Современные угрозы и защита электронной почты

Андрей Тимошенков,
директор центра информационной безопасности компании Softline

Практически каждый работающий человек в нашей стране имеет свой электронный почтовый адрес. Электронная почта -самый легкий способ для своевременной передачи информации и ведения деловых переговоров. Однако предоставление сотрудникам вашей компании доступа в Интернет с возможностью обмена электронными почтовыми сообщениями неизменно повлечет за собой и угрозы, связанные с безопасностью корпоративной сети. Ниже представлен перечень некоторых атак, которым подвержены сегодня организации, использующие почтовые e-mail-системы:

• трояны;
• целевой и нецелевой спам;
• фишинг организаций;
• Backscatter - bounce-сообщения;
• Email  Bombing - почтовая бомбардировка;
• Denial of Email Service (DoES) -отказ почтовой службы;
• эксплуатация (эксплойты) открытых релеев.

Простой взгляд на Web-сайты большинства компаний может дать атакующему злоумышленнику список e-mail-адресов для реализации, например, фишинг-атаки, рассылки вредоносного вложения или ссылки на хакерский сайт, после посещения которого на компьютеры пользователей незаметно будет установлено программное обеспечение, ворующее их пароли к корпоративным ресурсам или другую не менее ценную персональную информацию.

Если даже электронный почтовый адрес генерального директора не выложен на Web-сайте компании, это еще не означает, что он не может стать целью для атаки. Большинство компаний придерживаются стандартного формата e-mail-адресов - имя.фамилия@ком-пания.ш. Собирая и сравнивая эту информацию с Web-сайта, различных документов, выпускаемых компанией для публичного использования, пресс-релизов, новостей и т.п., хакер легко угадает легитимные почтовые адреса, принятые в той или иной организации, включая и адреса высшего руководства.

Атака на МТА

Если злоумышленники определили цель, то далее они могут действовать несколькими путями. Самая первая атака, использующая функционал e-mail-сообщений, была нацелена против уязвимостей так называемого mail transfer agent (МТА), или почтового сервера, -программы, отвечающей за доставку сообщения на определенный компьютер. Sendmail был первым и самым популярным МТА на заре возникновения Интернета, и в 1988 г. некорректность в его работе позволила червю Morris распространиться и наводнить собой значительную часть Всемирной паутины. Кто-то скажет, что это было двадцать лет назад и подобные угрозы изжили себя как вид, однако не советуем спешить с выводами. Достаточно зайти на официальный сайт производителя любого, даже самого современного, почтового сервера (например, Microsoft Exchange), чтобы обнаружить, что и он может содержать в себе уязвимости, которыми не замедлит воспользоваться удаленно хакер, реализуя атаку на вашу сеть.

Атаки на клиентские почтовые программы

Другой мишенью для атаки могут быть выбраны клиентские почтовые программы, такие как Microsoft Outlook или Lotus Notes. Почтовый клиент, как и любое другое приложение, обрабатывающее входные данные, может содержать в себе уязвимости. С точки зрения программирования можно уверенно сказать, что чем сложнее разрабатывается программа и чем больше она будет поддерживать различные для пользователей новшества, тем больше вероятность того, что в ее программном коде будут допущены ошибки. Возможности вложений в текст почтовых сообщений графических изображений, закодированной информации, а также усложнения функционала почтовых клиентов, какими бы интересными они ни казались рядовому пользователю, специалистам по информационной безопасности только увеличивают фронт работ. В 2003 г. просмотр собранного специальным образом почтового сообщения в формате html, ничем не отличающегося от обычного сообщения, позволял злоумышленнику запустить на компьютере с работающим уязвимым почтовым клиентом Outlook любую команду, какую бы он захотел.

