Статьи о почте

Новости

Все новости

Разное в мире IT

Все заметки

mailinfo.ru - Статьи о почте

Наша почта и опасна, и вредна

Прислал(а) Александр Захарченко [11 января 2002]

раздел: [Безопасность]

Эпидемии почтовых вирусов терроризируют интернет-сообщество уже более трех лет. В марте 1999 г. Melissa произвела фурор в средствах массовой информации. В мае 2000 г. мир следил за триумфом «I love you». С весны этого года на вершине хит-парада находится Magistr, вобравший в себя разрушительный опыт многих своих предшественников. А ведь были еще тысячи всевозможных подражаний и переделок, вызывавших заражения локального масштаба.

Недавно заявивший о себе червь I-Worm.Sircam (или W32.Sircam) выполнил для меня маленькое социологическое исследование. Что ни говори, а приятно получить подтверждение тому, что тебя читают и хранят твои координаты в адресной книге (и даже в нескольких экземплярах). Пламенный привет господам из Прибалтики, там мой рейтинг особенно высок! Удручает только то, что, несмотря на периодически исходящие от борцов с вирусной напастью заявления о новых «успешных» технологиях борьбы с почтовой заразой, подобные «исследования» будут происходить все чаще. Все больше шансов из «толстого файла на ремне» подцепить какую-нибудь гадость.

Причина в том, что почтовые вирусы на платформе Windows используют не столько ошибки или дыры, как это следует из опыта других операционных систем (ОС). Microsoft предоставила несколько легальных механизмов, которыми могут воспользоваться вирусописатели для разработки алгоритма размножения посредством e-mail. Самый сложный в техническом отношении — включение в состав червя собственного SMTP-модуля. В этом случае червь сам себе голова. Независимо от почтового клиента он сам и провайдера подыщет, и письмецо отправит, и примет ответ, если, конечно, понадобится.

Другой способ — воспользоваться MAPI (Messaging Application Programming Interface), прикладным интерфейсом для введения почтовых функций в различные приложения. Никаких ограничений на доступ к нему не предусмотрено, плюс к тому обеспечивается взаимодействие с имеющимся почтовым клиентом. Этот метод тоже для квалифицированных программистов.

Самым же простым и одновременно крайне эффективным вариантом будет использование COM-интерфейса почтовых клиентов в скриптах (VBS-вирусы). Для экзотики можно поручить отправку почты какой-либо COM-продвинутой программе (например, Word\'у) — пусть при поимке сам и отдувается (подробнее об этой технологии «исполнителя желаний» см. Curious Basic-2").

Повторюсь, все эти способы абсолютно легальны. Есть, конечно, и дыры, как это было с KakWorm или произошло намедни с IIS, но в большинстве случаев не нужно рыться в исходных кодах, выискивая какие-либо люки или промахи. Изучайте MSDN, читайте серию работ Scripting Clinic (Andrew Clinick – руководитель проектов в Microsoft Script Technology group) в MSDN Online Voices — там все изложено. И не бойтесь, что со сменой версии Windows ваше творение постигнет участь динозавров – совместимость обеспечит ему «многие лета». А злые языки еще смеют болтать, что Microsoft что-то скрывает?!

Ситуация выходит из-под контроля гораздо быстрее, чем кажется экспертам по безопасности. При подготовке весной "Заразы по почте" я сослался на прогноз от MessageLabs конца 2000-го года: «В 2001 году получение вируса по e-mail гарантировано каждому». За весь период 1998–2000 мы получили на служебный адрес два вируса в doc-файлах. За первое полугодие 2001 г. туда пришло уже три червя. Публичный ящик страдал гораздо чаще, а последнюю неделю июля я просто лопатой выгребаю из него Sircam. «Гарантировано каждому и неоднократно».

Реакцию властей стран-флагманов прогресса на вирусный беспредел можно охарактеризовать только медицинскими терминами. Пока Белый Дом со своим сайтом петляет, как заяц, по виртуальному пространству, прячась от нашествия «Code Red», парни из ФБР, прозомбированные голливудскими рецептами борьбы с «русской мафией», вместо того, чтобы поставить здоровенный клистир бракоделам из Редмонда, пытаются соорудить из своих значков фиговый листок, прикрывающий срам другого столпа американской экономики (как-никак «джентельмены» платят за свое виски). Хакинг — это плохо. А туфтинг — хорошо? Вы когда-нибудь слышали, чтобы производитель сейфов судился со взломщиками? Что может быть лучшей антирекламой? Adobe, что, спешит упредить иски от потребителей на недоброкачественную продукцию? Так политика лицензирования программного обеспечения обеспечивает полную безответственность его производителей. Или, может, они таким образом просто пытаются оградить сокращающийся американский рынок IT-специалистов от пришельцев?

Ну и флаг им в руки, вот только все же что нам делать с почтовой заразой? Для начала послушаемся сертифицированных специалистов и установим антивирус, не забывая о регулярном его обновлении. Но этого «маловато будет». Антивирусные программы действуют по принципу сторожевой части иммунной системы организма: обнаруживают и убивают известную болезнь, а новую пропускают. «Интеллектуальные» добавки для распознавания неизвестных вирусов до интеллекта еще не доросли, а ложный крик «Волки!» в конце концов заканчивается драмой.

Поэтому, даже находясь в администрируемой локальной сети, установим персональный межсетевой экран (firewall). В нем укажем исчерпывающий список программ и доступных им портов и сервисов. И как только чересчур самостоятельный посторонний код попытается отправить почту, он тут же попадется, а главное, зараза не распространится с вашего компьютера дальше.

01
Рис. 1. Часть настроек AtGuard

Вот, к примеру, вариант настроек AtGuard (рис. 1). Почтовому клиенту Outlook Express (OE) разрешен доступ к сервисам POP3 (порт 110) для приема и SMTP (порт 25) для передачи и только со строго определенного IP адреса. Строчкой выше определено правило, запрещающее OE доступ к прокси-серверу локальной сети, чтобы при получении писем в HTML-формате не докачивался всякий рекламный мусор. Правило это создано только для того, чтобы log-файл AtGuard\'а не загромождался ненужными мне предупреждениями. Внизу показаны правила для работы OE с free-почтой (Mail.ru, HotBOX.ru), но в примере они отключены, и работать с Web-почтой нельзя.