Domanda:
Perché il server / i client di posta elettronica bloccano gli allegati eseguibili?
user225011
2020-01-14 15:34:44 UTC
view on stackexchange narkive permalink

Se invio un'e-mail con un allegato .exe a un destinatario di Outlook, il client di posta elettronica blocca l'allegato e il destinatario non ha modo di sovrascrivere questa impostazione di sicurezza (a meno di apportare alcune modifiche al registro). Se invio la stessa email a un destinatario Gmail, l'email viene rifiutata dal server.

Perché sono così rigide? Esiste la possibilità che l'allegato venga eseguito automaticamente o è semplicemente per proteggere gli utenti ingenui dall'esecuzione esplicita di un allegato non attendibile? Non sarebbe sufficiente utilizzare un grande e grosso avviso noto anche come "Sei davvero sicuro di volerlo fare?"

Ovviamente, posso caricare il mio file .exe su un servizio di condivisione file e fornire il link nell'email. Perché questo è considerato più sicuro di un allegato? Un truffatore malintenzionato potrebbe fare la stessa cosa.

MODIFICA : pongo questa domanda parzialmente per sapere se è sicuro disattivare la funzione (modificando HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ 16.0 \ Outlook \ Security \ Level1Remove ). Dalle risposte deduco che questo è sicuro per me personalmente, ma probabilmente non a livello di amministratore.

Posso negare di averti passato un coltello (file exe) se penso che tu sia incline a pugnalare te stesso o altri con esso (come la maggior parte degli utenti) ma non ho davvero modo di impedirti di uscire e prendere il tuo coltello.Il primo è colpa dell'amministratore, il secondo è colpa dell'utente.Se hai una reale necessità di inviare tramite e-mail gli eseguibili, allora stai francamente "sbagliando".
Se ricordo bene, storicamente Outlook utilizzava IE per mostrare le e-mail, che in linea di principio era l'esploratore di Windows.Quindi passando un po 'di codice javascript potresti eseguire automaticamente un file .exe incorporato.E poiché outlook (express) è stato consegnato automaticamente da Windows 95, avevi una superficie di attacco ENORME, che veniva spesso utilizzata.Il noto virus "Ti amo" del 2000 si è basato su questo.Apri l'e-mail in Outlook quasi standard (express) su Windows 95/98 e hai infettato il tuo sistema.Quindi si è moltiplicato automaticamente inviando una copia a tutti nella tua rubrica
RE: Big fat warning: [... gli utenti non leggono * nulla *.] (Https://www.joelonsoftware.com/2000/04/26/designing-for-people-who-have-better-things-da-fare-con-la-vita)
Perché se non lo blocchi, gli utenti faranno clic su di esso.
Correlati: Rinominare i file EXE ad es. .XEX era spesso sufficiente in passato per consentire loro di transitare con successo.Il fatto che il destinatario debba rinominare il file consente ai messaggi di avviso di formare una barriera più efficace e consente un grado di "qualificazione" dei destinatari.es. "L'allegato è un eseguibile rinominato" interromperà molti utenti.Quell'avvertimento + adatto di grandi dimensioni in un file "readme" con il commento di ridenominazione incorporato tra es. Grandi teste di morte cremisi, ecc. Aggiungerebbe "un grado di maggiore sicurezza".Certo, alcune persone chiederebbero a un amico di convertire il file per loro e ...., ma utile.
@MonkeyZeus Se hai una reale necessità di inviare tramite e-mail gli eseguibili, dovresti utilizzare un archivio .7z crittografato contenente il .exe.;)
@Andrew Ah sì, il vecchio file in un trucco della torta della prigione.
Otto risposte:
schroeder
2020-01-14 15:48:36 UTC
view on stackexchange narkive permalink

Non sarebbe sufficiente usare un grande, grosso avvertimento

Certo, se funzionassero. La maggior parte delle persone tende a "fare clic per eliminare il fastidioso" senza pensare.

Bloccare gli eseguibili significa che gli aggressori non possono fare qualcosa come l'invio di totallegitfile_really.pdf.exe È una difesa di ingegneria sociale di base per bloccare gli eseguibili.

Attaccanti devono eseguire i passaggi aggiuntivi come hai descritto, e così fa l'utente finale. Questi passaggi aggiuntivi danno all'utente un po 'più di tempo per pensare se l'intera interazione ha senso. Quel tempo in più è fondamentale.

