Date: 2009/6/25
google doc https://docs.google.com 是 在线编辑显示 doc, pdf 等文件的服务网站,即便运行 macro 也不是在你的计算机上运行,因此可以避免 word doc, pdf 中的脚本木马攻击。
如果你保存一个 eml 文件在硬盘上,然后用 thunderbird 打开阅读,这时候是无法按 Ctrl+U 显示邮件源码的,菜单项 View > Message Source 是无效的灰色。这是 thunderbird 功能设计上的不可思议的缺陷。如果你说的是这种情形,那你直接用文本编辑器打开硬盘上的那个 eml 文件看源码即可。
关于如何阅读邮件源码头标(header),如何查看一封信是否假冒,从哪个地址发出?请 参考[6]。
查看可疑邮件的来源
这里举一个例子:通过查看邮件源码,分析第三方假冒 anhunqu@hotmail.com 发出的信。该 email 的头标摘录如下:
yandex.ru 77.88.61.37 是一个在俄罗斯的 IP 地址。
ondnet.net 217.68.153.23 是一个在马耳他的 IP 地址。
查询 DNS 名或者 IP 地址所在地区的网络服务商的信息,可以用 IPNetInfo [19]软件,或者IP地理信息查询网站[20]-[24]。
发信人的计算机上的时区设置是 +0100,这是英国等地的夏令时间。马耳他采用夏令时,目前标准时区应该是 +0200。也许发信人的计算机在 Malta 但是没有设置夏令时。或者他的计算机根本设置的是虚假的时区。
发信人采用 Outlook Express 软件发信。设置的字符集是 ISO-1252,符合马耳他的当地语言特征。
由此可见,这封信[8]是假冒 anhunqu@hotmail.com 发出的信。并且,其所带附件 Anhunqu.pdf,在 gmail web 界面通过 google doc 打开阅读,内容空白。经检查,Sunbelt 报告是一个可疑的木马病毒[17]:
对 PDF 附件木马病毒的安全防范
Acrobat Reader 阅读 PDF 可能会受到 PDF 内嵌 Javascript 木马病毒攻击[1]-[5][9][10][12]-[16]。推荐卸载 Acrobat Reader 而采用 Foxit [18]等小巧的免费 PDF 阅读器[6]。因为其支持的功能少,相对更安全。但是注意,Foxit 默认也是允许 Javascript 的,最好关闭这一功能。如果你不得不使用 Acrobat Reader,必须及时更新软件,并设置禁止 Javascript,以降低受攻击的风险。当在 Acrobat Reader 中禁止 Javascript 以后,打开一个内嵌 Javascript 的 PDF 文件时,会提示你是否要允许 Javascript,这时候要注意,一定要选择不要允许。
Word doc 可能带有 Macro 脚本病毒,打开 Word Doc 需谨慎。最好用 Google doc 阅读来历不明的 word doc,或者将收到的 word doc 发送到 virustotal.com 等在线查毒网站进行检查后,确认无木马病毒,才可以尝试打开。更多网络安全建议,请参考[11]。
避免被冒名邮件欺骗
简单的应对方法是,对于有附件的邮件,务必谨慎处理,不要贸然打开任何附件。要学会查看邮件源代码,以确认发信人是 否伪造的方法。查看邮件源码,注意邮件 标头(headers)中的 Received, Return Path, X-Sender 等行。Received 从下到上,是邮件传递过程中所经过的转交路径。
gmail web 界面显示邮件源码的方法:
a. 点击 Reply 右边的下拉菜单,点击 show original :
b. 出现新窗口显示信件源码
googlegroups web 界面显示邮件源码的方法:
点击帖子右上角的 "more options 更多选项",帖子标题下会出现更多选项链接。点击 "show original 显示原始文件" > "show only message text 仅显示帖子内容"
Thunderbird 显示 email 源码的方法:
在邮件列表中选中邮件,或者在邮件打开阅读状态,按 Ctrl+U
Outlook Express 显示 email 源码的方法:
在邮件列表中选中邮件,或者在邮件打开阅读状态,按 Ctrl+F3
数字签名加密邮件增强安全
更进一步,可以采用 Thunderbird / Outlook Express / Windows Live Mail / Office Outlook 内置支持的 S/MIME 数字签名邮件功能,或者 Thunderbird + Enigmail 扩展支持的 Open PGP/GPG 数字签名邮件。这样,只有获取了你的加密签名私钥密码,才可能冒名发送邮件。用 OpenPGP 的好处是,可以用于加密文件。安装 GPG2Win 套装软件[25],可以创建和管理 PGP 密钥,对邮件和任何文件进行加密或添加签名认证。
S/MIME PKI 密钥证书可以用 Thunderbird 或者 Firefox 安装 的 Key Manager addon 创建,也可以用 IBM Keyman 这个 Java 软件创建。
Thunderbird 安装 Enigmail 扩展后,可以支持 OpenPGP 加密签名邮件,创建密钥。
