مقدمه
مي خواهيم ببينيم چرا نرم افزار ضدويروس بتنهايي براي محافظت سازمان شما در مقابل حمله ويروسهاي کامپيوتري فعلي و آينده کافي نيست. علاوه بر اينها گاهي به ابزاري قوي براي بررسي محتواي ايميلها براي حفاظت در مقابل حملات و ويروسهاي ايميل (منظور از ويروس ايميل ويروسي است که از طريق ايميل گسترش مي يابد) و جلوگيري از نشت اطلاعات نياز است. اما در هر صورت رعايت بعضي نکات هميشه توسط کاربران الزامي است.
خطرات ويروسهاي ايميل و اسبهاي تروا
استفاده گسترده از ايميل راه ساده اي را براي گسترش محتويات مضر در شبکه ها پيش روي هکرها قرار داده است. هکرها براحتي مي توانند از حصار ايجاد شده توسط يک فايروال از طريق نقب زدن از راه پروتکل ايميل عبور کنند، زيرا فايروال محتويات ايميل را بررسي نمي کند. CNN در ژانويه 2004 گزارش داد که ويروس MyDoom هزينه اي در حدود 250 ميليون دلار را بدليل آسيب هاي وارده و هزينه هاي پشتيباني فني بر شرکتها تحميل کرده است ، اين در حاليست که NetworkWorld هزينه هاي مقابله با Blaster، SoBig.F ، Wechia و ساير ويروسهاي ايميل تا سپتامبر 2003 را تنها براي شرکتهاي ايالات متحده 3/5 ميليارد دلار ذکر کرد. (يعني عدد 35 با هشت تا صفر جلوش!!!)
بعلاوه، از ايميل براي نصب اسبهاي تروا استفاده مي شود که مشخصاً سازمان شما را براي بدست آوردن اطلاعات محرمانه يا بدست گيري کنترل سرورتان، هدف مي گيرند. اين ويروسها که خبرگان امنيت از آنها بعنوان ويروسهاي جاسوسي ياد مي کنند، ابزار قدرتمندي در جاسوسي صنعتي بشمار ميروند! يک مورد آن حمله ايميلي به شبکه مايکروسافت در اکتبر2000 است که يک سخنگوي شرکت مايکروسافت از آن بعنوان “يک عمل جاسوسي ساده و تميز” ياد کرد. برطبق گزارشها، شبکه مايکروسافت توسط يک ترواي backdoor که به يک کاربر شبکه توسط ايميل ارسال شده بود، هک شد.
خطر نشت و فاش شدن اطلاعات
سازمانها اغلب در آگاهي دادن به کارکنانشان نسبت به وجود مخاطرات دزدي داده هاي مهم شرکتهايشان ، کوتاهي مي کنند. مطالعات مختلف نشان داده است که چگونه کارمندان از ايميل بمنظور فرستادن اطلاعات حقوقي محرمانه استفاده مي کنند. گاهي آنها اينکار را از روي ناراحتي يا کينه توزي انجام مي دهند. گاهي بدليل عدم درک مناسب از ضربه مهلکي است که در اثر اين عمل به سازمان وارد مي شود. گاهي کارمندان از ايميل براي به اشتراک گذاري داده هاي حساسي استفاده مي کنند که رسماً مي بايست در داخل سازمان باقي مي ماند.
بر طبق مطالعات و پرس وجوهاي Hutton در انگلستان در سال 2003 نشان داده شد که صاحب منصبان دولتي و اعضاء هيات رئيسه BBC از ايميل براي فاش ساختن اطلاعاتي که محرمانه بوده اند استفاده کرده اند. مقاله اي در مارس 1999 در PC Week به تحقيقي اشاره کرد که طي آن از ميان 800 پرسنل مورد مطالعه، 21 تا 31 درصد آنها به ارسال اطلاعات محرمانه ـ مانند اطلاعات مالي يا محصولات ـ به افراد خارج از شرکتشان اعتراف کرده اند.
