V čem otevírat přílohy mailů bezpečněji

kilapilatilabum:
Důležitá informace k vyvrácení hned na začátku: Nikdy nevíte, jestli odesilatele mailu znáte, nebo ne. Kdokoliv totiž může poslat email, který se tváří, že odešel z jakékoliv existující či neexistující emailové adresy na světě. Čtení na toto témat pro informačními technologiemi méně zasažené lidi je k nalezení zde.

Druhou věcí zde je to, že i když by email opravdu odešel z počítače Vašeho kontaktu, existuje šance, že Váš kontakt byl kompromitován a přestože reálně email odešel skrze jeho mailovou schránku, ani o tom nevěděl a ve skutečnosti to provedl nějaký spambot, co se mu usídlil v počítači.

No a potom, co už víme, že "odesilateli" mailu se nedá věřit, záleží všechno především na koncovce, kterou ona příloha má.

Takový základní rozhodovací postup, zda otevřít či neotevřít by mohl vypadat takto:
1. Příloha je typu .exe, .bat., .ps1 a podobné koncovky, které Vám od prvního pohledu nejsou známé => NEOTEVÍRAT

2. Příloha je typu .doc, .docx, .xlsx, .xls, .pps, .ppt, .pptx, .ppsx a obecně jakékoliv dokumenty běžně otevírané v nástrojích sady Microsoft Office => V tomto případě může jít jak o škodlivý, tak neškodný obsah. Nejlépe pak je, pokud Váš klient je stránka typu gmail.com, která umožňuje náhled do těchto dokumentů online, bez stahování do počítače. Problém je zde s tím, že dokumenty otevírané nástroji MS Office mohou obsahovat makra, kterými Vám můžou začít šifrovat data na disku a pak požadovat zaplacení "výkupného", za které Vám ale zpravidla data neodšifrují.

3. Příloha je typu .jpg, .png či jiných obrázkových typů => Otevírat přímo v klientovi, nestahovat do počítače.

Potřebujete-li určitě otevřít i přílohu mailu, která nezapadla do žádné kategorie, přemýšlejte následovně: Znám odesilatele? A pokud ano, očekával jsem od něho tento mail v tomto čase? Pokud ano, ví ještě někdo, že jsem tento mail v tomto čase od tohoto kontaktu očekával? A na základě odpovědí na tyto otázky pak jednejte.

První obrannou linií proti útokům skrze přílohy mailů jste vy sám. Druhou, v případě, že první selže je pak antivirový program, který máte nainstalovaný. Z volně dostupných pro platící uživatele Windows jsou například Microsoft Security Essentials, popřípadě jeho novější verze v novějších systémech Windows Defender. Z placených pak rozhodně sázkou na jistotu je to ESET.

mckay
Kdokoliv totiž může poslat email, který se tváří, že odešel z jakékoliv existující či neexistující emailové adresy na světě.

To není tak úplně pravda, udělat to může, ale existují nástroje, jak poznat, že to je podvržené. Třeba GMail to i docela kontroluje - nedokážu tam podvrhnout adresu tak, aby to neskončilo ve spamu nebo nebylo zobrazené, že to poslal někdo jiný.

kilapilatilabum
Stáhni si Live CD linuxu. V BIOSu odpoj disk, nabootuj z live CD a nic moc ti nehrozí. Virů, které fungují na linuxu a dokážou se zavrtat tak hluboko, že v systému zůstanou i po vypnutí live systému, je minimum. Snad jen bych si dal pozor na zařízení v místní síti, mohlo by se to zkusit někam připojit (na router) a napadnout ten.

kilapilatilabum:
Nejlepší by bylo otevřít je přímo v mailovém klientu. Například Seznam či Gmail poskytují online náhledy, jak bylo řečeno v [#2].

TomášK:
Ano, cokoli s trochu lepší logikou, co nezávisí na samotném SMTP, co to tohle umožnuje, kontroluje původ emailové zprávy vůči DNS záznamům.

Nadávno na to bylo téma v práci, že můžeme takhle podstrkovat email, co nám uživatel zadá a nemusíme nic řešit... No, musíme, skoro všichni podvrhnutý email jakkoli zablokují, protože vůči DNS zjistí, že to odeslal jiný mail server, jedná o SPF.