S/MIME PKI 证书,和 OpenPGP Pubkey 公钥 都可以在朋友之间相互签名认证,这样当你得到一个新的证书或者公钥时,如果它带有你所信任的朋友或者权威证书颁发机 构的签名,那么这个证书或公钥是可以信 任的。
参考:
Date: 2009/6/25这里举一个例子:通过查看邮件源码,分析第三方假冒 anhunqu@hotmail.com 发出的信。该 email 的头标摘录如下:
X-Sender: chenyangchao@yandex.ru这封信是在马耳他的 IP 地址上(可能使用了代理) 通过俄罗斯的 SMTP 服务器上 chenyangchao@yandex.ru 的帐号发出的。这可能是冒名陈泱潮的帐号。
Received: by 10.204.31.100 with SMTP id x36mr25071bkc.10.1245814092199; Tue, 23 Jun 2009 20:28:12 -0700 (PDT)
Return-Path: <chenyangchao@yandex.ru>
Received: from forwards5.yandex.ru (forwards5.yandex.ru [77.88.61.37]) by gmr-mx.google.com with ESMTP id 5si39323fge.17.2009.06.23.20.28.11; Tue, 23 Jun 2009 20:28:12 -0700 (PDT)
Received-SPF: pass (google.com: domain of chenyangchao@yandex.ru designates 77.88.61.37 as permitted sender) client-ip=77.88.61.37;
Authentication-Results: gmr-mx.google.com; spf=pass (google.com: domain of chenyangchao@yandex.ru designates 77.88.61.37 as permitted sender) smtp.mail=chenyangchao@yandex.ru
Received: from smtp19.yandex.ru (smtp19.yandex.ru [77.88.61.35]) by forwards5.yandex.ru (Yandex) with ESMTP id 47A80AF30A for <gongminliliang@googlegroups.com>; Wed, 24 Jun 2009 07:28:11 +0400 (MSD)
Received: from s006.ondnet.net ([217.68.153.23]:3337 "EHLO sdshkpmoc" smtp-auth: "chenyangchao" TLS-CIPHER: <none> TLS-PEER-CN1: <none>) by mail.yandex.ru with ESMTP id S3097975AbZFXD2G (ORCPT <rfc822;gongminliliang@googlegroups.com>); Wed, 24 Jun 2009 07:28:06 +0400
X-Yandex-TimeMark: 1245814086
X-Yandex-Spam: 1
X-Yandex-Front: smtp19
X-BornDate: 1191186000
X-Yandex-Karma: 0
X-Yandex-KarmaStatus: 0
X-MsgDayCount: 5
X-Comment: RFC 2476 MSA function at smtp19.yandex.ru logged sender identity as: chenyangchao
Message-ID: <ADEFC4A3EA741E6083F3C4EE32F97CBD@sdshkpmoc>
From: "Anhunqu" <anhunqu@hotmail.com>
To: <gongminliliang@googlegroups.com>
Subject: =?windows-1252?B?Rlc6ID8/kz8/Pz+UPz8=?=
Date: Wed, 24 Jun 2009 05:28:03 +0100
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
yandex.ru 77.88.61.37 是一个在俄罗斯的 IP 地址。
ondnet.net 217.68.153.23 是一个在马耳他的 IP 地址。
查询 DNS 名或者 IP 地址所在地区的网络服务商的信息,可以用 IPNetInfo [19]软件,或者IP地理信息查询网站[20]-[24]。
发信人的计算机上的时区设置是 +0100,这是英国等地的夏令时间。马耳他采用夏令时,目前标准时区应该是 +0200。也许发信人的计算机在 Malta 但是没有设置夏令时。或者他的计算机根本设置的是虚假的时区。
发信人采用 Outlook Express 软件发信。设置的字符集是 ISO-1252,符合马耳他的当地语言特征。
由此可见,这封信[8]是假冒 anhunqu@hotmail.com 发出的信。并且,其所带附件 Anhunqu.pdf,在 gmail web 界面通过 google doc 打开阅读,内容空白。经检查,Sunbelt 报告是一个可疑的木马病毒[17]:
Sunbelt 3.2.1858.2 2009.06.23 Exploit.PDF-JS.Gen (v)可见,googlegroups 邮件组检验发信人的发信权限的方法是不完善的,不能有效杜绝虚假的发信人。请各位慎重注意,不可轻信所收到的电子邮 件,尤其在你不熟悉计算机技术的条件 下。
对 PDF 附件木马病毒的安全防范
Acrobat Reader 阅读 PDF 可能会受到 PDF 内嵌 Javascript 木马病毒攻击[1]-[5][9][10][12]-[16]。推荐卸载 Acrobat Reader 而采用 Foxit [18]等小巧的免费 PDF 阅读器[6]。因为其支持的功能少,相对更安全。但是注意,Foxit 默认也是允许 Javascript 的,最好关闭这一功能。如果你不得不使用 Acrobat Reader,必须及时更新软件,并设置禁止 Javascript,以降低受攻击的风险。当在 Acrobat Reader 中禁止 Javascript 以后,打开一个内嵌 Javascript 的 PDF 文件时,会提示你是否要允许 Javascript,这时候要注意,一定要选择不要允许。
Word doc 可能带有 Macro 脚本病毒,打开 Word Doc 需谨慎。最好用 Google doc 阅读来历不明的 word doc,或者将收到的 word doc 发送到 virustotal.com 等在线查毒网站进行检查后,确认无木马病毒,才可以尝试打开。更多网络安全建议,请参考[11]。
避免被冒名邮件欺骗
简单的应对方法是,对于有附件的邮件,务必谨慎处理,不要贸然打开任何附件。要学会查看邮件源代码,以确认发信人是 否伪造的方法。查看邮件源码,注意邮件 标头(headers)中的 Received, Return Path, X-Sender 等行。Received 从下到上,是邮件传递过程中所经过的转交路径。
gmail web 界面显示邮件源码的方法:
a. 点击 Reply 右边的下拉菜单,点击 show original :
b. 出现新窗口显示信件源码
googlegroups web 界面显示邮件源码的方法:
点击帖子右上角的 "more options 更多选项",帖子标题下会出现更多选项链接。点击 "show original 显示原始文件" > "show only message text 仅显示帖子内容"
Thunderbird 显示 email 源码的方法:
在邮件列表中选中邮件,或者在邮件打开阅读状态,按 Ctrl+U
Outlook Express 显示 email 源码的方法:
在邮件列表中选中邮件,或者在邮件打开阅读状态,按 Ctrl+F3
数字签名加密邮件增强安全
更进一步,可以采用 Thunderbird / Outlook Express / Windows Live Mail / Office Outlook 内置支持的 S/MIME 数字签名邮件功能,或者 Thunderbird + Enigmail 扩展支持的 Open PGP/GPG 数字签名邮件。这样,只有获取了你的加密签名私钥密码,才可能冒名发送邮件。用 OpenPGP 的好处是,可以用于加密文件。安装 GPG2Win 套装软件[25],可以创建和管理 PGP 密钥,对邮件和任何文件进行加密或添加签名认证。
S/MIME PKI 密钥证书可以用 Thunderbird 或者 Firefox 安装 的 Key Manager addon 创建,也可以用 IBM Keyman 这个 Java 软件创建。
Thunderbird 安装 Enigmail 扩展后,可以支持 OpenPGP 加密签名邮件,创建密钥。
S/MIME PKI 证书,和 OpenPGP Pubkey 公钥 都可以在朋友之间相互签名认证,这样当你得到一个新的证书或者公钥时,如果它带有你所信任的朋友或者权威证书颁发机 构的签名,那么这个证书或公钥是可以信 任的。
参考:
- Adobe Confirms PDF Zero-Day, Says Kill JavaScript; http://it.slashdot.org/article.pl?sid=09/04/29/1823234
- PDF Exploits On the Rise http://it.slashdot.org/article.pl?sid=08/09/23/1320258
- PDF Vulnerability Now Exploitable With No Clicking http://it.slashdot.org/article.pl?sid=09/03/05/1328244
- F-Secure Suggests Ditching Adobe Reader For Free PDF Viewers http://it.slashdot.org/article.pl?sid=09/04/22/222237
- Firehose:Adobe Confirms PDF Zero-Day, Says Kill JavaScript by CWmike http://it.slashdot.org/firehose.pl?id=4334423&op=view
