محافظت در مقابل خطرات ایمیل

مقدمه

می خواهیم ببینیم چرا نرم افزار ضدویروس بتنهایی برای محافظت سازمان شما در مقابل حمله ویروسهای کامپیوتری فعلی و آینده کافی نیست. علاوه بر اینها گاهی به ابزاری قوی برای بررسی محتوای ایمیلها برای حفاظت در مقابل حملات و ویروسهای ایمیل (منظور از ویروس ایمیل ویروسی است که از طریق ایمیل گسترش می یابد) و جلوگیری از نشت اطلاعات نیاز است. اما در هر صورت رعایت بعضی نکات همیشه توسط کاربران الزامی است.

خطرات ویروسهای ایمیل و اسبهای تروا

استفاده گسترده از ایمیل راه ساده ای را برای گسترش محتویات مضر در شبکه ها پیش روی هکرها قرار داده است. هکرها براحتی می توانند از حصار ایجاد شده توسط یک فایروال از طریق نقب زدن از راه پروتکل ایمیل عبور کنند، زیرا فایروال محتویات ایمیل را بررسی نمی کند. CNN در ژانویه ۲۰۰۴ گزارش داد که ویروس MyDoom هزینه ای در حدود ۲۵۰ میلیون دلار را بدلیل آسیب های وارده و هزینه های پشتیبانی فنی بر شرکتها تحمیل کرده است ، این در حالیست که NetworkWorld هزینه های مقابله با Blaster، SoBig.F ، Wechia و سایر ویروسهای ایمیل تا سپتامبر ۲۰۰۳ را تنها برای شرکتهای ایالات متحده ۳/۵ میلیارد دلار ذکر کرد. (یعنی عدد ۳۵ با هشت تا صفر جلوش!!!)
بعلاوه، از ایمیل برای نصب اسبهای تروا استفاده می شود که مشخصاً سازمان شما را برای بدست آوردن اطلاعات محرمانه یا بدست گیری کنترل سرورتان، هدف می گیرند. این ویروسها که خبرگان امنیت از آنها بعنوان ویروسهای جاسوسی یاد می کنند، ابزار قدرتمندی در جاسوسی صنعتی بشمار میروند! یک مورد آن حمله ایمیلی به شبکه مایکروسافت در اکتبر۲۰۰۰ است که یک سخنگوی شرکت مایکروسافت از آن بعنوان “یک عمل جاسوسی ساده و تمیز” یاد کرد. برطبق گزارشها، شبکه مایکروسافت توسط یک تروای backdoor که به یک کاربر شبکه توسط ایمیل ارسال شده بود، هک شد.

خطر نشت و فاش شدن اطلاعات

سازمانها اغلب در آگاهی دادن به کارکنانشان نسبت به وجود مخاطرات دزدی داده های مهم شرکتهایشان ، کوتاهی می کنند. مطالعات مختلف نشان داده است که چگونه کارمندان از ایمیل بمنظور فرستادن اطلاعات حقوقی محرمانه استفاده می کنند. گاهی آنها اینکار را از روی ناراحتی یا کینه توزی انجام می دهند. گاهی بدلیل عدم درک مناسب از ضربه مهلکی است که در اثر این عمل به سازمان وارد می شود. گاهی کارمندان از ایمیل برای به اشتراک گذاری داده های حساسی استفاده می کنند که رسماً می بایست در داخل سازمان باقی می ماند.
بر طبق مطالعات و پرس وجوهای Hutton در انگلستان در سال ۲۰۰۳ نشان داده شد که صاحب منصبان دولتی و اعضاء هیات رئیسه BBC از ایمیل برای فاش ساختن اطلاعاتی که محرمانه بوده اند استفاده کرده اند. مقاله ای در مارس ۱۹۹۹ در PC Week به تحقیقی اشاره کرد که طی آن از میان ۸۰۰ پرسنل مورد مطالعه، ۲۱ تا ۳۱ درصد آنها به ارسال اطلاعات محرمانه ـ مانند اطلاعات مالی یا محصولات ـ به افراد خارج از شرکتشان اعتراف کرده اند.