خطر ايميلهاي دربردارنده محتويات بدخواهانه يا اهانت آور
ايميلهاي ارسالي توسط کارکنان که حاوي مطالب نژادپرستانه، امور جنسي يا ساير موضوعات ناخوشايند است، مي تواند يک شرکت را از نقطه نظر قانوني آسيب پذير نمايد. در سپتامبر 2003 مشاوران شرکت مالي Holden Meehan مجبور به پرداخت 10هزار پوند به يکي از کارکنان سابق بدليل ناتواني در محافظت وي در مقابل آزار ايميلي! شدند. Chevron مجبور به پرداخت 2/2 ميليون دلار به چهار نفر از کارکنانش شد که به وضوح ايميلهاي آزاردهنده جنسي دريافت کرده بودند. تحت قانون انگليس، کارفرمايان مسوول ايميلهايي هستند که توسط کارکنانشان در مدت استخدامشان نوشته و ارسال مي شود، خواه کارفرما راضي به آن ايميل بوده باشد، خواه نباشد. مبلغي معادل 450هزار دلار از شرکت بيمه Norwich Union طي يک توافق خارج از دادگاه بخاطر ارسال توضيحات مربوط به يک سري از مسابقات درخواست شد.
روشهاي استفاده شده براي حمله به سيستم ايميل
براي درک انواع تهديدات ايميلي که امروزه وجود دارد، نگاهي اجمالي به روشهاي اصلي فعلي حملات ايميلي مي اندازيم:
ضميمه هايي با محتواي آسيب رسان
Melissa و LoveLetter جزو اولين ويروسهايي بودند که مساله ضميمه هاي (Attachments) ايميل و اعتماد را نشان دادند. آنها از اعتمادي که بين دوستان و همکاران وجود داشت استفاده مي کردند. تصور کنيد يک ضميمه از دوستي دريافت مي کنيد که از شما مي خواهد آن را باز کنيد. اين هماني است که در Melissa، AnnaKournikova، SirCam و ساير ويروسهاي ايميلي مشابه اتفاق مي افتاد. به محض اجرا شدن، چنين ويروسهايي معمولا خودشان را به آدرسهاي ايميلي که از دفترچه آدرس شخص قرباني بدست مياورند و به ايميلهايي که صفحات وب ذخيره مي کنند، ارسال مي کنند. ويروس نويسان تاکيد زيادي روي اجراي ضميمه اي که توسط قرباني دريافت مي شود، دارند.بنابراين براي نام ضميمه ها از عناوين متفاوت و جذاب مانند SexPic.cmd و me.pif استفاده مي کنند.
بسياري از کاربران سعي مي کنند که از سرايت ويروسهاي ايميل جلوگيري کنند و فقط روي فايلهايي با پسوندهاي مشخص مانند JPG و MPG کليک مي کنند. بهرحال بعضي ويروسها، مانند کرم AnnaKournikova، از پسوند چندتايي بمنظور گول زدن کاربر براي اجراي آن استفاده مي کند. ويروس AnnaKournikova از طريق ضميمه ايميل و با عنوان ‘AnnaKournikova.jpg.vbs’ منتقل ميشد که دريافت کننده را متقاعد مي کرد که يک تصوير به فرمت JPG را از ستاره مشهور تنيس دريافت کرده است تا اينکه فايل ضميمه يک اسکريپت ويژوال بيسيک حاوي کدهاي آسيب رسان باشد.
بعلاوه، پسوند Class ID (CLSID) به هکرها اين اجازه را مي دهد که پسوند واقعي فايل را پنهان کنند و بدينوسيله اين حقيقت که cleanfile.jpg يک برنامه HTML مي باشد پنهان مي ماند. اين روش در حال حاضر نيز فيلترهاي محتواي ايميل را که از روشهاي ساده بررسي فايل استفاده مي کنند، فريب مي دهد و به هکر امکان رسيدن به کاربر مقصد را به سادگي مي دهد.
