• Exploit per il protocollo SMTP: identità nascoste o fasulle

    Ogni giorno tutti mandiamo mail ai nostri, cari o anche mail lavorative a nostri colleghi… Noi per
    accettarci del mittente della e-mail guardiamo subito l’indirizzo e verifichiamo se si tratta di una persona conosciuta o meno. Niente di più sbagliato si può falsificare tutto: anche creare un clone identico all’originale che non abbia alcuna differenza.

    Basta effettuare una connessione telnet verso uno dei tanti server SMTP disponibili su Internet, ovviamente interrogando la porta 25 (anche se non è una regola fissa), e con comandi manuali propri del protocollo in questione si riesce facilmente a scrivere e inviare la mail da telnet (in fondo è lo stesso principio di funzionamento dei vari client di posta).

    In particolare esiste un comando specifico SMTP che durante la costruzione manuale della mail permette l’inserimento un qualsiasi indirizzo nel campo mittente, modificando anche l’id che contraddistingue il messaggio dando veramente così l’apparenza di essere chi in realtà non si è…

    Tutti i server mail che ammettono connessioni di tipo client-telnet sono potenziali mezzi utilizzabili da malintenzionati per l’exploit.

    Ovviamente, oltre a questo metodo, è possibile spacciarsi per chi non si è anche tramite programmazione. Basta infatti una riga di codice PHP con la funzione mail per inviare una email con l’indirizzo, per esempio, di un politico o di un VIP. Ovviamente in caso di risposta, queste arriveranno al reale indirizzo e non a chi invia.

    La prossima volta che leggerete una mail di un vostro caro amico o aprirete un file allegato pensateci bene e cercate di essere davvero sicuri!

    Tags:

    Se vuoi aggiornamenti su Exploit per il protocollo SMTP: identità nascoste o fasulle inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Max dice:

      Beh, mi pare la scoperta dell’acqua calda onestamente!
      Non si tratta di exploit del protocollo SMTP (e che siamo , nel sito di Salvatore Aranzulla??), funziona così e basta. Sta eventualmente ai gestori del server prevedere un meccanismo di autenticazione, che comunque non fa parte del protocollo SMTP.

    2. Emanuele Polzoni dice:

      Ciao max,
      Ti spiego perchè è un exploit.
      L’exploit non è un bug. Non deve necessariamente discostarsi dalle funzionalità previste dal programma in questione o sfruttare una programmazione non ottimale: tramite l’exploit ci si prefigge di arrivare ad uno scopo; nel caso specifico questo scopo puo’ essere raggiunto utilizzando comandi permessi dallo stesso protocollo.
      Anche il social engineering è considerato a tutti gli effetti un exploit anche se puo’ risultare banale non richiedendo alcuna abilità tecnica e non sfruttando alcun difetto di programmazione ;-).
      Purtroppo pero’ l’80% degli attacchi informatici portati a buon fine avvengono proprio a causa di attacchi che, considerati banali, non vengono considerati… ci dovrebbe far pensare:)
      Rimango a disposizione qualsiasi chiarimento ulteriore, ciao

    3. Io non la vedo così semplice; probabilmente una volta erano disponibili gli open relay, oggi i provider si curano del traffico che passa attraverso i propri server per evitare il black listing; oggi gli SMTP si sono tramutati in ESMTP con funzionalità di autenticazione e relay denying.
      Calcola per esempio quanto sia vincolato a Libero Infostrada visto che al loro POP3 non mi fanno accedere da network esterno. E’ vero ora collegandomi a mail.libero.it posso inviare mail a nome di silvio@berlusconi.it ( anche se comunque l’rcpt to viene troncato ) ma è anche vero che conoscono il mio ip essendo usufruitore della loro linea ADSL

    4. Max dice:

      @Emanuele: la questione si fa filosofica! Wikipedia definisce exploit qui: http://en.wikipedia.org/wiki/Exploit_(computer_security) ; liberamente interpretabile direi.
      Diciamo che non avrei intitolato il tuo post allo stesso modo, il messaggio credo che dovrebbe essere: “non autenticate il mittente delle vostre e-mail dal nome che compare nel campo ‘Da’”.
      @Davide: alcuni SMTP si sono tramutati in ESMTP, che peraltro a volte non sono usati a dovere. Molti smtp fanno l’autenticazione via POP prima di farti inviare la posta, ma moltissimi altri sono ancora aperti e liberamente utilizzabili per falsificare gli indirizzi email. Sono d’accordo sul fatto che comunque conoscono il tuo IP, ma esistono comunque i modi per rendere difficile/lungo il tracciamento del proprio IP, soprattutto in un mondo in cui tutti tenderebbero a cercare l’anonimato in rete.