خطر ایمیلهای دربردارنده محتویات بدخواهانه یا اهانت آور

ایمیلهای ارسالی توسط کارکنان که حاوی مطالب نژادپرستانه، امور جنسی یا سایر موضوعات ناخوشایند است، می تواند یک شرکت را از نقطه نظر قانونی آسیب پذیر نماید. در سپتامبر ۲۰۰۳ مشاوران شرکت مالی Holden Meehan مجبور به پرداخت ۱۰هزار پوند به یکی از کارکنان سابق بدلیل ناتوانی در محافظت وی در مقابل آزار ایمیلی! شدند. Chevron مجبور به پرداخت ۲/۲ میلیون دلار به چهار نفر از کارکنانش شد که به وضوح ایمیلهای آزاردهنده جنسی دریافت کرده بودند. تحت قانون انگلیس، کارفرمایان مسوول ایمیلهایی هستند که توسط کارکنانشان در مدت استخدامشان نوشته و ارسال می شود، خواه کارفرما راضی به آن ایمیل بوده باشد، خواه نباشد. مبلغی معادل ۴۵۰هزار دلار از شرکت بیمه Norwich Union طی یک توافق خارج از دادگاه بخاطر ارسال توضیحات مربوط به یک سری از مسابقات درخواست شد.

روشهای استفاده شده برای حمله به سیستم ایمیل

برای درک انواع تهدیدات ایمیلی که امروزه وجود دارد، نگاهی اجمالی به روشهای اصلی فعلی حملات ایمیلی می اندازیم:

ضمیمه هایی با محتوای آسیب رسان

Melissa و LoveLetter جزو اولین ویروسهایی بودند که مساله ضمیمه های (Attachments) ایمیل و اعتماد را نشان دادند. آنها از اعتمادی که بین دوستان و همکاران وجود داشت استفاده می کردند. تصور کنید یک ضمیمه از دوستی دریافت می کنید که از شما می خواهد آن را باز کنید. این همانی است که در Melissa، AnnaKournikova، SirCam و سایر ویروسهای ایمیلی مشابه اتفاق می افتاد. به محض اجرا شدن، چنین ویروسهایی معمولا خودشان را به آدرسهای ایمیلی که از دفترچه آدرس شخص قربانی بدست میاورند و به ایمیلهایی که صفحات وب ذخیره می کنند، ارسال می کنند. ویروس نویسان تاکید زیادی روی اجرای ضمیمه ای که توسط قربانی دریافت می شود، دارند.بنابراین برای نام ضمیمه ها از عناوین متفاوت و جذاب مانند SexPic.cmd و me.pif استفاده می کنند.
بسیاری از کاربران سعی می کنند که از سرایت ویروسهای ایمیل جلوگیری کنند و فقط روی فایلهایی با پسوندهای مشخص مانند JPG و MPG کلیک می کنند. بهرحال بعضی ویروسها، مانند کرم AnnaKournikova، از پسوند چندتایی بمنظور گول زدن کاربر برای اجرای آن استفاده می کند. ویروس AnnaKournikova از طریق ضمیمه ایمیل و با عنوان ‘AnnaKournikova.jpg.vbs’ منتقل میشد که دریافت کننده را متقاعد می کرد که یک تصویر به فرمت JPG را از ستاره مشهور تنیس دریافت کرده است تا اینکه فایل ضمیمه یک اسکریپت ویژوال بیسیک حاوی کدهای آسیب رسان باشد.
بعلاوه، پسوند Class ID (CLSID) به هکرها این اجازه را می دهد که پسوند واقعی فایل را پنهان کنند و بدینوسیله این حقیقت که cleanfile.jpg یک برنامه HTML می باشد پنهان می ماند. این روش در حال حاضر نیز فیلترهای محتوای ایمیل را که از روشهای ساده بررسی فایل استفاده می کنند، فریب می دهد و به هکر امکان رسیدن به کاربر مقصد را به سادگی می دهد.