Se falsifico l'email del dipartimento delle risorse umane (o lo faccio sembrare simile) e invio staff_bonuses.pdf.exe e colpisce la posta in arrivo dell'utente, lì è poco per proteggere l'utente. Basta un clic. Per fare lo stesso di un utente malintenzionato, dovrei caricarlo da qualche parte e poi inviare il link. Più di alcune persone saranno curiose del motivo per cui le risorse umane utilizzano un servizio di file hosting di terze parti.

È una misura difensiva di base. Aumenta la soglia di difficoltà per gli aggressori che li costringe a utilizzare strumenti di terze parti e offre agli utenti finali un po 'più di tempo per pensare.

"Questo renderà più di alcune persone curiose il motivo per cui le risorse umane utilizzano un servizio di file hosting di terze parti".- non quando lo fanno tutti perché i sistemi di posta elettronica di varie persone continuano a bloccare i loro allegati.
@user253751 Perché le risorse umane inviano eseguibili?E perché i file non sono disponibili internamente per allegare / collegare?
Non inviano eseguibili, ma i file che inviano continuano a essere rifiutati dai sistemi che bloccano più tipi di file rispetto ai semplici eseguibili.
@user253751 quindi stai parlando di regole che vanno oltre lo scopo della domanda e oltre la mia esperienza con qualsiasi organizzazione.
Hanno iniziato a inviare file .ISO, che hanno un exe a riproduzione automatica.Alcune persone lo aprono, che monta l'unità virtuale ed esegue il virus.Quindi, l'email contiene un allegato `totalmentelegitfile_really.pdf.iso`.L'ho visto un paio di volte.
Le risorse umane dovrebbero (principalmente) occuparsi di inviare e-mail alle persone della propria azienda.Che sono controllati dal team IT dell'azienda.Quindi, dovrebbero raggiungere un accordo sui contenuti accettabili da inviare.Forse stanno inviando inavvertitamente documenti con macro incorporate.
@schroeder Forse le restrizioni sulla dimensione del file?Sono un buon motivo per utilizzare i servizi di file hosting invece degli allegati e-mail.
@user253751 È possibile che i sistemi delle risorse umane siano compromessi e che i file allegati siano infetti.Questo è chiaramente un problema IT e la soluzione non è semplicemente aggirare i filtri in atto.
@schroeder [Perché dovrebbero bloccare i file XML?] (Https://security.stackexchange.com/questions/103712/why-do-email-programs-block-xml-files?rq=1) [o immagini?] (Https: //security.stackexchange.com/questions/7489/why-would-someone-want-to-block-images-in-email? rq = 1)
@user253751 HR sta inviando un sacco di XML, vero?E le risposte sono fornite nei tuoi link ...
Non sarebbe molto più efficace se Windows mostrasse all'utente solo l'estensione di un file?Avrei pensato che dopo tutti questi anni di virus Windows, avrebbero pensato di informare almeno l'utente che sta scaricando un eseguibile (da un browser o da un client di posta elettronica).
@At0mic che presuppone che le persone comprendano l'estensione e comprendano i rischi.I dati mostrano che non è così.Le estensioni aiutano chi già lo sa.
@IsmaelMiguel autorun non è affatto "automatico" sulla maggior parte dei sistemi moderni.
@Ave Bene, dà un avvertimento ma le persone possono permetterne l'esecuzione.Oppure faranno doppio clic sull'icona dell'unità, che eseguirà l'avvio automatico.
Alcuni utenti mi hanno detto di aver fatto clic sul collegamento per impedire la comparsa di quel fastidioso messaggio di avviso.
@MortimerCat Beh, è terrificante.Inoltre, ["Niente è infallibile per uno sciocco sufficientemente talentuoso" e "Se fai qualcosa a prova di idiota, qualcuno lo farà solo un idiota migliore."] (Https://en.wikipedia.org/wiki/Idiot-proof)
Inoltre, Windows è molto utile con questo tipo di attacco nascondendo l'ultima estensione del file.Quindi, per un file con il nome `totalmentelegitfile_really.pdf.exe`, verrà visualizzato` totalmentelegitfile_really.pdf`.Questo rende l'attacco molto più semplice.Mi chiedo davvero cosa stessero pensando quando lo hanno impostato come impostazione predefinita - -
@schroeder Ho visto sempre più sistemi rifiutare tutti gli allegati tranne un piccolo insieme di estensioni consentite (di solito .jpg, .png, .pdf, .docx & co, forse .zip).Immagino che la logica sia che molte applicazioni non sono sicure da usare con file non attendibili e estensioni di file oscure potrebbero essere aperte con qualsiasi applicazione oscura che le persone hanno installato.
Se lo scopo è proteggere gli utenti creduloni che potrebbero ignorare le finestre di dialogo di avviso, perché non consentono un'impostazione nell'applicazione client che può essere impostata per consentire gli eseguibili?Gli utenti possono quindi consentirlo sotto la propria responsabilità e gli utenti non tecnici (che potrebbero essere ingannati da qualcosa.pdf.exe) non si intrometteranno nelle impostazioni (o non sapranno nemmeno che esistono) in primo luogo.
Serge Ballesta
2020-01-14 19:31:15 UTC
view on stackexchange narkive permalink

Questo è il buon vecchio rapporto costi / benefici.