    5. Emanuele Polzoni dice:

      x Davide
      ciao Davide
      Si è vero che con il protocollo ESMTP c’è il relay deny con relative protezioni certo ma è anche vero che non tutti si sono adeguati; inoltre il nostro ipotetico pirata informatico dovrebbe essere uno sprovveduto se la connessione la fa sul suo pc di casa… di norma si utilizzano tanti “ponti”.
      Ciao Davide e grazie del commento:) rimango ovviamente sempre disponibile a rispondere per qualsiasi dubbio.
      x Max
      Effettivamente exploit letteralmente significa prodezza e si presta a tutte le interpretazioni del mondo a seconda dell’esperto che la interpreta ;-)
      Il significato del post era ovviamente informare l’utente medio (che di norma controlla solo il campo mittente) e di fare attenzione e di non considerarlo come elemento assoluto dell’autenticità della mail.
      Per il titolo dicevamo che Exploit si presta a diverse interpretazioni dico bene ;-)
      A presto Max, resto sempre a disposizione a rispondere a qualsiasi domanda tu voglia farmi, saluti:)

    6. denis dice:

      Concordo con chi ha sottolineato il non corretto utilizzo del termine “exploit”. Se l’intento era quello di informare l’utente medio avrei trovato più logico un titolo quale “alla scoperta del mittente nascosto”, o qualche cosa di simile.
      Le fake-mail sono d’altra parte argomenti trattati nella stragrande maggioranza delle guide ,”hacker” e non, reperibili in rete
      http://www.google.it/search?q=fake+mail&ie=utf-8&oe=utf-8&aq=t&rls=com.ubuntu:en-US:official&client=firefox-a
      (oddio la mia privacy!!! :-] )
      ed anche piuttosto datate.
      Diciamo che il burlone di turno raramente si metterà a passare per altri host al fine di rendersi anonimo (se burlone è), metodica che si addice maggiormente al delinquente, che forse oggi è un passo avanti ed una le botnet.
      Per quel che ho visto è abbastanza semplice collegarsi al server di posta dell’isp usato dalla “vittima” per inviargli la mail a nome di vattelapesca@vip.it, salvo vedere il proprio ip negli headers, anche quando si è risposto all’HELO con qualche cosa di apparentemente attendibile/congruente.
      mentre, come fa notare davide, non si riesce ad inviare fuori dominio.
      ricordo che lo scorso hanno Hakin9 aveva pubblicato due interessanti articoli relativo all’(ab)uso degli open-relay per l’attività di spamming

    7. Benji dice:

      concordo, titolo non inerente, mi aspettavo di leggere chissà che cosa… !
      non dimenticate inoltre che basta utilizzare il server smtp relativo all’isp del destinatario per essere certi di evitare hop inutili e che l’email venga accettata

    8. Emanuele Polzoni dice:

      Ciao Dennis
      Ti rispondo con ordine:
      Sottolineo il fatto che il termine exploit non si limita a sfruttare solo i bug presenti nei programmi; l’exploit è un metodo, anzi, se si sfruttano comandi e protocolli ammessi si tratta di un buon exploit.
      Detto questo sono felice e rispetto le opinioni di chi non la pensa come me, a questo mondo dovremmo tutti quanti raggiongere pareri che siano del tutto nostri ;-)
      Le fake-mail sono trattate in rete da diverse guide hacker (come hai affermato tu giustamente) ma non c’è bisogno di guide hacker perchè i comandi che si utilizzano sono presenti in qualsiasi descrizione del protocollo SMTP o ESMTP (un estensione di SMTP).
      Purtroppo il 90% degli hacker o di chi si definisce possiamo definirlo pseudo-hacker che effettua un exploit di questo tipo lo fanno per spamming come hai detto tu, mentre invece nel restante 10% dei casi lo fanno al fine di raggiungere uno scopo ben preciso ed è da loro che ci dobbiamo guardare.
      per continuare le mie risposte al tuo post, non ci si deve epr forza collegare al server smtp della vittima per mandargli il messaggio fasullo, lo puoi fare accedendo ad un QUALSIASI server smtp che permette l’accesso. Per fare un esempio: se ci saranno filtri su l’smtp di libero allora se tu sei con “alice” per esempio non potrai connetterti a quel server… ma ciò non impedisce che tu possa collegarti su altri server (architettura di rete permettendo).
      Si il tuo ip viene segnato certo il fatto rimane inutile se si utilizzano “ponti”.
      A presto

