电子邮件的缺陷威胁网络安全

昊天编译

从理论上讲，使一台电子邮件服务器崩溃与发送一封电子邮件一样容易。正因为如此，当一位安全专家证明在大量的类似Ping of Death的攻击下，电子邮件有着明显的安全漏洞时，人们纷纷向反病毒软件制造商求助。

CVM（Computer Virus Myths）站点的系统管理员和网络安全分析家Rob Rosenberger说：“你可以利用各种反病毒软件对电子邮件进行过滤，查找病毒。这些病毒可能会造成非常严重的破坏。”

两个月以前，Rosenberger创建了大量的文件来向反病毒软件制造商和企图安全公司证明这种技术。Rosenberger声称，每个文件都利用了程序员对收到邮件的假定操作进行复制，当这些文件占据的空间达到20MB时，几乎所有的电子邮件浏览器都将崩溃。

这位反病毒业界的批评家将这种攻击比作Ping of Death——1996年开始出现的一种简单但是有效的攻击服务器的方法。他说：“Ping of Death是一种无法预计的ping操作，而这种攻击方法则是利用一种无法预计的电子邮件。”

ping操作用来测试网络以判断一个Internet地址是否有效。攻击者将大量数据加入其中，使得ping操作时间太长，这样就可以使许多服务器崩溃，因此得名Ping of Death。

同样道理，Rosenberger创建的文件故意违反已有的协议：零长度的COM文件、无内容的Zip文件以及其它反常文件。对服务器而言，这些文件不会造成什么影响，但是对于一些反病毒扫描软件和浏览软件而言，这些文件会造成崩溃。

问题是：当这些病毒扫描软件崩溃时，往往会同时造成服务器的崩溃。两周以前，他向一些安全专家展示了这种技术。ZDNN已经决定不公开这种技术的细节。

--------------------------------------------------------------------------------

Copyright ? 1998 - 1999 InfoWorld. All rights reserved.