History repeating...
Как показывает история, научно-технический прогресс приносит с собой не только какие-то новые возможности, но и целую кучу новых проблем. Геморрой нового поколения, так сказать. Никакое техническое средство не может быть совершенно, поэтому любой компетентный человек, при наличии смекалки, может изобрести способ его нестандартного применения. Любое техническое средство лишь инструмент, который может быть полезен в работе, с помощью которого можно зарабатывать деньги и который может даже стать опасным оружием - весь вопрос лишь в том, кто и как его использует. Электронная почта не является исключением. Наверняка многие из тех, кто пользуется e-mail, получали какие-то непонятные письма, swap файлы или объектный код, подвергались mail-бомбардировке, получали ANSI бомбы, программы, содержащие в себе вирус, и прочую дребедень. Для многих это становится настоящей головной болью - в особенности для тех, кто вынужден ждать, пока его захлебывающийся модем перекачает всю эту гадость с почтового сервера на локальную машину. В этой статье я попытаюсь разобрать, какие гадости существуют и как их классифицировать. Разумеется, я не претендую на полную объективность, равно как и на глубокое исследование всего спектра возможностей e-mail-хулиганства, но рассказать тебе о том, что знаю сам - просто должен. E-mail-гадости можно разделить на пять основных категорий: Fake mail, Spam mail, Mail flood, Virus via email, Mailing list flood. Про них-то я тебе, дружище, и расскажу.
Fake mail
Fake - в переводе на русский язык означает "подделка". Можно ли подделать E-mail? Можно (запросто!), но нужно иметь ввиду, что подделку знающий человек сможет отличить от оригинала, причем он сможет даже выяснить адрес, откуда она пришла, достаточно лишь взглянуть на полный заголовок письма. Обычно почтовые клиенты не показывают весь заголовок, но стоит открыть письмо в любом текстовом редакторе, становится возможным просмотреть весь маршрут письма. Клиенты показывают только последний FROM: из заголовка, поэтому рядовой пользователь обычно воспринимает подделку за чистую монету. Существует множество способов подделки писем, самый простой из которых - настроить, к примеру, Netscape Messenger на другого пользователя. Прочитать письма этого пользователя пытаться не стоит, так как для чтения писем с Mail сервера используется POP3 протокол, который для авторизации спросит пароль, а вот посылать письмо от имени этого пользователя можно запросто. Большинство способов подделки писем основывается на SMTP (Simple Mail Transfer Protocol). SMTP-порты доступны для подключения из вне практически на всех mail серверах. Лучше всего, на мой взгляд, пользоваться SMTP напрямую, то есть телнетом подключиться на smtp-порт (как правило, порт №25) и вручную, используя команды SMTP, создать fake послание. Выглядит же подобная процедура примерно так.
Предположим, что необходимо послать человеку с адресом [email protected] от несуществующего адреса [email protected] сообщение: "You are under attack!"
Подключаемся телнетом к удаленному хосту
telnet destination.host.com 25.
При удачном подключении последний выведет информацию о версии Sendmail на сервере. Вежливые программы, как и люди, обычно при встрече здороваются, поэтому поздороваемся и мы:
>нelo amail.
Теперь, после соблюдения всех любезностей, приступим к делу. Сообщим ему, от кого пришло это письмо:
>mail from: [email protected].
На что он обычно отвечает "Sender OK", теперь надо сказать, кому, собственно, адресовано это послание:
>rcpt to: [email protected].
Если такой адрес действительно существует, то он должен ответить: "Recipient OK".
Ну и, наконец, само сообщение:
>Data
>You are under attack!!!
>.
После команды data передается сам текст сообщения, признаком конца которого является точка в начале последней строки. Получив известие об удачной отправке письма, можно завершить соединение командой: "quit".
Теперь небольшая хитрость: если требуется послать письмо от имени существующего пользователя, то лучше всего подключаться к mail серверу "отправителя", тогда подделка будет еще более правдоподобной, при посылке письма к e-mail адресу даже допишется имя и фамилия пользователя (я тебе этого не говорил). Однако не все так просто, как может показаться. Раньше это проходило всегда, теперь же на большинстве серверов послать письмо от имени пользователя этой сети с удаленного хоста нельзя, при попытке выдается сообщение вроде: " Sorry we do not relay".