La risposta di @ schroeder riguarda il guadagno, questa riguarda il costo

Ciò che è ammesso sia da Google che da Microsoft è che gli utenti finali non dovrebbero mai scambiare file eseguibili. Le immagini oi file video sono oggetti dell'utente finale, così come i file di Office. Ma quando si tratta di eseguibili, dovrebbero provenire solo da un negozio.

Una tale decisione non è certamente adatta agli sviluppatori, ma ci si aspetta che gli sviluppatori siano abbastanza avanzati da trovare un modo per aggirarla, utilizzando un sito HTTP di inoltro o utilizzando la codifica avanzata. Detto in modo diverso si presume che il costo sia trascurabile.

"utilizzando la codifica avanzata" Yup!Come cambiare l'estensione del file in ".txt".I file "di testo" non vengono mai eliminati.
@tezra Non sono sicuro per Gmail e Outlook (non uso nessuno dei due), ma il sistema di sicurezza incluso nel mio server di posta aziendale rileva i file eseguibili indipendentemente dall'estensione e persino gli archivi zip interni ...
"Ciò che è ammesso sia da Google che da Microsoft è che gli utenti finali non dovrebbero mai scambiare file eseguibili".Hai fonti di loro che lo dicono per confermarlo?
@nick012000: Io no.Ma se presumessero che lo scambio di eseguibili per posta fosse un'operazione naturale, non lo vieterebbero.
Gli utenti _dovrebbero_ essere in grado di inviare qualsiasi file.Sfortunatamente, l'O.S.(e la maggior parte degli utenti) non è in grado di distinguere un utente da un hacker.La scappatoia che ho usato è stata quella di comprimere l'exec in un .zip ma, scusate, quella scappatoia è stata chiusa.Ora devo solo ftp al mio server web e inviare l'URI tramite posta elettronica.
@SergeBallesta probabilmente stanno controllando i byte magici, [ecco un esempio] (https://elixi.re/i/rvnxjqkf.png).
@WGroleau: Desktop OS non sono interessati qui.Solo i server di posta (per Gmail.com o i server aziendali a seconda della loro configurazione) e i lettori di posta (per Outlook) possono aggiungere criteri di sicurezza.Ad esempio, Thunderbird non ne ha e AFAIK * per impostazione predefinita * la maggior parte dei software per server di posta gratuiti non implementa criteri per gli allegati oltre alle dimensioni.
Neanche il server e il client possono farlo.
@WGroleau funziona se si modifica l'estensione del file, si comprime il file e lo si protegge con password.Uno zip protetto da password non può essere analizzato ma è comunque necessario modificare l'estensione perché anche con password i nomi dei file sono in chiaro e appena il sistema vede .exe il file viene rifiutato.
L'ultima volta che l'ho fatto, .zip ha funzionato.Ma sono in pensione da cinque anni e per fortuna non devo più tollerare Outlook.
@MarcoMartinelli: Non sono sicuro per Gmail.com e Outlook, ma un server di posta aziendale configurato correttamente che esegue il filtro degli allegati dovrebbe rifiutare uno zip protetto da password ...
@SergeBallesta Ma non rifiuterà un .7z protetto da password, perché non può nemmeno vedere l'elenco dei file.;) E se non funziona, rinominalo in .png o qualcosa del genere ... E se non funziona, dai fuoco alla tua casa.
@Andrew: la maggior parte dei componenti aggiuntivi per la sicurezza dei server di posta utilizza l'euristica e i dati magici nei file per indovinare cosa sono effettivamente (come fa Unix o Linux `file`).Quindi cambiare l'estensione è inutile.E un file di archivio protetto da password viene rifiutato proprio perché non è possibile sapere cosa contiene.È come cercare di entrare in un luogo in cui una guardia ti chiede la carta d'identità per controllare la tua età.Se non presenti la carta d'identità, non ti lasceranno entrare.
@nick012000 * "Ciò che è ammesso sia da Google che da Microsoft è che gli utenti finali non dovrebbero mai scambiare file eseguibili." * - poiché ovviamente il software dovrebbe essere acquistato solo da queste grandi aziende, a nessun privato fastidioso dovrebbe essere nemmeno permesso di scrivere il proprio software, in quanto potrebbe ridurre i profitti delle società di sviluppo.
Ángel
2020-01-15 07:51:51 UTC
view on stackexchange narkive permalink

