای رفع فلان مشكل اسم رمز ورود شما دارم. و كارمند مورد نظر نيز بدون تأمل و تحقق، اطلاعات را در اختيار وی می‌گذارد. و يا وقتی دو همكار در مورد كار خود در يك محيط عمومی مانند رستوران صحبت می‌كنند، می‌توانند ناخواسته اطلاعاتی از قبيل نشانی آی-ميل در اختيار افراد مهاجم قرار دهند.

 يك باور غلط: ديواره‌ی آتشين، حفاظی كامل است

اين يك باور عمومی اشتباه است كه ديواره‌ی آتشين در يك سازمان می‌تواند همه‌ی حملات را شناسايی و خنثی كند. در واقع ديواره‌های آتشين تنها يك كنترل ساده روی اطلاعات ورودی شبكه انجام می‌دهند و حتی بر ورودی درگاه شماره‌ی 25، كه درگاه استاندارد ای-ميل است، هيچ تمهيد امنيتی‌ای را اعمال نمی‌كنند. مدير ديواره‌ی آتشين می‌تواند با اعمال قوانينی روی آن، سياست‌های امنيتی در سطح مختلف را به ديواره‌ی آتشين ديكته كند. اما در يك سازمان و با آن‌همه سياست های اعمال شده بر ديواره‌ی آتشين، درگاه ای-ميل كماكان 25 است . محدوديتی برای ورود ای-ميل‌ها از طريق اين درگاه اعمال نمی‌شود. بنابر اين يك مهاجم می‌تواند از طريق همين درگاه حمله‌ای را ترتيب دهد و ديواره‌ی آتشين را به راحتی دور بزند.

به اميد اينكه مفيد واقع شده باشد.

منبع: مجله كاربر

+ نوشته شده توسط حسین میری در دوشنبه 1385/05/16 ساعت 21:24 | موضوع: امنیت |