Тем не менее, это будет работать всегда, если "отправитель" находится с тобой в одной локальной сети.
Защита: на юзерском уровне - нет. На админском - только запретом отсылки почты с других сетей, но чаще всего это неудобно для юзеров.
Spam mail
Обычно рассылается от имени различных компаний и содержит в себе рекламу их продукции. Также к этой категории относятся письма с предложениями заняться многоуровневым маркетингом или различными видами финансовых пирамид (о, как они меня забодали! - прим. ред.). Существуют также и люди, которые за некоторую плату осуществляют рассылку Spam Mail. Используя соответствующий софт, они выковыривают e-mail адреса с Web страниц, Newsgroups, Mail конференций. Неплохой способ зарабатывать деньги, однако оказаться жертвой спамеров - это... Неприятно это, короче. Представь себе, что реклама вроде "...супер-сжигательжирасовстроеннымвелотренажером"Казанова"совершеннобесплатносдоставкойнадомвсегоза$555,3приэтомвыполучаетевпридачуабсолютнобесплатносупернаборспиннинговыхблесенсовстроеннымибиотуалетами"Зеленовка"есливыотправитезаказпрямосейчасвыполучитеещепятьбиотуалетовинаборцветнойтуалетнойбумагибесплатно..." приходит тебе три-четыре раза в день с разных адресов. Я вот, например, на стенку от этого лезу! А ведь у нас, в России, спамеров пока немного, что, впрочем, не означает, что этого явления можно не опасаться (представь, что будет, когда их станет много). На западе спам стал настоящей головной болью. Со спамерами пытаются бороться, устанавливая на свои почтовые ящики различные фильтры, но ничего действительно эффективного пока придумано не было. Спамеры по прежнему продолжают свое дело. По совести говоря, их даже не в чем упрекнуть, никаких законов они не нарушают.
Защита: фильтры по характерным словам (типа SEX, FREE, PORNO и т.д.); скрытие своего мыла в письмах, на досках конференций и т.д. Скрывать можно легко. Например, написав вместо своего [email protected] - [email protected] и подпись "При ответе уберите NOSPAM". Человеку 5 букв убрать - как нефига делать, а вот робот, который в тупую собирает адреса с www-борд, обломается, когда впишет этот "кривой" адрес в свой список. А лучше всего поставь себе мылер "The Bat!" и пользуйся диспетчером почты и фильтрами одновременно. Тогда тебе не придется выкачивать весь этот мусор только для того, чтоб сунуть его в папку "Deleted mail", все будет удаляться прямо на сервере.
Mail Flood
Наиболее распространенное явление (готов поспорить, если ты пользуешься е-майлом хотя бы год - тебе это не понаслышке знакомо). Некоторым доставляет удовольствие рассылка объектного или выполняемого кода, к примеру, ядра операционной системы. К этой категории можно отнести также мэйл бомберы - небольшие программы (которые легко можно раздобыть на любом хакерском сайте), использующие технологию Fake Mail для рассылки нескольких сотен коротких писем со случайно-сгенерированными обратными адресами, а также ANSI бомбы. Ни для кого не секрет, что множество пользователей Интернет пользуются текстовыми терминалами (VT100 и т.п.). Управление подобными терминалами осуществляется ESC последовательностями. Некоторые из этих последовательностей заставляют терминал попросту сходить с ума, таким образом, не очень продвинутый юзер остается совершенно беспомощным перед неработающим терминалом.
Защита: хм... тяжело защититься, но можно. Например, поставь в своем мылере в рулесах (правилах) новое правило - письма, которые весят больше полутора метров, не качать, а сразу удалять. Но... При такой защите твой друг Вася Пупкин будет долго пытаться прислать тебе его свеженаписанную программу по снятию лифчиков на фотках девушек, весящую 3 Мб.
