Tunneling Http Over Smtp

חישבו על הסיטואציה הבאה סגרתם את ה - Firewall ברשת שלכם בצורה אבטחתית טובה.

הגדרתם חוקים נכונים לאן מותר לגלוש ומתי, הוספתם מסנני תוכן, מערכות Antivirus

שיושבות על ה - Gateway ואתם שקטים.

או חישבו שאתם ארגון ביטחוני אשר מונע גלישה לאינטרנט לחלוטין אך מאפשר קבלת מייל.

אחד המשתמשים שלכם חשב שזה יותר מדי מציק.

אז הוא התקין את התוכנה הבאה:


hosproxy


התוכנה המוזכרת מאפשרת לו להעביר בקשות HTTP על גבי פרטוקול SMTP

כלומר לגלוש על גבי המייל (פרוטוקול ה - SMTP ) לרשת האינטרנט.

התוכנה מתחלקת לשני חלקים: הראשונה מותקנת על מחשב העובד למטרת ביצוע Proxy,

והשנייה מותקנת על מחשב העובד בבית ומבצעת את הניתוב לאינטרנט.

להלן סירטוט רשת המסביר זאת:

גם הגדולים נופלים לפעמים

באתר Symantec התגלה Xss

(למי שלא מכיר את המושג http://en.wikipedia.org/wiki/Cross-site_scripting)

תמונות מסך של ביצוע ההתקפה

לדוגמאות המלאות


כנראה זה היה תגובה לדוח שכתבו ב - 14 באפריל ובו כתוב:

"The Symantec Internet Security Threat Report offers analysis and discussion of threat activity over a one-year period. It covers Internet threat activities, vulnerabilities, malicious code, phishing, spam and security risks as well as future trends."

"A significant spike in new malicious code threats occurred during 2008"

איומים חדשים מממ אוקי אבל מה עם הישנים שכחתם אותם כבר ?! :)

להלן לינקים לדוחות של Symantec:

תקציר מנהלים

דוח מלא

האנלייזר

האנלייזר נתפס שוב לאחר שביצע מספר הונאות בכרטיסי אשראי

בתחקיר של עובדה הוא מציג את עצמו כחף מפשע וללא כל קשר לפרשה.

תחקיר עובדה

כשיורדים לעומק הפרטים מגלים כי התמונה שונה ממה שהוצגה על ידו

בשיחת הטלפון שנערכה בתחקיר עובדה.

מצורף התצהיר של בית המשפט המציג את ההתכתבויות שביצע האנלייזר אל מול מפעיליו,

שיטות ביצוע הפעולות (Sql Injection, והשתלת סוס טוריאני) ועוד...

ממה שנראה לעין האנלייזר חשב שאף אחד לא יתפוס אותו, כנראה הוא טעה.

להלן הלינק לתצהיר המלא:

לתצהיר המלא

Conficker וירוס

וירוס ה - Conficker הוא ללא ספק אחד מהוירוסים היותר חכמים שיצא לי להיתקל בהם,

החוכמה שלו תוכננה בקפידה על ידי אנשי מיקצוע שללא ספק ידעו את עבודתם.

הוירוס הצליח להדביק כ - 8 מיליון מחשבים ברחבי העולם,

וזו הייתה מטרתו העיקרית על פני השטח אך מתחת לפני השטח

אני מרגיש שיש עוד מספר דברים שאנו לא יודעים עליו ונגלה אותם רק בעתיד.

אז מישהו יכול לשאול את עצמו מדוע וירוס ירצה רק להפיץ את עצמו ולא לבצע אף פעולה זדונית.

לנושא זה יכולות להיות מספר אפשרויות הראשונה והפשוטה ביותר היא חדירה לחברות,

לגופים בתחום הבנקאות הביטוח למטרת רווח עתידי.

אפשרות אחרת היא כוח אדיר של 8 מיליון מחשבים במטרה לבצע פעולה של

Denial of Service Attack שגם זו דרך נוספת להרוויח כסף.

אפשרות נוספת היא למטרות ריגול בין מדינות.

ועוד המון אופציות אחרות.

נ.ב בתאריך ה - 1 לאפריל הוירוס יבצע שינוי בפניות לאתרים על ידי יצירת 50,000 שמות דומיין חדשים

אליהם הוא יפנה (אני מקווה שרק זה יקרה, נראה מחר).

אני מצרף ניתוח מעניין שהתבצע על ידי צוות F-SECURE לוירוס (ממליץ לראות):