Lumières sur la sécurité

vendredi 27 janvier 2017

Dans l'article " Notre rôle est de vous prévenir !", nous avons expliqué que les propriétaires de sites web et ceux qui rédigent des listes de ressources non recommandées peuvent avoir des avis différents sur la nocivité du contenu. Pour comprendre, nous allons voir pour quelles raisons un site se trouve mentionné dans la liste des ressources non recommandées.

Supposons qu'un site envoie des spams. Nous n'envisageons pas le cas où ses propriétaires le font exprès (bien que les spammeurs prétendent qu'ils agissent en toute légalité, la plupart des utilisateurs ne partagent pas cet avis) et supposons donc que ce n'est pas de leur faute. Voici les causes pouvant provoquer l'envoi de spam :

1. Piratage du site, changement de la logique de son fonctionnement ou injection de scripts spécialisés. C’est probablement la variante la plus évidente : il est tout à fait logique de bloquer un site piraté en attendant qu'il soit « nettoyé » Le seul problème peut être dû au fait que les propriétaires de tel ressources peuvent tout réparer discrètement et affirmer qu'il n'y avait rien de grave.

   A quel point le système d'envoi de spams intégré à un site web peut-il être compliqué ? Voici l'histoire d’une étude.

   J’ai vu un gestionnaire de fichiers écrit en php. Ce gestionnaire avait toutes les fonctions standard :

   1. il avait une belle interface grise foncée avec des lettres vertes foncées, mêlées à des grises et jaunes ;
   2. il avait 2 panneaux. On pense à far, vc, nc, etc. ;
   3. il avait des différents modes d’affichage. Listes, tableaux, répertoriant les propriétés et droits ;
   4. il avait des commandes pour copier, déplacer, supprimer, modifier les droits ;
   5. il permettait de visualiser et d’éditer les fichiers texte ;
   6. il avait les privilèges administrateur de l’OS.

   Le dernier point m'a choqué. Sur le serveur, il n'y avait pas d'utilisateur authentifié. Ni nulle part. Comment c'est possible, je l'ignore.

   Ce qui est remarquable. Le problème concernant les privilèges administrateur a été constaté indépendamment du serveur web (IIS ou Apache).

   https://habrahabr.ru/post/221871

2. Piratage des boîtes aux lettres. En raison de l’absence de vérification des mots de passe créés par les utilisateurs du site ou suite à des erreurs de configuration du système de protection par défaut. C'est un cas complexe. En principe, il faudrait bloquer uniquement les BAL piratées, mais ajouter des millions d'adresses à la liste noire toutes les semaines augmenterait considérablement le volume de la liste. Par conséquent, le blocage du site avec l'autorisation des adresses de confiance, en cas de piratages multiples, nous semble logique car les analystes qui examinent la ressource doivent savoir quelles adresses sont piratées et lesquelles n'ont pas été touchées.
3. Fuite de mots de passe de BAL. La situation est similaire à la précédente, il serait logique de bloquer la ressource concernée et d'autoriser seulement les adresses de confiance.
4. Manque d'expérience ou erreurs dans le développement du site, permettant l'envoi de messages via des formulaires sans Captcha. La situation est similaire à la précédente, mais dans ce cas, il est facile de prouver que le problème est sur le site, c'est flagrant.
5. Possibilité d'enregistrements de masse, dans ce cas, des messages sont envoyés comme si un utilisateur avait été enregistré. Ceci peut se produire à cause d’erreurs commises lors de la création d'un site.
6. Envoi de notifications en exploitant des irrégularités dans la logique du fonctionnement du site. Par exemple, les attaquants utilisent les notifications du serveur de messagerie à l'expéditeur lorsque la boîte aux lettres du destinataire est indisponible ou n'existe pas. De tels messages sont connus comme Rapport de non-remise (NDR, Non-Delivery Report), Delivery Status Notification (DSN), Non-Delivery Notification (NDN), messages bounce. L'envoi de spam est obtenu par l'imitation de l'adresse de l'expéditeur.

   Dr.Web Antispam filtre automatiquement ce qu'on appelle le spam technique, y compris les messages bounce. Pour en savoir plus, consultez la page.

7. Forwarding des messages reçus. Le "morceau le plus savoureux" pour les spammeurs est OpenRelay. Auparavant, il était largement utilisée légalement, mais suite à l'activité des spammeurs, il ne l’est plus. Maintenant, le transfert de messages reçus sans autorisation est considéré comme une erreur de l'administrateur de la ressource concernée. Liste noire.

La liste n'est pas courte, mais nous n'avons pas mentionné des situations plus exotiques, comme, par exemple, les attaques avec le piratage des serveurs via lesquels les messages transitent afin de les remplacer par des spams.

Comme vous pouvez le voir, les raisons pour lesquelles les sites peuvent envoyer du spam sont très variées : de vulnérabilités dans le code du site jusqu'à des erreurs dans sa configuration. Malheureusement, la plupart des erreurs sont favorables aux criminels.