Virus via e-mail
Сравнительно новая категория неприятностей, связанных с электронной почтой. Появилось несколько модификаций вирусов, распространяющихся по e-mail и заражающих почтовых клиентов. К этой категории можно также отнести троянских коней, рассылаемых по e-mail. Стоит подумать (головой!) прежде чем запускать что-то прицепленное к письму, но чаще (увы!) любопытство берет верх над здравомыслием. Кстати, троянов чаще всего по мылу и распространяют. Есть 2 способа: либо суют "чистого" трояна, называя его какой-нибудь нужной "клиенту" программулиной, либо склеивают трояна с нормальной прогой и предлагают жертве ее протестировать. Глупый юзер пользуется прогой, а в это время вся его инфа уже давно "тю-тю"... Ну и, естественно, макровирусы и java-script вирусы. Вот уж кто любит почту!
Защита: Во-первых, не открывай никаких файлов, приаттаченных к письму, если не уверен на все 100%, что это безопасно. Во-вторых, антивирус, антивирус и еще раз антивирус. Здесь поможет только он. Не открывай приаттаченный файл, а сохраняй его и тут же скань антивирусом (не забывая его обновлять каждую неделю). Я, например, пользуюсь AVP от Касперского.
Mailing list flood
Сначала краткое отступление для тех, кто не знает, что такое Mailing List и как им пользоваться. Mailing list представляет собой offline-конференцию на определенную тематику. Предположим, что существует Mailing list с названием FOO и соответствующим адресом [email protected] . Вы посылаете свои сообщения или ответы на письма других участников конференции по этому адресу, а эти послания автоматически рассылаются всем подписчикам. Для того чтобы добавить или удалить себя из списка подписчиков, необходимо послать e-mail по адресу [email protected] на обычном человеческом языке или языке программы-автомата, следящего за конференцией, запрос на подписку. Многие мэйл-листы используют Majordomo - автоматический List Maintainer. У этих автоматов нет единого языка, поэтому встречаются различные варианты, но в общих чертах процесс выглядит примерно так: пользователь посылает письмо по адресу [email protected], [email protected] или [email protected] и пишет команду "SUBSCRIBE FOO" в тексте сообщения. Некоторые программы, чтобы предотвратить возможные недоразумения, сканирует все сообщение на слова типа: "SUBSCRIBE", "UNSUBSCRIBE" и "HELP".
Подобный soft облегчает жизнь администраторам почтовых конференций, но и такая технология не лишена недостатков. В пример можно привести относительно невинную шутку: запустить собственноручно написанную программу, которая, используя SMTP, пошлет от имени вашего знакомого по адресу [email protected] или даже по целому списку адресов запрос на подписку.
А теперь немного поразмышляем о возможных неприятностях, вытекающих из вышесказанного. Представим себе, что будет, если послать запрос на подписку с обратным адресом самой конференции? Mailing list автоматически рассылает всем участникам пришедшее на его адрес письмо, в том числе и себе самому. Таким образом сообщение многократно дублируется до тех пор, пока не вмешается администратор. Mailing list, подписанный сам на себя, назовем генератором.
Далее, представим себе набор конференций, подписанных одна на другую по замкнутой цепочке, которую можно назвать кольцом. Прикольно представить себе человека, подписавшегося на конференцию кулинарных рецептов и получающего сообщения о вопросах написания Java-скриптов или о проблемах электромобилей.
Теперь представим группу конференций, каждая из которой подписывается на все остальные. Такую группу назовем резонатором. E-mail, появившийся в одном из мэйл листов, начинает размножаться в геометрической прогрессии.
Таким образом конференции могут быть связаны в группу с различной топологией, куда могут входить в разных сочетаниях как кольца и генераторы, так и резонаторы.
Только не думай, что вышеописанную гадость устроить проще простого. На больших серверах, содержащих mail lists, кроме запроса на подписку необходимо еще также послать подтверждение, когда автомат пришлет соответствующее письмо с UserID. Но нет ничего невозможного (гы-гы-гы), поскольку существует множество маленьких конференций, использующих не столь заумный софт, где вас подпишут по первой же просьбе.
Защита: ты защитится можешь только фильтром. Но настроить его правильно будет не просто, но можно. Так что в случае, если ты попал в такую заварушку, пиши админу mail list'а, чтобы он там много пива не пил, а баги лучше чистил.
Все прочитал, все понял? Отлично! Теперь ты знаешь систему, а это главное. Можешь открывать свой мейлер, настраивать и, наконец-то, качать почту без стрема, что над тобой сейчас поработают злые хацкеры.