ایمیلهای راه اندازنده اکسپلویت های شناخته شده

اکسپلویت در حقیقت استفاده از شکافهای امنیتی موجود است. کرم Nimda اینترنت را با شگفتی مواجه کرد و با گول زدن بسیاری از ابزار امنیت ایمیل و نفوذ به سرورها و شبکه های بزرگ و سرایت کردن به کابران خانگی، اینترنت را فراگرفت. حقه بکارگرفته شده توسط Nimda این است که روی کامپیوترهایی که نسخه آسیب پذیری از IE یا Outlook Express را دارند، بطور خودکار اجرا می شود. Nimda از اولین ویروسهایی بود که از یکی از این شکافها بمنظور انتشار بهره برداری می کنند. برای مثال، انواعی از ویروس Bagle که در مارس ۲۰۰۴ ظهور کردند، از یکی از شکافهای اولیه Outlook برای انتشار بدون دخالت کاربر استفاده می کردند.

ایمیلهای با فرمت HTML دربردارنده اسکریپت

امروزه، تمام استفاده کنندگان ایمیل می توانند ایمیلهای HTML را ارسال و دریافت کنند. ایمیل با فرمت HTML می تواند اسکریپتها و محتویات فعالی را دربرگیرد که می توانند به برنامه یا کدها اجازه اجرا روی سیستم دریافت کننده را دهند. Outlook و محصولات دیگر از اجزا IE برای نمایش ایملهای HTML استفاده می کنند، به این معنی که اینها شکافهای امنیتی موجود در IE را به ارث می برند!
ویروسهای بر پایه اسکریپتهای HTML خطر مضاعف توانایی اجرای خودکار را، وقتی که ایمیل آسیب رسان باز می شود، دارند. آنها به ضمیمه ها متوسل نمی شوند؛ بنابراین فیلترهای ضمیمه که در نرم افزارهای ضدویروس وجود دارند در نبرد با ویروسهای اسکریپت HTML بلااستفاده هستند. برای مثال ویروس BadTrans.B از HTML برای اجرای خودکار در هنگام بازشدن استفاده می کند و از یک اکسپلویت ایمیل با فرمت HTML برای انتشار استفاده می کند.

آسانی تولید یک ویروس در سالهای اخیر

با داشتن اطلاعات مختصری مثلا در مورد ویژوال بیسیک، می توان با بهره گیری از شکافهای امنیتی، باعث آشفتگی در شبکه ها و سیستم های استفاده کنندگان ایمیل شد. مطالعه بعضی سایت ها ، شما را با بعضی از شکافهای موجود در Outlook و نحوه بهره گیری از آنها آشنا خواهد کرد. حتی بعضی از کدها نیز در دسترس شما خواهد بود و با تغییرات اندکی می توانید ویروسی تولید کنید که کدهای مورد نظر شما را اجرا کند. برای مثال می توانید ویروسی تولید کنید که شخص قربانی بمحض باز کردن ایمیل حاوی آن در Outlook ، کدهای مورد نظر شما اجرا شود. به این ترتیب تمام فایلهای HTML آلوده می شود و این ویروس به تمام آدرسهای موجود در دفترچه آدرس سیستم آلوده شده فرستاده می شود. در اصل، ویژگی کلیدی این ویروس اجرا شدن آن بمحض باز شدن ایمیل حاوی HTML آسیب رسان است.
آیا نرم افزار ضدویروس یا فایروال برای مقابله کافیست؟
بعضی سازمانها با نصب کردن یک فایروال، خیال خود را از بابت امنیت آسوده می کنند. البته این یک گام ضروری برای محافظت از شبکه داخلیشان است اما کافی نیست. فایروالها می توانند شبکه شما را از دسترس کاربران غیرمجاز مصون بدارند، اما محتوای ایمیلهایی را که توسط کاربران مجاز از طریق شبکه ارسال و دریافت می شود، بررسی نمی کنند. به این معنی که ویروسهای ایمیلی! می توانند از این سطح امنیتی عبور کنند.
در ضمن، نرم افزارهای ویروس یاب نیز نمی توانند سیستم ها را علیه تمام حمله ها و ویروسهای ایمیلی محافظت کنند. تولیدکنندگان نرم افزارهای ضدویروس نمی توانند همواره برعلیه ویروسهای مهلکی که از طریق ایمیل در عرض چند ساعت در کل دنیا پراکنده می شوند (مانند کرمهای MyDoom ، NetSky.B و Beagle ) مراقبت کامل کنند. بنابراین تکیه تنها بر موتور جستجوی ویروس نیز باعث مراقبت کامل نمی گردد. برای مثال، یک مطالعه در سال ۲۰۰۴ توسط دولت بریتانیا نشان می دهد که اگرچه ۹۹٪ از شرکتهای بزرگ انگلیسی از ضدویروس استفاده می کنند، اما ٪۶۸ از آنها در طی سال ۲۰۰۳ به ویروسهای مختلف آلوده شده اند. یک تحقیق که در سال ۲۰۰۳ در آزمایشگاههای تحقیقاتی هیولت ـ پکارد در بریستول انجام شد، نشان داد که کرمها از نسخه های به روز ضدویروس ها بمراتب سریعتر گسترش پیدا می کنند.