In parole povere Gli utenti sono stupidi

Non tutti, ovviamente. Ma quando gestisci l'email di centinaia o addirittura migliaia di utenti, avrai alcuni di quegli utenti che apriranno qualsiasi cosa, forniranno le loro credenziali su qualsiasi pagina di phishing (anche quelli che imitano un sito diverso!), ecc.

Così tutti i tipi di filtri vengono aggiunti ai sistemi di posta per impedire che contenuti dannosi arrivino agli utenti. Possono includere la reputazione dell'URL, il filtro antivirus e uno dei più potenti è semplicemente bloccare determinati contenuti.

Quando è stata l'ultima volta che hai dovuto inviare un'estensione al pannello di controllo di Windows tramite e-mail? Sì, alcune persone li sviluppano. Il resto del mondo che ne riceve uno è solo un virus. Anche se non viene rilevato dalla tua soluzione AV.

Allo stesso modo, in un commento Ismael Miguel menziona i file .iso. A che serve inviare un file .iso tramite e-mail? Un tipico file ISO sarà di almeno 500-600 MB. Alcuni dei tuoi utenti li invierebbero volentieri via e-mail (anche da 4 GB), ma questo è un abuso del sistema, l'e-mail non è progettata per la condivisione di file e fa un lavoro relativamente scarso. Dovresti cercare altre soluzioni per la condivisione di file (la posta elettronica è un modo pigro, però).

Il fatto è che i virus utilizzano formati strani come .iso, o vecchi formati di compressione, proprio per superare ( E-mail) che bloccherebbero il virus se utilizzassero un contenitore più comune (come zip).

Quindi, sì, è semplicemente per proteggere gli utenti ingenui dall'esecuzione esplicita un allegato non attendibile.

Non sarebbe sufficiente utilizzare un grande e grosso avviso noto anche come "Sei davvero sicuro di volerlo fare?"

L'esperienza ha dimostrato che non lo è.

Guarda l'interfaccia di Microsoft Office quando apri un documento con le macro. Farà esattamente questo, quando si apre un file scaricato da Internet / un'e-mail mostrerà una barra come:

Fai attenzione: gli allegati e-mail possono contenere virus. A meno che non sia necessario apportare modifiche, è più sicuro rimanere in Visualizzazione protetta.

( Elenco dei messaggi di Visualizzazione protetta)

Tuttavia, quasi tutti documento dannoso conterrà contenuto che richiede all'utente di disabilitare la visualizzazione protetta "per visualizzare il documento". In realtà, in modo che le macro dannose vengano eseguite.

E la cattiva notizia è che, per una frazione di utenti, funzionano. Gli utenti ricevono email dannose, aprono i documenti allegati (o collegati) infettati da macro, disattivano la visualizzazione protetta "Sandbox" e vengono infettati. Le recenti ondate di infezione di Emotet utilizzano principalmente (?) Documenti macro. E le persone sono state infettate. Dai carichi.

Non è che sia un cattivo design. In effetti, gli ingegneri Microsoft non avevano molta scelta se non consentire agli utenti di sovrascriverlo (nota: l'amministratore di sistema potrebbe imporre che vengano bloccati), poiché esistono alcuni casi legittimi per l'invio e la ricezione di documenti con le macro.

Ci sono ovviamente casi legittimi per la ricezione di allegati altrimenti bloccati, inclusi contenuti sospetti o addirittura dannosi. Ad esempio, un abuso @ indirizzo email, dovrebbe essere in grado di ricevere un avviso dell'URL dannoso sulla propria infrastruttura che serve un trojan o un campione dell'email stanno inviando invece di bloccarlo alla ricezione come fanno alcuni sistemi (la migliore pratica sarebbe applicare filtri sia sull'invio che sulla ricezione).