Как показывает история, научно-технический прогресс приносит с собой не только какие-то новые возможности, но и целую кучу новых проблем. Геморрой нового поколения, так сказать. Никакое техническое средство не может быть совершенно, поэтому любой компетентный человек, при наличии смекалки, может изобрести способ его нестандартного применения. Любое техническое средство лишь инструмент, который может быть полезен в работе, с помощью которого можно зарабатывать деньги и который может даже стать опасным оружием - весь вопрос лишь в том, кто и как его использует. Электронная почта не является исключением. Наверняка многие из тех, кто пользуется e-mail, получали какие-то непонятные письма, swap файлы или объектный код, подвергались mail-бомбардировке, получали ANSI бомбы, программы, содержащие в себе вирус, и прочую дребедень. Для многих это становится настоящей головной болью - в особенности для тех, кто вынужден ждать, пока его захлебывающийся модем перекачает всю эту гадость с почтового сервера на локальную машину. В этой статье я попытаюсь разобрать, какие гадости существуют и как их классифицировать. Разумеется, я не претендую на полную объективность, равно как и на глубокое исследование всего спектра возможностей e-mail-хулиганства, но рассказать тебе о том, что знаю сам - просто должен. E-mail-гадости можно разделить на пять основных категорий: Fake mail, Spam mail, Mail flood, Virus via email, Mailing list flood. Про них-то я тебе, дружище, и расскажу.
Fake mail
Fake - в переводе на русский язык означает "подделка". Можно ли подделать E-mail? Можно (запросто!), но нужно иметь ввиду, что подделку знающий человек сможет отличить от оригинала, причем он сможет даже выяснить адрес, откуда она пришла, достаточно лишь взглянуть на полный заголовок письма. Обычно почтовые клиенты не показывают весь заголовок, но стоит открыть письмо в любом текстовом редакторе, становится возможным просмотреть весь маршрут письма. Клиенты показывают только последний FROM: из заголовка, поэтому рядовой пользователь обычно воспринимает подделку за чистую монету. Существует множество способов подделки писем, самый простой из которых - настроить, к примеру, Netscape Messenger на другого пользователя. Прочитать письма этого пользователя пытаться не стоит, так как для чтения писем с Mail сервера используется POP3 протокол, который для авторизации спросит пароль, а вот посылать письмо от имени этого пользователя можно запросто. Большинство способов подделки писем основывается на SMTP (Simple Mail Transfer Protocol). SMTP-порты доступны для подключения из вне практически на всех mail серверах. Лучше всего, на мой взгляд, пользоваться SMTP напрямую, то есть телнетом подключиться на smtp-порт (как правило, порт №25) и вручную, используя команды SMTP, создать fake послание. Выглядит же подобная процедура примерно так.
Предположим, что необходимо послать человеку с адресом [email protected] от несуществующего адреса [email protected] сообщение: "You are under attack!"
Подключаемся телнетом к удаленному хосту
telnet destination.host.com 25.
При удачном подключении последний выведет информацию о версии Sendmail на сервере. Вежливые программы, как и люди, обычно при встрече здороваются, поэтому поздороваемся и мы:
>нelo amail.
Теперь, после соблюдения всех любезностей, приступим к делу. Сообщим ему, от кого пришло это письмо:
>mail from: [email protected].
На что он обычно отвечает "Sender OK", теперь надо сказать, кому, собственно, адресовано это послание:
>rcpt to: [email protected].
Если такой адрес действительно существует, то он должен ответить: "Recipient OK".
Ну и, наконец, само сообщение:
>Data
>You are under attack!!!
>.
После команды data передается сам текст сообщения, признаком конца которого является точка в начале последней строки. Получив известие об удачной отправке письма, можно завершить соединение командой: "quit".
Теперь небольшая хитрость: если требуется послать письмо от имени существующего пользователя, то лучше всего подключаться к mail серверу "отправителя", тогда подделка будет еще более правдоподобной, при посылке письма к e-mail адресу даже допишется имя и фамилия пользователя (я тебе этого не говорил). Однако не все так просто, как может показаться. Раньше это проходило всегда, теперь же на большинстве серверов послать письмо от имени пользователя этой сети с удаленного хоста нельзя, при попытке выдается сообщение вроде: " Sorry we do not relay".
