Anlise das Vulnerabilidades do Sistema de Correio Eletrnico

Paulo Ricardo Silveira Trainini1, Alexandre da Silva Carissimi1

1

Instituto de Informtica Universidade Federal do Rio Grande do Sul (UFRGS) Caixa Postal 15.064 91.501-970 Porto Alegre RS Brazil
trainini@yahoo.com.br, asc@inf.ufrgs.br

Abstract. This paper describes the main electronic mail system vulnerabilities, as well as the ways more appropriate to treat them. This treatment aims, mainly, to optimize and to increase the robustness, simplifying administration tasks. Resumo. Este artigo descreve as principais vulnerabilidades do sistema de correio eletrnico, bem como as formas mais adequadas de trat-las. Este tratamento objetiva, principalmente, otimizar e aumentar a robustez, simplificando as tarefas da administrao.

1. Introduo
A incluso dos servios da Internet (correio eletrnico, web, entre outros) ocorreu de maneira repentina e macia tanto na vida empresarial quanto na pessoal. Esse uso exigiu que as aplicaes que implementam tais servios se tornassem cada vez mais exigentes em desempenho, robustez e segurana. Se estas necessidades forem ignoradas, fatalmente essas aplicaes se tornaro obsoletas, pois a importncia desses aspectos aumenta junto com o nmero de usurios, que continua crescendo em progresso exponencial. Este trabalho visa analisar os aspectos de robustez e segurana no servio de correio eletrnico. Para melhor delimitar seu escopo, os problemas de segurana e de confiabilidade so divididos em dois grandes grupos: os que visam danificar um sistema explorando suas falhas e os que aproveitam essas falhas para usar indevidamente seus recursos. O ponto abordado por este trabalho focado no segundo grupo. Inicialmente, na seo 2, se discute os principais problemas que afetam o correio eletrnico. Em seguida, na seo 3, so apresentadas uma srie de solues para reduzir, ou eliminar, esses problemas. Por ltimo, conclui-se na seo 4.

2. Problemas com correio eletrnico

No incio o uso da Internet era restrito comunidade acadmica e utilizada para fins cientficos, porm hoje esse panorama completamente diferente. A popularizao da Internet aumentou consideravelmente o nmero de usurios e sua finalidade de uso. O correio eletrnico, ou simplesmente e-mail, se tornou uma forma de comunicao

pessoal bastante comum e com isso exps uma srie de vulnerabilidades que at ento eram insignificantes. Mensagens no solicitadas, vrus, proteo do contedo de mensagens, falsificao de identidade so alguns dos problemas que comprometem o desempenho, a robustez e a segurana do e-mail. As mensagens no solicitadas (propagandas, convites, apelos, etc), mais conhecidas como spam, atrapalham tanto o desempenho de servidores de e-mail, por sobrecarreglos desnecessariamente, como de quem no dispe muito tempo para organizar sua mailbox (caixa postal eletrnica). Separar tais mensagens demanda tempo e pacincia, e se isso no for feito com calma, corre-se o risco de perder mensagens importantes. Evitar que um servidor e-mail no receba spam impossvel, por isso filtrar mensagens spam e no entreg-las ao usurio final, ou ao menos identific-las como tal, torna-se cada vez mais importante. Entretanto esse trabalho extremamente dificil de ser realizado por completo, mesmo porque classificar algo como spam pessoal. O e-mail tambm um meio devastador de propagao de vrus de computadores. Os vrus tem como objetivo tornar um sistema inutilizvel pela destruio de um ou mais arquivos importantes ao sistema operacional. Normalmente eles so transmitidos como arquivos anexados a e-mails, e uma vez lidos ou abertos, a infeco ocorre. Uma vez ativado o vrus, uma ao se propagar, enviando automaticamente e-mails contaminados a pessoas da lista de contatos (address book) a partir da mquina infectada. A proteo do contedo de mensagens um ponto polmico. Se por um lado desejvel garantir a privacidade e a segurana das informaes que trafegam pela Internet na forma de e-mails, por outro lado, as vezes importante se ter um controle dessas. Por exemplo, uma empresa pode desejar realizar uma varredura em todas as mensagens que saem para evitar o risco de vazamento de algum tipo de informao interna estratgica. A criptografia surge como soluo para garantir a confidencialidade do contedo de emails mesmo com varreduras. Nesse caso, sob o ponto de vista de uma empresa, possvel barrar a sada (ou entrada) de mensagens criptografadas, ainda que no seja possvel abri-las. Outra vantagem do uso de criptografia permitir que um e-mail seja assinado digitalmente, garantindo a autencidade do remetente e seu no repdio (um usurio negar o envio de uma mensagem). Isso reduz problemas relacionados com a falsificao de e-mails e de identidades. O problema da falsificao de identidade originado pelo esquema de funcionamento do sistema de e-mail: para se ler uma mensagem necessrio uma senha de acesso mailbox, mas para enviar no, o que permite que um usurio forje a identificao do remetente. O envio da senha para recuperar e-mails revela um outro ponto de fragilidade, pois possvel monitorar o trfego da rede e capturar indevidamente senhas de usurios. responsabilidade do administrador da rede tentar eliminar ou reduzir ao mximo os inconvenientes gerados por esses problemas. Cabe ressaltar ainda que essa lista no completa porm retrata os principais problemas enfrentados em nosso dia a dia.