- After getting fed up with Reader in the wake of the Feb. 19th PDF remote exploit notice (http://www.adobe.com/support/security/advisories/apsa09-01.html/ [adobe.com]) I decided to install FoxIt (I know, proprietary, not open source goodness)... But anyway, when I went to uninstall Adobe Reader, Windows claimed it to be taking up 221MB on my hard drive. 221 Megabytes! For a document reader!?
After installing FoxIt, Windows claims that it takes up only 7.15MB, which I corroborated by checking the size of the install directory. For the life of me, I can't figure out what exactly it is that Adobe Reader does that FoxIt doesn't. They're functionality identical so far as I can tell. So what in god's name is Adobe doing with that extra 200 megabytes of disk space?
http://it.slashdot.org/article.pl?sid=09/04/29/1823234
- IBM keyman http://www.alphaworks.ibm.com/tech/keyman
- 草庵兄其事有些忽悠 https://groups.google.com/group/GongMinLiLiang/msg/4061eaf87c41de1a
- Eric Bumpus: Critical Adobe Reader And Acrobat JavaScript Vulnerability; April 30th, 2009; http://research.gladtech.net/index.php/2009/04/30/critical-adobe-reader-and-acrobat-javascript-vulnerability/
- Mark Edward Soper: JavaScript Vulnerability Gives a Whole New Meaning to "Get Adobe Reader"; 06/26/08 02:27:24 PM; http://www.maximumpc.com/article/news/javascript_vulnerability_gives_a_whole_new_meaning_get_adobe_reader
- 立里: Internet 安全建议 https://groups.google.com/group/lihlii/msg/7b7c189ae5386010
- PDF javascript exploit (PDF_JavaScript_Exploit) http://www.iss.net/security_center/reference/vuln/PDF_JavaScript_Exploit.htm
- How to protect yourself from the Adobe Reader PDF JavaScript Vulnerability http://www.bleepingcomputer.com/forums/topic205515.html
http://www.bleepingcomputer.com/forums/index.php?act=Print&client=printer&f=2&t=205515 - Gregg Keizer: Adobe confirms PDF zero-day, urges users to kill JavaScript, 'Broken record,' says security expert of Adobe's advice; April 29, 2009 12:00 PM ET; http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9132307
- Angela Gunn: Adobe delivers a patch for JavaScript-related PDF vulnerability, A critical-level flaw has been flapping in the digital wind for two weeks; May 13, 2009, 5:01 PM; http://www.betanews.com/article/Adobe-delivers-a-patch-for-JavaScriptrelated-PDF-vulnerability/1242248507
