¿Es el correo electrónico más seguro cuando no se permite que pase ningún contenido comprimido?

Navega tus respuestas
10

Ah. Esta es una pregunta un poco suave, pero creo que podría haber algunas aquí que pueden compartir alguna información.

Soy un desarrollador. A veces necesito enviar un archivo DLL o EXE (solucionado) a un cliente. Si este cliente está en una gran empresa, esto es lo que hago:

  1. Cambie el nombre del archivo ejecutable (module.dll - > module.d__)
  2. comprima el archivo con contraseña para que el servidor de correo no pueda descomprimirlo
  3. renombra el archivo zip (module.7z - > module.7.txt)
  4. envía esto por correo electrónico y agrega una explicación larga para el tipo que se encuentra en el otro extremo sobre cómo obtener el archivo
  5. cruzar los dedos para que pase a través de los filtros

Ahora, puedo entender que los filtros de correo electrónico no permitirán los archivos adjuntos exe pelados.

Lo que no pude captar es cómo los filtros del servidor de correo electrónico descomprimen todos los archivos adjuntos y luego también comprueban los archivos descomprimidos en busca de archivos ejecutables, independientemente de su extensión. cualquier seguridad . Un archivo zip no explotará de repente en la cara de los usuarios. Tendrá que descomprimir el archivo para acceder a cualquier contenido potencialmente malicioso. Si puedes conseguir que descomprima un archivo, haz que salte a través de los aros que describí anteriormente.

¿Ideas?

    
pregunta Martin 27.09.2011 - 14:05
fuente

2 respuestas

6

Bueno, un ejecutable simple es peligroso porque algunos usuarios intentarán ejecutarlo. No deberían, les dijeron que no, pero sí.

Un archivo Zip, posiblemente renombrado, que contiene archivos ejecutables posiblemente renombrados, también es peligroso porque algunos usuarios cambiarán el nombre de los archivos, descomprimirán y ejecutarán lo que encuentren. No deberían, les dijeron que no, pero sí.

He recibido un virus de correo electrónico que usó un archivo Zip renombrado con un contenido renombrado y una contraseña. El correo electrónico contenía instrucciones detalladas sobre cómo "abrir" el archivo y un "discurso de motivación" (generalmente, la promesa de una celebridad desnuda, a veces amenazas de naturaleza fiscal). El hecho de haber recibido dichos correos electrónicos demuestra que al menos algunos usuarios, en algún lugar, siguieron las instrucciones y se infectaron. Triste pero cierto.

Los filtros de correo electrónico intentan encontrar el lugar correcto entre la inseguridad y la molestia extrema del usuario. Así que dejarán pasar algunas amenazas hábilmente ocultas, si bloquearlas implicaría dejar de hacer negocios. En su caso, está muy contento de poder enviar su EXE o DLL. Desde ese punto de vista, el bloqueo de archivos Zip sin nombre es una "pequeña molestia" (con la que estás trabajando de manera efectiva, por lo tanto, el "menor") pero bloquea una cantidad sustancial de virus y malware. Bloquear más sería "más seguro" pero elevaría la molestia al nivel "mayor".

    
respondido por el Thomas Pornin 27.09.2011 - 15:20
fuente
4

Creo que definitivamente hay un elemento de verdad en tu última oración: el problema es que los controles del perímetro no son efectivos.

Si va a escanear en el perímetro, debe asegurarse de que los controles estén configurados para que el archivo se escanee o no se permita su paso. Entonces funciona como se espera: todo lo que ingresa se escanea en busca de carga maliciosa.

Sin embargo, lo que ha descrito es una solución que puede reducir la seguridad, ya que aprovecha una comprobación muy simple: busca un archivo zip por extensión, que falla, lo que permite que cualquier contenido pase los controles del perímetro. / p>

Una forma correcta de hacer esto (hay otras) es implementar una solución de correo electrónico seguro para la empresa que ofrezca transporte seguro, evalúe un archivo en función de lo que es, no de su extensión, así como una forma de escanear fuerte> todo en el perímetro, tanto entrante como saliente.

    
respondido por el Rory Alsop 27.09.2011 - 14:34
fuente

Lea otras preguntas en las etiquetas

Autenticación entre múltiples sistemas / plataformas dentro del mismo contexto de aplicación web ¿Usando “canarios” para detectar la intrusión?