Malware Block List

另一個免費的 Mailware list
名子就 Malware Block List http://www.malware.com.br/

提供各種格式供搭配使用 如 squidGuard, Clamv, DNS 等
這個 Database 是數量蠻多的 品質也不錯

給大家作為參考

如何解譯 混淆網址 Deobfuscation urls

看到一堆怪怪的數字網址怎麼辦 如下
http://0320.185.64275/nocache/3589j7gxbgtw6P/rspr47.gif
這個網址是 ReadNotify 夾在信件的一段 HTML
這是一種欺瞞的手法 主要是不要讓人知道主機的 IP

不過沒關係 我在找了一個工具
Dns Stuff 網站提供 URL DEOBFUSCATOR 可以解譯
http://www.dnsstuff.com/ 請選 [URL DEOBFUSCATOR]

將上述的網址輸入 [URL DEOBFUSCATOR] 格子裡面 結果如下
http://208.185.251.19/nocache/3589j7gxbgtw6P/rspr47.gif

可以發現 這個例子至少混合八進位及十進位兩種以上的方法
0320.185.64275
0320 是八進位 ==> 208
185 是十進位 => 185
64275 是十進位 => 換成十六進位的 FB13 => 251.19
如果是使用 Squid Proxy 預設是不接受這種有意欺瞞的網址的
如果是不透過 Proxy 或是使用 ISA 就可以讀取
但 不管如何 目前瀏覽器 是不會將解譯後的網址顯示出來

原理參考
http://www.pc-help.org/obscure.htm

廣告

關於 HP 在非法調查醜聞一事中所使用的郵件追蹤技術

HP 所使用郵件追蹤技術是由 ReadNotify 公司所提供
公司網址為 http://www.readnotify.com

用戶註冊後,只需要在想追蹤的 email 地址後面加上「.readnotify.com」,就可以追蹤郵件。
所以實際上,用戶所寄出的信是先寄到 ReadNotify 公司,
ReadNotify 會在信的裡面, 加上一段的 <img src="http://xxx.com/1×1.gif"/>
的 HTML code, 包裝好後再寄給真正的收件人。
收件人在讀信時, 便會從 ReadNotify 網站載入一張 1×1 的 GIF 檔,
於是 ReadNotify 就可以知道這封信已經被讀取。
目前已知 ReadNotify 已經發展出數十種追蹤技術

收件人如果不細看是看不到隱藏在 HTML 信件這些字串,
但若從email表頭資訊還是可看出訊息傳遞的狀態。

目前要阻擋郵件追蹤的方法即是
1. 停掉郵件自動顯示圖片
2. 停掉郵件 JavaScript 執行
3. 阻檔相關網站

就目前所知 Google Mail 即獨有不自動顯示圖片的功能
如果要顯示郵件中的圖片,用戶必須先允許該寄件者的圖片顯示,方能顯示圖片
以此看來 Google 對於本身資安的問題亦相當重視

目前可以做是,找出用來郵件追蹤所使用之圖片的網站,
並在 Squid Proxy 加以阻擋。
避免使用者在不知名的狀況下,顯示具有追蹤能力的圖片。