ايميلهاي راه اندازنده اکسپلويت هاي شناخته شده
اکسپلويت در حقيقت استفاده از شکافهاي امنيتي موجود است. کرم Nimda اينترنت را با شگفتي مواجه کرد و با گول زدن بسياري از ابزار امنيت ايميل و نفوذ به سرورها و شبکه هاي بزرگ و سرايت کردن به کابران خانگي، اينترنت را فراگرفت. حقه بکارگرفته شده توسط Nimda اين است که روي کامپيوترهايي که نسخه آسيب پذيري از IE يا Outlook Express را دارند، بطور خودکار اجرا مي شود. Nimda از اولين ويروسهايي بود که از يکي از اين شکافها بمنظور انتشار بهره برداري مي کنند. براي مثال، انواعي از ويروس Bagle که در مارس 2004 ظهور کردند، از يکي از شکافهاي اوليه Outlook براي انتشار بدون دخالت کاربر استفاده مي کردند.
ايميلهاي با فرمت HTML دربردارنده اسکريپت
امروزه، تمام استفاده کنندگان ايميل مي توانند ايميلهاي HTML را ارسال و دريافت کنند. ايميل با فرمت HTML مي تواند اسکريپتها و محتويات فعالي را دربرگيرد که مي توانند به برنامه يا کدها اجازه اجرا روي سيستم دريافت کننده را دهند. Outlook و محصولات ديگر از اجزا IE براي نمايش ايملهاي HTML استفاده مي کنند، به اين معني که اينها شکافهاي امنيتي موجود در IE را به ارث مي برند!
ويروسهاي بر پايه اسکريپتهاي HTML خطر مضاعف توانايي اجراي خودکار را، وقتي که ايميل آسيب رسان باز مي شود، دارند. آنها به ضميمه ها متوسل نمي شوند؛ بنابراين فيلترهاي ضميمه که در نرم افزارهاي ضدويروس وجود دارند در نبرد با ويروسهاي اسکريپت HTML بلااستفاده هستند. براي مثال ويروس BadTrans.B از HTML براي اجراي خودکار در هنگام بازشدن استفاده مي کند و از يک اکسپلويت ايميل با فرمت HTML براي انتشار استفاده مي کند.
آساني توليد يک ويروس در سالهاي اخير
با داشتن اطلاعات مختصري مثلا در مورد ويژوال بيسيک، مي توان با بهره گيري از شکافهاي امنيتي، باعث آشفتگي در شبکه ها و سيستم هاي استفاده کنندگان ايميل شد. مطالعه بعضي سايت ها ، شما را با بعضي از شکافهاي موجود در Outlook و نحوه بهره گيري از آنها آشنا خواهد کرد. حتي بعضي از کدها نيز در دسترس شما خواهد بود و با تغييرات اندکي مي توانيد ويروسي توليد کنيد که کدهاي مورد نظر شما را اجرا کند. براي مثال مي توانيد ويروسي توليد کنيد که شخص قرباني بمحض باز کردن ايميل حاوي آن در Outlook ، کدهاي مورد نظر شما اجرا شود. به اين ترتيب تمام فايلهاي HTML آلوده مي شود و اين ويروس به تمام آدرسهاي موجود در دفترچه آدرس سيستم آلوده شده فرستاده مي شود. در اصل، ويژگي کليدي اين ويروس اجرا شدن آن بمحض باز شدن ايميل حاوي HTML آسيب رسان است.
آيا نرم افزار ضدويروس يا فايروال براي مقابله کافيست؟
بعضي سازمانها با نصب کردن يک فايروال، خيال خود را از بابت امنيت آسوده مي کنند. البته اين يک گام ضروري براي محافظت از شبکه داخليشان است اما کافي نيست. فايروالها مي توانند شبکه شما را از دسترس کاربران غيرمجاز مصون بدارند، اما محتواي ايميلهايي را که توسط کاربران مجاز از طريق شبکه ارسال و دريافت مي شود، بررسي نمي کنند. به اين معني که ويروسهاي ايميلي! مي توانند از اين سطح امنيتي عبور کنند.