Атака через почтовые вложения

В 1999 г. Melissa (первый успешный червь, использовавший   вложения   к  e-mail)  буквапы-ю взорвал Интернет и заставил осознать ИТ-департа-менты компаний по всему миру всю серьезность угроз, которые таят в себе почтовые вложения. До этого лишь немногие компании ограничивали пересылку исполняемых программ, то есть ехе-файлов по почте. После червя Melissa организации были вынуждены адаптировать свои системы безопасности к еще более сложной угрозе - теперь уже даже обычный файл данных может потенциально содержать в себе зловредный код! В результате - сейчас любое вложение должно быть про-сканировано, прежде чем оно попадет в корпоративную сеть. В большинстве случаев исполняемые файлы могут быть удалены из почтовых сообщений, но документы MS Office, PDF-файлы, графические изображения, архивные файлы и другие вложения могут также содержать зловредный код троя-на или червя, и их проверка должна осуществляться специализированными системами, так называемыми шлюзами безопасности почты (Security Email Gateway).

Фишинг

В ряду примеров распространенных способов атак на сети компаний, как уже было упомянуто выше, можно привести использование техник социальной инженерии или фишинга в почтовых сообщениях. При типичной фишинг-атаке злоумышленник рассылает множество подделанных почтовых сообщений, составленных так, как будто они отправлены от доверенного источника: известной всем торговой или финансовой компании (например, банка). В письме "жертву" всячески подталкивают обновить его персональную информацию, чтобы якобы не потерять доступ к специальным  сервисам   (доступ к банковскому on-line-счету и т.п.), и для этого ему подсовывается ссылка на официальный Web-сайт, по виду не вызывающая никаких сомнений.

Кликая на предлагаемую ссылку, пользователь переправляется на подделанный сайт злоумышленника, ничем не отличающийся от оригинального сайта (обычно его клон). Таким образом, "жертва", ничего не подозревая, заполняет предложенные формы и оставляет всю свою персональную информацию хакерам. Но даже если пользователь достаточно образован, чтобы не скачивать и не запускать никаких файлов и не заполнять форм, а он просто "кликнет" по предложенной в письме ссылке, то и в этом случае никто не даст гарантии, что злоумышленники не получат все его логины и пароли. Хакер может провести атаку в этом случае на Web-браузер пользователя, на компьютер которого будут скачаны все необходимые эксплоиты, которые начнут свою работу автоматически сразу после клика!

Спам

Вместе с перечисленными выше угрозами нельзя не упомянуть и про спам, который негативно влияет на производительность труда сотрудников, вынужденных ежедневно читать кучу ненужного им рекламного мусора и тратить на это свое рабочее время. Кроме того, технологии спама также широко используются хакерами для воровства и получения прибыли. Самым популярным на сегодня способом распространения спамерами их писем являются так называемые бот-сети, или "зомби", то есть сообщества компьютеров, ресурсы которых находятся под контролем хакеров. "Зомби" могут рассылать незаметно для их пользователей огромные количества спама, тем самым обеспечивая спамерам эффективность (средний объем атаки составляет 70-200 млн сообщений) и анонимность, ведь рассылка осуществляется с IP-адресов легитимных пользователей или компаний. Кто в последнее время из нас интересовался в диспетчере задач Windows, на что тратятся ресурсы ЦПУ нашего компьютера? По некоторым исследованиям весьма уважаемых аналитиков, почти одна четверть всех компьютеров в мире является участниками той или иной бот-сети!

Современные системы защиты почтового трафика

Представленная выше информация дает некоторое представление о том, насколько трудной и комплексной является на сегодняшний день задача защиты корпоративной e-mail-почты от угроз, связанных с доступом к общественным сетям и сети Интернет.

Как правило, за обеспечение безопасности корпоративной почты от угроз извне, рассмотренных нами в данной статье, в компании должно отвечать специализированное устройство или их комплекс.

Заключение

В заключение хотелось бы сказать, что в данной статье мы не рассматривали защиту электронной почты от угроз, связанных с ее несанкционированным просмотром и/или изменением в неблагонамеренных целях. Особенно эти темы актуальны в связи с недавним изменением нашего законодательства, в частности с новым Федеральным законом "О персональных данных". Проблемы легитимности шифрования и перлюстрации электронной почты требуют, на наш взгляд, отдельного, более подробного рассмотрения.