Os problemas anteriormente citados podem ser facilmente retratados utilizando a figura 1, bem como as solues posteriormente propostas para trat-los.

Envia MSG

L MSG

SMTP

MUA MDA

mailbox AA MTA MUA

POP ou IMAP

SMTP

MTA
SMTP MUA (Mail User Agent) Agente de Usurio MDA (Mail Deliever Agent) Agente de Envio MTA (Mail Transport Agent) Agente de Transporte AA (Access Agent) Agente de Acesso SMTP (Simple Mail transport protocol) POP (Post Office Protocol) IMAP (Internet Message Access Protocol)

Figura 1. Fluxo entre agentes

3. Solues
Nesta seo sero descritos os principais mtodos usados para tratar os problemas discutidos na seo anterior.

3.1 Medidas anti-spam (filtragem de mensagens no solicitadas) Como definido anteriormente, entende-se por spam uma mensagem no desejada. Do ponto de vista do usurio, esta definio est correta. Hoje impossvel obter sucesso completo na classificao das mensagens como spam. Dois so os motivos fundamentais. Primeiro, quem determina o grau de importncia de uma mensagem o prprio usurio. E cada usurio pode atribuir um grau de importncia diferente s mensagens que caem na sua caixa postal. Segundo, os mtodos utilizados pelos spammers (quem envia essas mensagens) evoluem na mesma velocidade que os meios utilizados para atacar o problema. Mesmo que no seja possvel eliminar o problema, tomar as medidas existentes para combat-lo diminui drasticamente o seu impacto, deixando-o praticamente insignificante. Para isso vrias medidas adicionais configurao inicial do sistema podem ser tomadas.

Uma dessas medidas configurar os servidores de e-mail, mais exatamente, os agentes de transporte de e-mails (MTA Mail transport agents), para despachar somente mensagens oriundas de mquinas pertencentes ao seu domnio. Isso evita que spammers externos utilizem indevidamente o servidor. Essa medida conhecida como restringir relay domains. Existem sites na Internet, como por exemplo, www.orbs.org, especializados em manter uma lista de servidores que no fazem tal restrio. Essa lista, atualizada periodicamente, denominada de relay blackhole list (RBL). As mensagens oriundas de servidores que constam nessa lista possuem grande probabilidade de serem spam e podem, portanto, serem bloqueadas, ou simplesmente classificadas e armazenadas em uma outra pasta (spam messages). Entretanto, a restrio de relay domains e o uso de RBLs so facilmente contornados por um spammer mais interessado em atingir seus objetivos. Por exemplo, se grande parte dos endereos alvo possuem o mesmo domnio (possuem conta em um mesmo provedor), ele pode criar uma conta de e-mail neste mesmo domnio somente para enviar spam para esses endereos. Nesse caso, as mensagens no sero barradas, mesmo que o administrador do sistema tenha tomado as duas medidas citadas (restringir relay domains e bloquear mensagens oriundas de servidores que constam nas RBLs). Para identific-las com maior preciso, no basta analisar seus endereos, mas tambm o seu subject (assunto) e o corpo. Por exemplo, se o subject se repetir em muitas mensagens, bastante provvel que se trate de spam. Isso pode ser feito atravs de programas denominados de E-mail Proxies, que interceptam e analisam as mensagens. Os E-mails Proxies, alm de auxiliar no combate de spam, possuem muitas outras facilidades, no existentes nos servidores de e-mail. Eles podem classificar mensagens segundo diversos critrios (remetente, destinatrio, tamanho, hora, etc) e tomar medidas especficas de acordo com essa classificao. Por exemplo, ao classificar as mensagens por tamanho, podem priorizar mensagens pequenas, deixando as maiores para horrios de menor trfego. Alguns E-mail Proxies mais conhecidos so spam assassin (spamassassin.org) e maildrop (www.courier-mta.org), freewares, e o produto comercial mailsweeper (www.mailsweeper.com). Alm das medidas tcnicas, possvel trabalhar no sentido de orientar os usurios quanto a utilizao do e-mail. Uma srie de recomendaes simples, porm teis, podem ser seguidas para evitar que endereos eletrnicos caiam nas mos dos spammers (Bertholdo, 2003). Primeiro, ignorar mensagens de spam, nunca se deve respond-las ou mesmo abri-las pois isso pode confirmar a validade de seu e-mail. Cuidar para no participar de listas abertas, quelas que divulgam os endereos dos participantes. Evitar divulgar o endereo de e-mail em pginas pblicas, pois os spammers utilizam ferramentas conhecidas como spiders que vasculham pginas web atrs de endereos email. Se for importante constar o endereo de e-mail na pgina, uma alternativa coloc-lo como uma pequena imagem. Dificilmente estes programas so espertos o suficiente para identificar textos em imagens. Sobretudo, existe uma medida simples que pode ser adotada: um endereo e-mail auxiliar, que serve apenas para se preencher cadastros temporrios, se inscrever em listas, entrar em discusses pblicas, etc. A probabilidade de ele cair nas mos dos spammers bem maior, mas se isso acontecer, basta abandon-lo e criar um outro para o mesmo fim, no afetando os contatos importantes, pois estes so feitos em outra mailbox destinada apenas para trocar mensagens com estes contatos.

