Zip und Rar Dateien in E-Mail Sicherheitsproblem für Empfänger?

[MrTony]

Hallo zusammen,

ich versende schon seit Anbeginn meiner Karriere bei Bewerbungen per E-Mail meine Zeugnisse, Zertifikate etc. als PDF in einem Zip Archiv. Der Grund ist einfach, dass ich ziemlich viele davon habe, die innerhalb eines Archives auch in Ordner strukturieren kann, was einfach aufgeräumter wirkt und zugänglicher und ordentlicher ist. Bisher gab es dabei nie Probleme, auch nicht bei großen IT-Unternehmen, die das Thema Sicherheit sehr genau nehmen.

Kürzlich habe ich allerdings kurz aufeinander zweimal Antworten bekommen, in denen mir mitgeteilt wurde, dass sie die Datei mit den Referenzen nicht öffnen könnten und ich gebeten wurde die Datei als PDF zu senden.

Nun war mir bisher nicht bewusst, dass ein Archiv, egal ob zip oder rar,ein Sicherheitsproblem darstellen kann. Ich habe kurz gegoogelt und bei Heise stand etwas verallgemeinert, dass die .zip Datei an sich unproblematisch sei, es käme natürlich auf deren Inhalt an. Wenn darin ausführbare Dateien sind, die dann entpackt werden wäre das natürlich ein Risiko. Eine Zip Datei öffnen wäre allerdings an sich erst mal keine Gefährdungsmerkmal und eine PDF aus einem Archiv zu extrahieren auch nicht.

Weiß jemand wie die Sicherheitslage in dem Fall nun einzuschätzen ist? Kann bereits das öffnen einer Zip-Datei schädlichen Code auisführen?

 

[Testa2014]

Wenn die Firmenrichtline besagt das ZIP Dateien per Email nicht geöffnet werden dürfen, vor allem bei nicht Vertrauenswürdigen Absendern ist das halt so. Ist bei uns ähnlich. ZIP Dateien werden generell als Bösartig definiert. Es gibt nur ein paar Vertrauenswürdige Emailadressen von der die ZIP's nicht abgefangen werden.

Was hindert dich daran eine PDF Datei mir Inhaltsverzeichnis zu machen?

 

[spamarama]

Zip mit Password und darin ein Word Dokument mit Makros sind ein gängiges Angriffsszenario für Ransomware. (Seit gefühlt 20 Jahren..)
Deswegen gibt es einige Firmen, die zips generell ablehnen.

 

[Thor9]

Hallo,

bzgl. Zip und Problemen fällt mir Archivbombe ein, ansonsten sind z.b. Archive mit PW generelle ein Problem ..

 

[Tornhoof]

Gibt dann auch noch so lustige Themen wie ZipBombs:
https://en.wikipedia.org/wiki/Zip_bomb

Es macht üblicherweise schon Sinn Zip nur von vertrauenswürdigen Absendern zuzulassen.

 

[MrTony]

Was hindert dich daran eine PDF Datei mir Inhaltsverzeichnis zu machen?
Anhang anzeigen 910058

Ich kenne im Personalumfeld leider genug Mitarbeiter, die das Inhaltsverzeichnis eines Dokumentes schon lange weggeklickt haben bzw garnicht wissen, wie das funktioniert oder auch einfach PDF Software verwenden, die das Inhaltsverzeichnis nicht anzeigt. Und die "ärgern" sich dann, dass der Bewerber einfach so ein endlos langes, unübersichtliches Dokument schickt....

Aber im Grunde hast du natürlich vollkommen Recht, wenn Archive dort verboten sind, ist das die beste Alternative.

Zip mit Password und darin ein Word Dokument mit Makros sind ein gängiges Angriffsszenario für Ransomware. (Seit gefühlt 20 Jahren..)
Deswegen gibt es einige Firmen, die zips generell ablehnen.

Ist bei diesem Szenario aber das Archiv selbst, oder das Word Dokument mit Makro die gefährliche Dabei?

 

[TheCadillacMan]

Ist bei diesem Szenario aber das Archiv selbst, oder das Word Dokument mit Makro die gefährliche Dabei?

Die Word-Datei ist die Gefahr. Das ZIP mit Passwort-Schutz dient nur dazu, dass der Virenscanner den Inhalt nicht automatisch scannen kann.

 

[t-6]

Ist bei diesem Szenario aber das Archiv selbst, oder das Word Dokument mit Makro die gefährliche Dabei?

Das Word mit Makro ist das Gefährliche.
Durch die PW-geschützte ZIP wird der Inhalt der ZIP "getarnt", so dass ein Maifilter/AV-Scanner da nicht reinschauen kann. Und wenn der Filter so dämlich eingestellt ist nicht scanbare Mails einfach durchzureichen statt in die Quarantäne zu werfen, ist mal eben gerade eine Word mit Makro durchgerutscht ins Postfach des Benutzers (wo die nächsten Sicherheitsschichten anfangen sollten, aber das ist ein anderes Thema).
Das Passwort für die ZIP steht oftmals direkt in der Email, aber das hilft dem AV-Scanner natürlich nicht.

Benutzer fallen darauf aber leider oft herein und stellen sich nicht die Frage warum der Schlüssel zu einem Safe an die Front geklebt wurde.

edit: An und für sich sind ZIPs nichts Gefährliches. Sie sind einigermaßen ergonomisch weil man einen Dateicontainer hat der ggf. Anhänge durch Komprimierung noch mal unter eine Größenbegrenzung drücken kann. Und JEDER (!) popelige AV-Scanner kann ZIP-Dateien ohne Probleme durchsuchen und scannen. Es macht also keinen Unterschied ob ich 10 PDFs in einer ZIP im Anhang habe, oder 10 PDFs direkt im Anhang.

Aber nur wenn die ZIPs unverschlüsselt sind.

 

[PHuV]

Aber nicht nur Word-Dateien, auch PDF-Dateien sind sehr wohl eine Gefahr. Ohne Zip können sie aber besser gescannt werden.

 

[madmax2010]

https://media.ccc.de/v/31c3_-_5930_...2291400_-_funky_file_formats_-_ange_albertini

Nach dem video nimmst du auch keine PDFs mehr an
Garstige kleine dinger.

 

[corvus]

Ich sperre an Email-Appliances generell Anhänge, die nicht gescannt werden können. ZIPs mit Verschlüsselung / Kennwortschutz fallen da natürlich auch drunter. Landet alles erstmal zur Prüfung in Quarantäne.
Also wie es t-6 geschrieben hat.