Тем не менее, это будет работать всегда, если "отправитель" находится с тобой в одной локальной сети.
Защита: на юзерском уровне - нет. На админском - только запретом отсылки почты с других сетей, но чаще всего это неудобно для юзеров.
Spam mail
Обычно рассылается от имени различных компаний и содержит в себе рекламу их продукции. Также к этой категории относятся письма с предложениями заняться многоуровневым маркетингом или различными видами финансовых пирамид (о, как они меня забодали! - прим. ред.). Существуют также и люди, которые за некоторую плату осуществляют рассылку Spam Mail. Используя соответствующий софт, они выковыривают e-mail адреса с Web страниц, Newsgroups, Mail конференций. Неплохой способ зарабатывать деньги, однако оказаться жертвой спамеров - это... Неприятно это, короче. Представь себе, что реклама вроде "...супер-сжигательжирасовстроеннымвелотренажером"Казанова"совершеннобесплатносдоставкойнадомвсегоза$555,3приэтомвыполучаетевпридачуабсолютнобесплатносупернаборспиннинговыхблесенсовстроеннымибиотуалетами"Зеленовка"есливыотправитезаказпрямосейчасвыполучитеещепятьбиотуалетовинаборцветнойтуалетнойбумагибесплатно..." приходит тебе три-четыре раза в день с разных адресов. Я вот, например, на стенку от этого лезу! А ведь у нас, в России, спамеров пока немного, что, впрочем, не означает, что этого явления можно не опасаться (представь, что будет, когда их станет много). На западе спам стал настоящей головной болью. Со спамерами пытаются бороться, устанавливая на свои почтовые ящики различные фильтры, но ничего действительно эффективного пока придумано не было. Спамеры по прежнему продолжают свое дело. По совести говоря, их даже не в чем упрекнуть, никаких законов они не нарушают.
Защита: фильтры по характерным словам (типа SEX, FREE, PORNO и т.д.); скрытие своего мыла в письмах, на досках конференций и т.д. Скрывать можно легко. Например, написав вместо своего [email protected] - [email protected] и подпись "При ответе уберите NOSPAM". Человеку 5 букв убрать - как нефига делать, а вот робот, который в тупую собирает адреса с www-борд, обломается, когда впишет этот "кривой" адрес в свой список. А лучше всего поставь себе мылер "The Bat!" и пользуйся диспетчером почты и фильтрами одновременно. Тогда тебе не придется выкачивать весь этот мусор только для того, чтоб сунуть его в папку "Deleted mail", все будет удаляться прямо на сервере.
Mail Flood
Наиболее распространенное явление (готов поспорить, если ты пользуешься е-майлом хотя бы год - тебе это не понаслышке знакомо). Некоторым доставляет удовольствие рассылка объектного или выполняемого кода, к примеру, ядра операционной системы. К этой категории можно отнести также мэйл бомберы - небольшие программы (которые легко можно раздобыть на любом хакерском сайте), использующие технологию Fake Mail для рассылки нескольких сотен коротких писем со случайно-сгенерированными обратными адресами, а также ANSI бомбы. Ни для кого не секрет, что множество пользователей Интернет пользуются текстовыми терминалами (VT100 и т.п.). Управление подобными терминалами осуществляется ESC последовательностями. Некоторые из этих последовательностей заставляют терминал попросту сходить с ума, таким образом, не очень продвинутый юзер остается совершенно беспомощным перед неработающим терминалом.
Защита: хм... тяжело защититься, но можно. Например, поставь в своем мылере в рулесах (правилах) новое правило - письма, которые весят больше полутора метров, не качать, а сразу удалять. Но... При такой защите твой друг Вася Пупкин будет долго пытаться прислать тебе его свеженаписанную программу по снятию лифчиков на фотках девушек, весящую 3 Мб.
