Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation

OWASP

http://www.owasp.org

Czy interfejs webowy jest jak Windows 95?

Marcin MarciniakOWASP GuestNetwork infrastrukture specialist, DOT, SupermediaMarcin.Marciniak@gmail.com79051994123.06.2016

2OWASP

Znajdź dwie różnice

Tak jest (Windows 95) Tak może być (Windows NT 4.0)

3OWASP

Geneza problemu obcego kodu

Warstwy, którymi kod dostaje się do procesora, gdzie jest wykonywany:Obcy proces, wstrzyknięcie kodu do pamięci,Obcy obiekt, wtyczka, BHO,Obcy kod w jądrze systemu,Obcy kod pobrany i uruchomiony przez

przeglądarkę.

Hipertekst + JavaScript + obiektyGłówni beneficjenci – cyberprzestępcy,

włamywacze, sieci reklamowe, złodzieje danych...

4OWASP

Co łączy ze sobą różne strony? - DEMO-

5OWASP

Hipertekst jako główna przyczyna problemu

Link, łącze do obiektu może prowadzić do dowolnego osiągalnego zasobu:Skrypt,Obraz,Obiekt,Dowolny plik.

...z dowolnej domeny,… także .info lub

.download.¾ stron z domeny .download to spam lub malware – źródło: spamhaus.org

6OWASP

Atrapa

7OWASP

Badanie Bezpieczeństwa, 2014, Marcin Marciniak, IDG PolandBadanie Bezpieczeństwa, 2014, Marcin Marciniak, IDG Poland

Wystąpienie podczas konferencji SEMAFOR 2015Wystąpienie podczas konferencji SEMAFOR 2015

8OWASP

Złodzieje już są na stacji roboczej

9OWASP

Reklama twoim wrogiem

MalvertisingMalware w

normalnej reklamie,Precyzyjnie do celu, Tanio – 0,19$ za 100

odsłon,Profit (dla złodzieja).

Idealny model do CaaS(Crimeware as a Service)

`

Motorhed@deviantart

10

OWASP

11

OWASP

Złodzieje to lubią

Bezobsługowa emisja,Profilowanie,Zasięg,Skrytość,Trudne śledzenie,Prostota i

bezpieczeństwo dla napastnika,

Bardzo niskie koszty. beachrain@deviantart

12

OWASP

Czy Adblock Plus pomaga?

Część obiektów jest tylko ukrywana,Obecność Adblocka można wykryć (rzeczywista

wysokość danego diva=0).

Adblock wyłączonyAdblock wyłączony Adblock włączonyAdblock włączony

13

OWASP

Czy Adblock Plus pomaga?

Część obiektów jest tylko ukrywana,Obecność Adblocka można wykryć (rzeczywista

wysokość danego diva=0).Część obiektów nadal jest ładowanych z wtyczkami

włącznie.

14

OWASP

Czy uBlock Origin jest lepszy?

Tak, ale niestety nadal niektóre obiekty przechodzą.

Najnowsza wersja jest lepsza.Adblock Plus ma lepsze UI dzięki dodatkom takim

jak Element Hiding Helper.Adblock Plus nie blokuje wszystkich reklam!uBlock jest mniej zasobożerny.uBlock blokuje złośliwe lub reklamowe

przekierowania,Niestety nie umie poprawić URLa.

15

OWASP

Skrypty Google'a

Spiderlabs, 2013Spiderlabs, 2013

16

OWASP

Skrypty Google'a

Skryptom Google'a ufają nawet banki w swoich systemach transakcyjnych (!).

Dane karty -> base64_encode -> podstawienie do Google Analytics. Kto to sprawdzi?

17

OWASP

Skrypty Google'a

Na szczęście podatność została załatana, ale nie wiemy na jak długo.

18

OWASP

Broń ciężkiego kalibru - Noscript

NoScriptSelektywne odblokowanieodblokowanie

skryptów per domena,Blokowanie clickjackingu,Blokowanie nadużyć

skryptów między stronami,

Dlaczego nie da się odblokowaćodblokować tylko wybranychwybranych skryptów?

19

OWASP

NoScript dobry, ale… uMatrix lepszy!

Blokowanie macierzowe,

Selektywne odblokowanie per domena i obiekt,

Trudniejsza obsługa niż w NoScripcie.

20

OWASP

Duchy precz - Ghostery

Blokowanie obiektów:Szpiegujących,Widżetów,Beaconów

reklamowych,Ciastek i skryptów

śledzących.

Wątpliwości, odnośnie do dalszego rozwoju aplikacji.

21

OWASP

Zjemy wszystkie ciastka – Self-Destructing Cookies.

Każda sesja startuje z czystą przeglądarką,

Ciacho na czas sesji,Później znika (lub

nie).Maksimum

funkcjonalności przy utrudnionym szpiegowaniu.

22

OWASP

Problem z ciastkami

Dziś czysta przeglądarka, bez ciastek i śmieci jest czymś nadzwyczajnym.

23

OWASP

Nadal można śledzić

Niestety złodzieje informacji nadal to robią,Fingerprint stacji,

Rozdzielczość,Zmienne widoczne z przeglądarkiCzcionki,Przeliczanie wysokości i widoczności divów,Możliwość wykonania konkretnych skryptów,Pula używanych IP,Flash, Silverlight.

Tak działają wszystkie znane mi paywalle,Czasami pomaga Blender albo UAControl.

24

OWASP

Agent pod kontrolą

Podmiana User Agent,Działanie per site,Własny agent,

zależnie od potrzeb,Przeglądanie „jak to

widzi Google”.

25

OWASP

Brak narzędzi dla firm i „power userów”

Pełna kontrola skryptów i instrukcji,Usuwanie overlay, ciastek, reklam,Autousuwanie szpiegów,Zarządzanie obiektami Flash itp.Czyszczenie fingerprintu,Łatwa modyfikacja strony w locie,Zapis jako skrypt…...by potem uruchomić ten skrypt

na proxy.Czy jest proxy, które to umie?

26

OWASP

Trudne zadanie

Żaden ze znanych mi obecnie firewalli nie rozpoznaje kontekstu przeglądarki.

Każdy z dodatków wprowadza obcy kod.

Komu można zaufać?Co można audytować?Brak narzędzia dla Edge

(tylko Firefox i po części Chrome).

William Edwards Deming

27

OWASP

zasady M.Marciniaka

Tzw. „Wielka Trójka”: Adblock Plus/uBlock, NoScript, Ghostery.Jej Pomocnicy: Self-Destructing Cookies, UAControl, uMatrix.Jeśli strona WWW używa obcych skryptów, to być może należy

poprawić webmastera – zablokować je,Google Analytics (i klony) to wróg publiczny w firmach,Każdy obcy obiekt jest potencjalnym złodziejem,Firefox nie bez powodu posiada menedżer profili.Nie wierz AV, IPS ani WAF. Słuchaj ich razem (=SIEM).Działaj na Linuksie, przeglądarkę identyfikuj jak na Windows

XP lub Vista. Lub odwrotnie.Flash? There is a blacklist for that. Albo click-to-play.Gadu-Gadu to pikuś przy Facebooku.