Pertanto, i filtri potrebbero essere configurato per esentare determinati mittenti / destinatari / caselle di posta che devono ricevere allegati altrimenti bloccati. Una buona configurazione può inoltre garantire che sia possibile accedervi solo da determinati sistemi (isolati dalla rete, forse?) E / o da alcuni utenti noti per non essere stupidi. :-)

"Non tutti, ovviamente" -> "Tutti, ovviamente."Ognuno è un idiota una volta o l'altra.
Tutti gli utenti hanno momenti di disattenzione.Non è giusto dire che "Gli utenti sono stupidi".Conosco un CISO di una grande banca che riceve ed elabora 600 email al giorno.È più di un esperto di sicurezza, ha un dottorato in crittografia a Cambridge e ha lavorato con i militari sul campo per hackerare reti e dispositivi ostili.Continuerà a fare clic sulle e-mail di phishing.È stupido?Assolutamente no.Non può sempre dedicare i pochi secondi in più di attenzione necessari per valutare tutte le email.Anche gli esperti hanno bisogno di una rete di sicurezza.
@schroeder: "Gli utenti sono stupidi" è solo una scorciatoia per "l'utente farà cose pericolose che non dovrebbe mai fare".Non significano davvero che siano davvero stupidi.Probabilmente è necessaria una frase migliore.E ti credo riguardo al CISO, quel clic è quasi automatico dopo aver visto abbastanza email.
@JamesReinstateMonicaPolk si chiama "fattori umani" ed è multistrato.Offro una frase migliore: "Anche gli esperti hanno bisogno di una rete di sicurezza".
@schroeder In realtà classificherei non dedicare i pochi secondi in più di attenzione necessari per valutare tutte le email come stupidità.
Philipp
2020-01-15 15:25:12 UTC
view on stackexchange narkive permalink

Un tempo i sistemi di posta elettronica consentivano di inviare file eseguibili, ma hanno smesso di farlo perché portavano alla diffusione di molti virus. Un evento chiave a questo proposito è stato il "ILOVEYOU" email worm del 2000, che consisteva in uno script visual basic dannoso che eliminava vari file e si inoltrava a tutti gli altri contatti di posta elettronica dell'utente. Gli utenti dovevano eseguirlo manualmente, ma un numero sorprendente di utenti lo ha fatto. Così tante che le stime per il danno mondiale causato dal worm salgono a 8 miliardi di dollari.

dandavis
2020-01-15 04:18:41 UTC
view on stackexchange narkive permalink

Il mio gatto ha aperto gli allegati camminando sulla tastiera (immagino che Tab e Invio a 10 tasti siano a un passo di distanza); hosing un sistema non dovrebbe essere così insensato.

supercat
2020-01-16 02:39:59 UTC
view on stackexchange narkive permalink

I file eseguibili devono essere trasportati solo da un supporto sicuro a prova di manomissione. Se l'invio di e-mail di eseguibili fosse diffuso, sarebbe abbastanza semplice per un malintenzionato che aveva il controllo di un server di posta elettronica fare in modo che inserisse virus nei file eseguibili inviati come allegati alla posta che è passata attraverso quel server. Poiché né il mittente né il destinatario dell'e-mail hanno generalmente il controllo sul percorso intrapreso, non ci sarebbe modo di sapere se un determinato messaggio raggiungerà la sua destinazione senza essere infettato.

Nei tempi moderni, le e-mail vengono mai inoltrate attraverso un server che non è controllato dal mittente, dal destinatario o dai rispettivi provider di posta elettronica?
rackandboneman
2020-01-15 21:58:26 UTC
view on stackexchange narkive permalink

Un altro motivo è rendere più difficile utilizzare la posta elettronica come canale coordinato in un attacco.

Se un utente malintenzionato, ad esempio, riesce a compromettere un PC, crea script per un insieme limitato di azioni dell'utente o sovrappone immagini fuorvianti su programmi applicativi (per indurre gli utenti a fare qualcosa di diverso da quello che pensano di fare), l'ultima cosa che vuoi facilitare è fornire file eseguibili a tali attacchi: questo trasformerebbe un attacco limitato in un attacco effettivamente illimitato.

Certo, un tale attacco potrebbe anche utilizzare un browser web che accede a un server web preparato come canale - tuttavia, per un browser web il download di file di grandi dimensioni e / o eseguibili è di routine una funzione necessaria e i progettisti di browser web dovranno occuparsene rendendo il loro software più resiliente contro tali abusi in ogni caso e in un ambiente molto attento alla sicurezza, l'accesso al Web potrebbe già essere ben controllato contro tali incidenti.

Rahul Kathet
2020-01-17 23:59:28 UTC
view on stackexchange narkive permalink

Il motivo principale è proteggere gli utenti dall'hacking. Per quei messaggi che possono diffondere virus, come i messaggi che includono file eseguibili o determinati collegamenti. A volte dipende anche dall'indirizzo IP se è nella lista nera.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...