در ضمن، نرم افزارهاي ويروس ياب نيز نمي توانند سيستم ها را عليه تمام حمله ها و ويروسهاي ايميلي محافظت کنند. توليدکنندگان نرم افزارهاي ضدويروس نمي توانند همواره برعليه ويروسهاي مهلکي که از طريق ايميل در عرض چند ساعت در کل دنيا پراکنده مي شوند (مانند کرمهاي MyDoom ، NetSky.B و Beagle ) مراقبت کامل کنند. بنابراين تکيه تنها بر موتور جستجوي ويروس نيز باعث مراقبت کامل نمي گردد. براي مثال، يک مطالعه در سال 2004 توسط دولت بريتانيا نشان مي دهد که اگرچه 99? از شرکتهاي بزرگ انگليسي از ضدويروس استفاده مي کنند، اما ?68 از آنها در طي سال 2003 به ويروسهاي مختلف آلوده شده اند. يک تحقيق که در سال 2003 در آزمايشگاههاي تحقيقاتي هيولت ـ پکارد در بريستول انجام شد، نشان داد که کرمها از نسخه هاي به روز ضدويروس ها بمراتب سريعتر گسترش پيدا مي کنند.
راه حل : يک رويکرد پيشگيرانه
بنابراين چگونه مي توان عليه اين خطرات ايميلي محافظت شد؟ در حقيقت به يک رويکرد پيشگيرانه نياز است تا محتواي تمام ايميلهايي وارد شونده و خارج شونده قبل از رسيدن به کاربران، در سطح سِرور بررسي شود. به اين ترتيب، تمام محتواي مضر از ايميل آلوده حذف مي گردد و سپس به کاربر فرستاده مي شود. سازمانها و شرکتها با نصب يک فيلتر جامع براي بررسي محتواي ايميلها و يک دروازه (gateway) ضدويروس برروي سرويس دهنده ايميل، مي توانند در مقابله آسيب رساني هاي بالقوه و از بين رفتن زمان مفيد کار توسط ويروس هاي فعلي و آينده ، خود را محافظت کنند.
در اينجا به قابليتهاي يک فيلتر خوب براي نصب در سرويس دهنده ايميل براي جلوگيري از آلوده شدن توسط ويروسهاي ايميلي اشاره مي شود:
- بررسي محتواي ايميل
- کشف بهره برداريها از شکافهاي امنيتي (اکسپلويتها)
- تحليل خطرات
- راه حلهاي ضدويروسي
موارد فوق براي ازبين بردن انواع خطراتي است که توسط ايميلها منتقل مي شود، قبل از اينکه بتوانند کاربران ايميل را تحت تاثير قرار دهند.
ويژگيهاي زير را نيز مي توان به فيلتر مذکور اضافه کرد:
- دربرداشتن چندين موتور ويروس براي بالا بردن نرخ کشف ويروس و پاسخ سريعتر به ويروسهاي جديد.
- بررسي پيوستهاي ايميلها براي مصونيت در مقابل ضميمه هاي خطرناک
- يک سپر در مقابل اکسپلويتها براي محافظت در مقابل ويروسهاي فعلي و آتي که برپايه اکسپلويتها ايجاد گشته اند.
- يک موتور بررسي خطرات HTML براي از کار انداختن اسکريپتهاي HTML
- يک پويش گر براي ترواها و فايلهاي اجرايي براي کشف فايلهاي اجرايي آسيب رسان
- و ...
مهم ترين و آخرين نکته که تا کنون چندين بار به آن اشاره شده است اين است که ايميلهاي ناشناخته را باز نکنيد.
منبع: www.ircert.com/ن