راه حل : یک رویکرد پیشگیرانه

بنابراین چگونه می توان علیه این خطرات ایمیلی محافظت شد؟ در حقیقت به یک رویکرد پیشگیرانه نیاز است تا محتوای تمام ایمیلهایی وارد شونده و خارج شونده قبل از رسیدن به کاربران، در سطح سِرور بررسی شود. به این ترتیب، تمام محتوای مضر از ایمیل آلوده حذف می گردد و سپس به کاربر فرستاده می شود. سازمانها و شرکتها با نصب یک فیلتر جامع برای بررسی محتوای ایمیلها و یک دروازه (gateway) ضدویروس برروی سرویس دهنده ایمیل، می توانند در مقابله آسیب رسانی های بالقوه و از بین رفتن زمان مفید کار توسط ویروس های فعلی و آینده ، خود را محافظت کنند.
در اینجا به قابلیتهای یک فیلتر خوب برای نصب در سرویس دهنده ایمیل برای جلوگیری از آلوده شدن توسط ویروسهای ایمیلی اشاره می شود:
- بررسی محتوای ایمیل
- کشف بهره برداریها از شکافهای امنیتی (اکسپلویتها)
- تحلیل خطرات
- راه حلهای ضدویروسی
موارد فوق برای ازبین بردن انواع خطراتی است که توسط ایمیلها منتقل می شود، قبل از اینکه بتوانند کاربران ایمیل را تحت تاثیر قرار دهند.
ویژگیهای زیر را نیز می توان به فیلتر مذکور اضافه کرد:
- دربرداشتن چندین موتور ویروس برای بالا بردن نرخ کشف ویروس و پاسخ سریعتر به ویروسهای جدید.
- بررسی پیوستهای ایمیلها برای مصونیت در مقابل ضمیمه های خطرناک
- یک سپر در مقابل اکسپلویتها برای محافظت در مقابل ویروسهای فعلی و آتی که برپایه اکسپلویتها ایجاد گشته اند.
- یک موتور بررسی خطرات HTML برای از کار انداختن اسکریپتهای HTML
- یک پویش گر برای ترواها و فایلهای اجرایی برای کشف فایلهای اجرایی آسیب رسان
- و ...
مهم ترین و آخرین نکته که تا کنون چندین بار به آن اشاره شده است این است که ایمیلهای ناشناخته را باز نکنید. منبع: www.ircert.com
/ن

#آموزش

مقالات مرتبط

تازه های مقالات

ارسال نظر

نظرات کاربران