Virus via e-mail
Сравнительно новая категория неприятностей, связанных с электронной почтой. Появилось несколько модификаций вирусов, распространяющихся по e-mail и заражающих почтовых клиентов. К этой категории можно также отнести троянских коней, рассылаемых по e-mail. Стоит подумать (головой!) прежде чем запускать что-то прицепленное к письму, но чаще (увы!) любопытство берет верх над здравомыслием. Кстати, троянов чаще всего по мылу и распространяют. Есть 2 способа: либо суют "чистого" трояна, называя его какой-нибудь нужной "клиенту" программулиной, либо склеивают трояна с нормальной прогой и предлагают жертве ее протестировать. Глупый юзер пользуется прогой, а в это время вся его инфа уже давно "тю-тю"... Ну и, естественно, макровирусы и java-script вирусы. Вот уж кто любит почту!
Защита: Во-первых, не открывай никаких файлов, приаттаченных к письму, если не уверен на все 100%, что это безопасно. Во-вторых, антивирус, антивирус и еще раз антивирус. Здесь поможет только он. Не открывай приаттаченный файл, а сохраняй его и тут же скань антивирусом (не забывая его обновлять каждую неделю). Я, например, пользуюсь AVP от Касперского.
Mailing list flood
Сначала краткое отступление для тех, кто не знает, что такое Mailing List и как им пользоваться. Mailing list представляет собой offline-конференцию на определенную тематику. Предположим, что существует Mailing list с названием FOO и соответствующим адресом [email protected] . Вы посылаете свои сообщения или ответы на письма других участников конференции по этому адресу, а эти послания автоматически рассылаются всем подписчикам. Для того чтобы добавить или удалить себя из списка подписчиков, необходимо послать e-mail по адресу [email protected] на обычном человеческом языке или языке программы-автомата, следящего за конференцией, запрос на подписку. Многие мэйл-листы используют Majordomo - автоматический List Maintainer. У этих автоматов нет единого языка, поэтому встречаются различные варианты, но в общих чертах процесс выглядит примерно так: пользователь посылает письмо по адресу [email protected], [email protected] или [email protected] и пишет команду "SUBSCRIBE FOO" в тексте сообщения. Некоторые программы, чтобы предотвратить возможные недоразумения, сканирует все сообщение на слова типа: "SUBSCRIBE", "UNSUBSCRIBE" и "HELP".
Подобный soft облегчает жизнь администраторам почтовых конференций, но и такая технология не лишена недостатков. В пример можно привести относительно невинную шутку: запустить собственноручно написанную программу, которая, используя SMTP, пошлет от имени вашего знакомого по адресу [email protected] или даже по целому списку адресов запрос на подписку.
А теперь немного поразмышляем о возможных неприятностях, вытекающих из вышесказанного. Представим себе, что будет, если послать запрос на подписку с обратным адресом самой конференции? Mailing list автоматически рассылает всем участникам пришедшее на его адрес письмо, в том числе и себе самому. Таким образом сообщение многократно дублируется до тех пор, пока не вмешается администратор. Mailing list, подписанный сам на себя, назовем генератором.
Далее, представим себе набор конференций, подписанных одна на другую по замкнутой цепочке, которую можно назвать кольцом. Прикольно представить себе человека, подписавшегося на конференцию кулинарных рецептов и получающего сообщения о вопросах написания Java-скриптов или о проблемах электромобилей.
Теперь представим группу конференций, каждая из которой подписывается на все остальные. Такую группу назовем резонатором. E-mail, появившийся в одном из мэйл листов, начинает размножаться в геометрической прогрессии.
Таким образом конференции могут быть связаны в группу с различной топологией, куда могут входить в разных сочетаниях как кольца и генераторы, так и резонаторы.
Только не думай, что вышеописанную гадость устроить проще простого. На больших серверах, содержащих mail lists, кроме запроса на подписку необходимо еще также послать подтверждение, когда автомат пришлет соответствующее письмо с UserID. Но нет ничего невозможного (гы-гы-гы), поскольку существует множество маленьких конференций, использующих не столь заумный софт, где вас подпишут по первой же просьбе.
Защита: ты защитится можешь только фильтром. Но настроить его правильно будет не просто, но можно. Так что в случае, если ты попал в такую заварушку, пиши админу mail list'а, чтобы он там много пива не пил, а баги лучше чистил.
Все прочитал, все понял? Отлично! Теперь ты знаешь систему, а это главное. Можешь открывать свой мейлер, настраивать и, наконец-то, качать почту без стрема, что над тобой сейчас поработают злые хацкеры.