Jenže je zase fakt, že thunderbird mi takto podvrhnutý mail v klidu stáhnul! (Testovali jsme to)

kilapilatilabum:
Najjednoduchšie riešenie použiť nejaký virtuálny stroj a v ňom linux alebo windows. Ak nastane problém, proste zmažes virtuálku a hotovo :)

mckay:
„Příloha je typu .jpg, .png či jiných obrázkových typů => Otevírat přímo v klientovi, nestahovat do počítače.“
Ehm, no, a co myslíš, že asi ten klient dělá, aby ho mohl zobrazit? Stáhne ho do počítače a pak zobrazí.

Keeehi:
Chyba, že jsem se snažil odpovědět co nejvíce genericky. Předpokládal jsem, že odpověď třeba bude časem číst nějaký BFU, kterému se podaří stáhnout do počítače a spustit Pohled-z-dovolene.png.exe, a proto jsem volil slova tak, jak jsem je volil. Zobrazením přímo v klientu jsem měl na mysli něco ilustrovaného následujícím obrázkem, kde tak nějak předpokládám, že si klient zavčasu uvědomí, že nejde o obrázek ale o něco jiného a nebude to, dost možná narozdíl od uživatele, zkoušet spustit.



TomášK:
Tak asi jako všude v tomhle oboru, záleží hodně na okolnostech, takže opět je dle mého, lepší to zahrát všeobecně a s dávkou zdravé paranoyi, neb nevíme, jakých služeb a jakých emailových zprostředkovatelů náhodný kolemjdoucí, případě i tazatel, využívají.

A jen tak na okraj, nedalo mi to a ozkoušel jsem to a jsem si schopný poslat podvržený mail, který mi Gmail nerozezná jako podvržený (a to i pro maily jako je spravce@seznam.cz a podobné). Samozřejmě jsem se musel trochu snažit a uvážit od 'koho' předstírám, že mail odchází a podle toho volit prostředky, tudíž to nebude aplikovatelné na úplně všechny případy a úplně všechny scénáře, ale bude to stačit na jejich velké množství a to mělo být mou původní pointou.

Opírat se o to, že Gmail to většinou pozná, nebo o existenci případných nástrojů, které to zkontrolují (přičemž předpoklad, že je každý má k dispozici a nebo ví jak je používat by byl značně naivní) mi nepřijde ten správný způsob, jak se k celé problematice bezpečnosti stavět.

mckay:
„kterému se podaří stáhnout do počítače a spustit Pohled-z-dovolene.png.exe“
Ale to už jsi přece pokryl v
„Příloha je typu .exe, .bat., .ps1 a podobné koncovky, které Vám od prvního pohledu nejsou známé => NEOTEVÍRAT“
Pokud uživatel nedokáže poznat, že poslední koncovka je jediná platná, pak mu nepomůže ani tvůj rozbor podle koncovek, protože nepozná, podle čeho se má řídit.

mckay
Vcelku souhlasím, já jen rozporoval, že nikdy nevím, kdo mi e-mail poslal. Někdy jo, tedy aspoň dokážu říct, že to odeslal poštovní server, který patří k dané doméně. Ne že by to k něčemu bylo.

To odesílání e-mailu na GMail mě docela zajímá. Když jsem to nedávno zkoušel, GMail vyžadoval SPF a DKIM, jinak to zahodil. Z domény, která to neměla nastavené, jsem nedokázal poslat e-mail jinam než do spamu. "Obejít" se to dalo pomocí SRS, ale GMail, narozdíl od ostatních, zobrazí informaci, že to posílal někdo jiný. Používáš též SRS nebo máš jiný způsob, jak e-mail doručit?

kilapilatilabum:
„Existuje i rychlejší a praktičtější řešení, než odpojovat disk a bootovat z live CD linuxu?“

Jak píše pcmanik [#7], nejjednodušší je virtuální stroj. Tak se dají bezpečně zkoumat i přílohy, o kterých vím, že to je virus, ale zajímá mě, jak funguje :-)

Nejbezpečnější postup asi bude spustit virtuál, v něm stáhnout přílohu, odpojit virtuál od sítě, prozkoumat přílohu a ukončit virtuál bez uložení dat.