- Adobe Acrobat PDF Javascript printf Stack Overflow Vulnerability, ZDI-08-072: November 4th, 2008; http://www.zerodayinitiative.com/advisories/ZDI-08-072/
- http://www.virustotal.com/analisis/bfc73c1b7c58d96eedcbba09cf0f47367f754b8a9280960f486dc5e6fbc655e3-1245829132
- http://www.foxitsoftware.com/pdf/reader/download.php
- IPNetInfo: Retrieve IP Address Information from WHOIS servers; http://www.nirsoft.net/utils/ipnetinfo.html
IPNetInfo is a small utility that allows you to easily find all available information about an IP address. - IP Address Geolocation to Country City Region Latitude Longitude ZIP Code ISP Domain Name Time Zone http://www.ip2location.com/demo.aspx
- SEOmoz | AJAX Powered IP Location Lookup http://www.seomoz.org/ip2loc?start
- Geo Locate IP Addresses with our Gadget http://www.infosniper.net/geolocate-visitor-gadget.php
- Geotool - Google Maps IP address locator http://digg.com/programming/Geotool_-_Google_Maps_IP_address_locator
- Find IP Location With Google Maps http://googlesystem.blogspot.com/2006/08/find-ip-location-with-google-maps.html
- http://www.gpg4win.org
google doc https://docs.google.com 是 在线编辑显示 doc, pdf 等文件的服务网站,即便运行 macro 也不是在你的计算机上运行,因此可以避免 word doc, pdf 中的脚本木马攻击。
: Message Source 被 disable 了(灰色)。这又没有办法解开?
2009/6/25 X
谢谢。Google doc 我没用过,不清楚其安全性。是不是它不运行任何 Macro 或其他隐藏的 codes?另外,对于 MS Word,我从来都是设置成"Disable all macros with notification"的。
又,有时收到的一些估计带病毒的邮件,在 thounderbird 中打开看时,却发现 Message Source 被 disable 了(灰色)。这又没有办法解开?
关于如何阅读邮件源码头标(header),如何查看一封信是否假冒,从哪个地址发出?请 参考[6]。
- 防范邮件钓鱼欺诈窃取密码如何查看邮件源码 http://lihlii.posterous.com/23036316
- 120526-网络信息安全实用技术系列-立里-电子邮件安全防范 http://www.docin.com/p1-409834683.html
- 防范邮件钓鱼欺诈窃取密码 https://profiles.google.com/111763901051622023220/buzz/8V51WoevTpo ; http://lihlii.posterous.com/23036316
- googlegroups 中网狗假冒邮件的危险如何查看可疑邮件的来源 https://groups.google.com/d/msg/lihlii/pTjL8hfGUzU/sASRyqFkkCYJ
- 091006 网络安全指南 如何检查自己帐号的异常登录 防范网狗破解 gmail 帐号 http://lihlii.blogspot.nl/2012/11/091006-gmail.html ; https://profiles.google.com/111763901051622023220/buzz/PzVefcyuRFt ; https://groups.google.com/group/wlaq-gg/browse_thread/thread/de832630db4b870e/980cb2648dcda422?#980cb2648dcda422
- 注意电邮和 eml 文件隐私泄露问题; http://lihlii.blogspot.nl/2012/04/eml.html ; http://lihlii.posterous.com/eml ;
- Skype 泄露你的IP地址和地理位置 http://lihlii.blogspot.nl/2012/04/skype-ip.html
没有评论:
发表评论