3.2 Medidas anti-vrus De todas as vulnerabilidades, talvez a propagao de vrus pelo sistema de e-mail seja a mais alarmante. Seus efeitos so claros. Alm da possvel contaminao rpida entre as estaes de trabalho, uma comunicao importante pode ser cortada pelo sistema, caso este note a presena de vrus nas mensagens. Pode-se adotar, basicamente, duas formas de tratamento contra vrus: por configuraes adicionais ao MTA e interceptao por um E-mail Proxy. A escolha depende principalmente do porte da rede e da necessidade de flexibilidade nas medidas de segurana. Tanto uma forma quanto a outra seguem o mesmo princpio: interceptar e analisar a mensagem antes de entreg-la ao destinatrio. No tratamento por configuraes adicionais, o MTA executa um programa adicional para fazer a varredura da mensagem, o virus scanner, antes de process-la. Essa ao deve ser configurada explicitamente no MTA. A maioria das verses dos programas que implementam os MTAs, como o Sendmail e o Exchange, possuem esta facilidade. Um dos programas que implementam o virus scanner o Amavis (www.amavis.org). A vantagem dessa soluo sua a simplicidade. A principal desvantagem vem do fato que se o servio de varredura falha, o sistema pra, pois toda a sua configurao e processamento esto fortemente ligados. Ao contrrio da soluo anterior, o uso de E-mail Proxy, requer uma modificao na topologia lgica da rede, isto , nos caminhos que uma mensagem segue. Essa modificao necessria porque normalmente se mantm em agentes separados os servios bsicos do e-mail e o servio de varredura, distribuindo o processamento em mquinas distintas. A desvantagem desse mtodo que, alm de necessitar de mais computadores disponveis para o servio, distribui a configurao do sistema, o que pode complicar o servio de administrao da rede. Por outro lado, as vantagens so vrias. Pode-se citar desempenho, tolerncia a falhas e flexibilidade. O desempenho melhorado por distribuir as tarefas de varredura e de processamento de mensagens entre diferentes mquinas. Em caso de falhas no E-mail Proxy, para manter o sistema no ar, o processamento de mensagens no pra, ainda que a varredura contra vrus no esteja funcionando, bastando para isso um simples redirecionamento de rota das mensagens, que pode ser feito automaticamente. Tambm, importante lembrar que, na soluo por E-mail Proxy os agentes envolvidos (E-mail proxy e MTA) no necessitam se conhecer, podendo ser trocados e configurados de maneira independente.