    9. denis dice:

      certo che basta una guida sul protocollo smtp, ma il ragazzino di turno farà una ricerca semantica di tipo diverso ;-P
      “non ci si deve epr forza collegare al server smtp della vittima per mandargli il messaggio fasullo”, I know, era solo per evidenziare comunque l’estrama facilità della cosa, mentre più difficile trovare server smtp “aperti”.
      Gli isp, finalmente, sanno dell’esistenza del problema ed operano di conseguenza, mettersi a cercare quelli che non hanno configurato con attenzione il servizio può essere un lavoro lungo, come dicevo più indicativo del delinquente vero, che al giorno d’oggi risparmierà tempo usando la botnet.
      Il problema che tu hai evidenziato esiste, ed hai ragione ad averne parlato, tuttavia chi usa tali metodiche per delinquere phishier, spammer, ecc…dovrebbe essere individuato dall’utente ad uno step precedente: uso del buonsenso, di tool anti phishing, di client email che individuano le possibili truffe e sono dotati di filtri anti spam, ecc….
      L’utente che non fa tutto ciò difficilmente guarderà tra gli headers, o visualizzera la mail in solo testo.
      dalla tipologia di commenti qui presenti credo che ben pochi di quelli che vi seguono non conoscano il problema, quindi noi pignoli ti stiamo rompendo le scatole per la non congruenza tra titolo/contenuti del post e target finale.
      Siamo dei noiosi, petulanti, che si attaccano ai bruscolini perchè non hanno di meglio da fare, quello che si deve dire in realtà è che l’importante e parlare di queste cose, cercando di raggiungere il pubblico più ampio possibile, quindi ben venga il vostro lavoro e sopportateci.
      Qualcuno altro vi ha letto?
      http://vitedigitali.blogspot.com/2007/10/come-inviare-mail-con-telnet.html

    10. Emanuele Polzoni dice:

      A me fa tanto piacere che ci siano persone che mi criticano anche per dettagli, creare un dibattito è sempre una cosa positiva.

      un saluto a tutti e continuate a leggerimi

    11. phoenix dice:

      ciao,
      sono l’ autore dell’ articolo http://vitedigitali.blogspot.com/2007/10/come-inviare-mail-con-telnet.html

      Solo per puntualizzare, è la prima volta che vedo questo blog e non ho preso spunto da questo articolo.

      Cmq come già altri hanno detto, l’ identità del mittente è facilmente ricavabile sia dal destinatario guardando negli header della mail, sia ovviamente dai provider che possono controllare i loro log.

      Devo anche dire che “torificando telnet” l’ IP che compare negli header della mail viene “spoofato” ma ci sarebbe sempre la problematica della richiesta DNS con cui potrebbero risalire a noi.

    12. denis dice:

      scusa Phoenix, non volevo dire che tu avessi copiato, per carità, era solo buffa la coincidenza di due articoli con temi simili e ravvicinati nella pubblicazione.
      seguendo anche il tuo blog l’ho notato e linkato, scusa se ho dato il fianco a fraintendimenti.

    13. phoenix dice:

      @ denis: non ti preoccupare, nessun problema. Effettivamente è una buffa coincidenza…
      E poi per dirla tutta l’ articolo che sta sul mio blog l’ avevo abbozzato già parecchie settimane fa…

      comunque alla fine di questa buffa vicenda ho scoperto 2 siti interessantissimi: oneitsecurity ed un certo denisfrati.it ;-)

      bye

    Commenta

    Your email address will not be published. Required fields are marked *