Saudações, pessoal.

O artigo de hoje foi escrito especialmente para o amigo Bruno Lopez, do Blog do Lopez, sendo publicado exclusivamente aqui.

E-mail é um dos principais meios de comunicação do mundo conectado. Ok, antes de Whatsapp, Kaizala, Viber, e Telegram; era muito mais. Mas, ainda assim, corporativamente falando, segue na liderança.
O SMTP (simple mail transfer protocol) é o protocolo utilizado para envio (e recebimento) de mensagens entre servidores. A comunicação ocorre, normalmente, nas portas 25 (texto puro) e 587 (criptografado), possibilitando a comunicação entre os mais diversos domínios, no mundo inteiro.
Como tudo que vem para facilitar, pode ser utilizado para fins ilícitos. SPAM, Phishing e muitos outros ataques se baseiam, primordialmente, em SMTP como meio de propagação. Por ser um protocolo com poucos controles de segurança, o mesmo se torna suscetível aos mais diversos tipos de ameaças.

E o que fazer para garantir um mínimo de proteção nas nossas comunicações de e-mail?
Existem diversos tipos de técnicas, controles e recursos que podem ser utilizados, no intuito de aumentar o nível de proteção da comunicação de e-mail entre nosso domínio com o mundo, e vice-versa.
Listarei abaixo algumas possibilidades.

  1. Registros SPF (Sender Policy Framework): Utilizado para garantir a identidade de um MX (mail exchanger) mediante seu domínio, reforçando sua autorização para envio de mensagens em nome do mesmo. Antes do SPF, era muito comum termos servidores SMTP mal configurados utilizados para SPAM, enviando mensagens em nome de domínios que o mesmo não representava.
  2. DNSSEC: É uma suíte de extensões publicada pela IETF (Internet Engineering Task Force), que possibilita autenticar a origem da resolução de nomes para determinado domínio, gerando um índice de confiabilidade maior e garantindo, de certa maneira, a autenticidade dos registros, incluindo o MX. Não foi um recurso criado para proteção de e-mail em si, mas o sistema de envio de e-mails faz uso disso como validação, também.
  3. ANTISPAM: Talvez o mais clássico e conhecido dos controles de segurança. Através de uma série de análises baseadas em diversos tipos de métricas (origem, remetente, corpo, mensagem, dentre muitas outras coisas), consegue identificar a licitude de uma mensagem, permitindo ou negando sua entrada no servidor de e-mail corporativo. É uma camada adicional de proteção colocada ANTES de a mensagem ser efetivamente processada pelo servidor de correio. Alguns fabricantes permitem que seja criada uma quarentena, onde e-mails com um score mais baixo de SPAM sejam direcionados, possibilitando ao administrador ou ao usuário avaliar a mensagem e permitir sua entrada ou não na caixa do destinatário.
  4. ANTIVÍRUS: Normalmente atuando em conjunto com ANTISPAM, o antivírus para correio permite bloquear uma mensagem com código malicioso, antes que a mesma alcance do servidor de correio e, consequentemente, a caixa de e-mail do destinatário. Há a possibilidade de remover apenas o anexo , infectado e permitir a passagem da mensagem de texto para o destino, incluindo um aviso sobre a retirada do código malicioso.
  5. SMTP Proxy: Sendo um protocolo que atua na camada 7 do modelo OSI, o SMTP possui uma série de métodos, estabelecidos na RFC do protocolo, que definem quando e como as comunicações irão ocorrer. Alguns métodos conhecidos e bastante comuns são: HELO, MAIL FROM , RCPT TO ,etc… Através desse controle, é possível, por exemplo, limitar o tamanho do campo MAIL FROM, evitando uma exploração de buffer overflow, que poderia conceder acesso privilegiado de um atacante a um servidor alvo, cuja configuração poderia ter alguma vulnerabilidade que permitisse isso.
  6. Criptografia na transmissão das mensagens: O SMTP, por padrão, é texto puro. Isso implica na possibilidade de se interceptar uma comunicação entre dois servidores SMTP, capturar mensagens, acessar seu conteúdo, modificar, roubar, etc… Para evitar esse tipo de situação, trabalhar com criptografia no envio/recebimento de mensagens sensíveis é uma boa prática, garantindo confidencialidade e integridade dos e-mails enviados/recebidos.

E quais são os principais ataques, que temos circulando no universo dos e-mails, hoje?

  1. Phishing: O ato de “pescar” é conhecido na humanidade, desde AC (antes de cristo). E, no mundo da segurança da informação, esse ataque é um dos mais executados, e perigosos, do universo do correio eletrônico. Esse tipo de ataque consiste em criar mensagens falsas, com conteúdo aparentemente lícito, no intuito de enganar os alvos (que podem ser direcionados ou não), a baixar softwares maliciosos, clicar em links duvidosos e, a partir daí, roubar informações, identidade, comprometer o host da vítima, dentre outras possibilidades. É um ataque que é baseado em engenharia social, atuando no elo mais fraco da cadeia: O ser humano.
  2. Password Spray: Esse tipo de ataque é um tanto interessante. Ele se baseia em conseguir uma série de usuários válidos de uma determinada organização, através de técnicas de engenharia social usando, por exemplo, phishing. Uma vez que seja construida essa base de contas, um ataque é disparado utilizando uma senha simples como 12345678 ou P@ssw0rd. Dessa forma, os sistemas de autenticação que são, normalmente, configurados para bloquear tentativas sucessivas de senhas em uma mesma credencial (força bruta), não conseguem identificar, necessariamente, como um ataque. Educação e padrões para criação de senha inicial, sem ser simples ou fáceis de adivinhar são os controles mais efetivos contra esse tipo de ataque.
  3. SPAM: O mais conhecido e antigo de todos. SPAM é, basicamente, uma mensagem indesejada ou não autorizada recebida através de correio eletrônico. Pode ser uma propaganda qualquer, uma dica de como aumentar determinadas partes do seu corpo ou perder 10kg em 5 dias. Normalmente são mensagens “inocentes”, e que apenas acabam por atrapalhar a produtividade do usuário.

Bem, é isso. Existem muitos outros tipos de ataques e contramedidas no mundo da segurança da informação. E, os mais efetivos, SEMPRE tem como alvo o elo mais fraco da cadeia, que é o ser humano. Capacitação será a sua melhor arma contra os mais diversos tipos de ataque, sobretudo os de engenharia social. Usuário treinado é usuário resiliente. E se você deseja aumentar o engajamento dos seus usuários nos treinamentos de segurança, experimente não focar nos sistemas corporativos, mas sim na conta do banco dele, senha de cartão de crédito, e-mail pessoal e por aí vai. Já dizia minha avó: “Costume de casa, vai a praça”. Mas isso é assunto para um outro post.

[]´s e até a próxima.

Alberto Oliveira, CISSP
Head Of Security Services
TrueSec Security Experts

MVP Reconnect