3.3 Proteo e segurana atravs de filtragem de mensagens Muitas vezes necessrio fazer uma anlise mais detalhada das mensagens que trafegam pelo sistema, no bastando caracteriz-las como spam ou contaminada. Diversos motivos podem gerar essa necessidade: segurana, priorizao, classificao, contabilizao, monitorao, etc. Por exemplo, definir em que horrios as mensagens so despachadas de acordo com o seu tamanho: mensagens com tamanho superiores a 5 MB devem ser processadas fora de horrio comercial, com exceo de mensagens originadas por usurios privilegiados. Ou ento, proibir anexos de alguns tipos de arquivos (.exe, .zip, .gif, etc) por serem normalmente portadores de vrus. Ou ainda, o

uso de determinados termos. Outras mensagens podem ser despachadas normalmente, porm com cpia para um responsvel, caso se enquadrem em algum tipo de classificao especial. nessa categoria de proteo que se executa aes contra espionagem industrial atravs da transmisso de termos estratgios e/ou determinados documentos. Embora a prtica de varredura de e-mails seja comum para verificar a presena de vrus, sua realizao sem a permisso do usurio encarada pela justia como violao de privacidade. Para se proteger disso, muitas organizaes exigem de seus funcionrios a assinatura de um termo de compromisso o qual autoriza tal procedimento. Isso na realidade uma das orientaes da ISO 17799 (norma de segurana para corporaes). Estes so apenas alguns exemplos das possibilidades existentes nos filtros de mensagens. Todavia cada programa destinado para este fim possui caractersticas diferentes. Os programas mailsweeper e maildrop, j citados anteriormente, podem ser utilizados para implementar essas facilidades. A insero de um E-mail Proxy no sistema pode ser visualizada atravs da figura 2, a seguir: Analisa as mensagens, trata-as e toma as medidas cabveis.

MTA

E-mail Proxy

MTA

Figura 2. E-mail Proxy

Assim como qualquer outro agente, o E-mail Proxy pode estar hospedado na mesma mquina que o MTA ou em uma mquina distinta.

3.4 Privacidade, integridade e autenticidade de e-mail Alm do risco de uma parte da rede ser monitorada, qualquer servidor de e-mail pode analisar o contedo de uma mensagem. Ainda, mensagens podem ser forjadas e ou adulteradas. importante ento que se garanta a privacidade (confidencialidade) dos dados, a preveno contra adulteraes (integridade) e sua autenticidade. O emprego de criptografia nos oferece mecanismos para satisfazer esses requisitos. Tais requisitos so atendidos naturalmente pelo uso de criptografia assimtrica. O uso de pares de chaves pblica e privada garantem que uma mensagem criptografada s ser decodificada por

quem possuir a chave correta. Tambm, a integridade e a autenticidade podem ser verificadas atravs do uso de assinaturas digitais (Stallings, 1999). O PGP (Pretty Good Privacy) uma forma, largamente utilizada pela comunidade na Internet, que visa prover confidencialidade na troca de mensagens e de arquivos anexados atravs da criptografia assimtrica. Seu emprego est descrito na RFC1991 (Atkins, 1996) e pode ser estudado atravs do site www.pgpi.org. A utilizao do PGP no correio eletrnico simples, porm, se deve considerar a sua real necessidade, pois seu emprego requer um certo esforo de configurao por parte do usurio final, alm do uso de software especfico nas estaes envolvidas na troca de mensagem. De fato, PGP a melhor soluo para garantir a privacidade na troca de mensagens eletrnicas, atravs de criptografia de chave pblica entre os MUAs do remetente e do destinatrio. Como visto, o custo de gerenciamento desse recurso considervel. Alternativamente, existem trs solues que tambm provem tal caracterstica sem essa desvantagem. Todavia, elas possuem limitaes que devem ser consideradas antes de serem adotadas. So elas: SMTP STARTTLS, definido pela RFC2487, Webmail+SSL (SSL significa Secure Sockts Layer) e tunelamento sobre um servidor SSH. SMTP STARTTLS funciona de maneira semelhante ao SMTP AUTH (seo 3.5). S que ao invs de autenticar, toda a transferncia feita entre o MUA e o MTA criptografada (criptografia simtrica). No entanto, o restante do caminho que esta mensagem percorre at chegar ao seu destino (transferncias entre MTAs intermedirios) percorrido sem o uso de criptografia. Webmail+SSL tambm criptografa as transferncias entre o cliente e o MTA da mesma forma que SMTP STARTTLS. Neste caso, o cliente um browser (netscape, internet explorer, mosaic...). Contudo, alm de no garantir a privacidade entre os agentes intermedirios, como a soluo anterior, o prprio browser pode conter falhas de segurana que pem em risco a privacidade da comunicao. Um dos programas que implementa essa soluo o SqWebmail, freeware. Ainda, para garantir que a mensagem trafegue criptografada pelo restante do caminho (entre os MTAs intermedirios), o tunelamento SSH pode ser usado entre os dois MUAs envolvidos. Mais precisamente, essa soluo criptografa as transferncias feitas entre os servidores SSHD, que podem ser instalados nas mesmas mquinas que hospedam os MUAs do remetente e do destinatrio. A figura 3 ilustra a abrangncia das solues de criptografia descritas anteriormente. O uso do tunelamento SSH (atravs de servidores SSHD) em conjunto com STARTTLS equivale - considerando o trecho criptografado - ao uso do PGP. Esta forma visa prover as mesmas caractersticas do PGP (confidencialidade, integridade e autoridade) com a vantagem de tornar transparente ao usurio final o seu emprego, isentando este de configuraes adicionais ao seu sistema.

Porm, a negociao das chaves criptogrficas utilizadas para tornar confivel a troca de mensagens feita pelos servidores. E para isso, estes consultam um terceiro ente, chamado Autoridade Certificadora, que testa a validade de uma chave criptogrfica pblica utilizada na comunicao. Essa Autoridade Certificadora equivale, no sistema pblico, ao rgo emissor de carteiras de identidade, que deve ser consultado para verificar a validade daquele documento.
CRIPTOGRAFIA CHAVE PBLICA PGP Soluo de criptografia Trecho criptografado MUA MTA

...

MTA

MUA

CRIPTOGRAFIA CHAVE NICA

STARTTLS

MUA

MTA

...

MTA

MUA

CRIPTOGRAFIA CHAVE NICA

WEBMAIL+ SSL (HTTPS)

BROWSER

MTA

...

MTA

MUA

CRIPTOGRAFIA CHAVE NICA

SSHD

MUA

SSHD

MTA

...

MTA

SSHD

MUA

Figura 3. Tipos de criptografia de mensagens

3.5 Falsificao de identidade Uma das vulnerabilidades do sistema de correio eletrnico no exigir senha para se enviar uma mensagem. Essa caracterstica permite que a identidade do remetente seja falsificada em mensagens no criptografadas, modificando-se o campo from (remetente) de uma mensagem. Na realidade, isso no pode mais ser explorado nos sistemas atuais, pois estes, cientes dessa vulnerabilidade, exigem das ferramentas de emails (MUA - mail user agents) a autenticao dos remetentes. Esse mecanismo foi adicionado ao protocolo SMTP atravs da incluso do servio SMTP AUTH definido pela RFC2554 (Myers, 1999).

No entanto, servidores (MTAs) e clientes (MUAs) que ainda no foram atualizados com essa caracterstica, continuam com essa vulnerabilidade. O maior problema, na verdade, a atualizao dos clientes pois isso depende em parte da boa vontade e conscientizao dos usurios. Se o MTA impede o trfego de qualquer mensagem no autenticada, ele pode acabar barrando mensagens legtimas de usurios que ainda no providenciaram a atualizao de sua ferramenta de e-mail. Assim como outros protocolos, que tambm sofreram atualizaes importantes e tiveram de suportar a comunicao com outros agentes que ainda no foram atualizados, os MTAs j atualizados com essa caracterstica tero de suportar a comunicao com clientes e outros MTAs mais antigos, que no exigem autenticao por SMTP AUTH, at que todos sejam atualizados. Resumindo, a soluo desse problema est pronta e operante, porm, necessitar de algum tempo para que seja absorvida por completo.

4. Concluso
Os benefcios trazidos pelo correio eletrnico, rapidez, comodidade, baixo custo, etc, vieram acompanhados do crescimento das suas vulnerabilidades. E a complexidade aumenta a cada dia. Problemas como spam, vrus, falta de privacidade e autenticidade, entre outros, precisam ser devidamente tratados, sob pena de inviabilizar o uso do sistema de correio eletrnico. Foram descritas neste trabalho as principais vulnerabilidades e apresentadas formas de combat-las. Essas solues no so definitivas, mas ajudam os administradores das redes a visualizarem o melhor caminho para resolver problemas relacionados com o correio eletrnico.

5. Referncias
Atkins, D; Stallings, W.; Zimmermann, P. PGP Message Exchange Formats. IETF, 1996, RFC 1991. Bertholdo, Leandro M. SPAM, Como Proceder. Disponvel por WWW em http://www.cert-rs.tche.br/docs_html/antispam.html (agosto 2003). Hoffman, P. SMTP Service Extension for Secure SMTP over TLS. IETF, 1999. RFC2487. Myers, J. SMTP Service Extension for Authentication. IETF, 1999. RFC 2554. Stallings, W. Cryptography and Network Security: Principles and Practice. 2nd edition. Upper Saddle River, NJ: Prentice Hall, 1999. PGPi project. The International PGP Home Page. Disponvel por WWW em http://www.pgpi.org (maro 2004).