Czy naprawdę wiesz co robi twoja przeglądarka?
-
Upload
owasp -
Category
Technology
-
view
73 -
download
2
Transcript of Czy naprawdę wiesz co robi twoja przeglądarka?
Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Czy interfejs webowy jest jak Windows 95?
Marcin MarciniakOWASP GuestNetwork infrastrukture specialist, DOT, [email protected]
2OWASP
Znajdź dwie różnice
Tak jest (Windows 95) Tak może być (Windows NT 4.0)
3OWASP
Geneza problemu obcego kodu
Warstwy, którymi kod dostaje się do procesora, gdzie jest wykonywany:Obcy proces, wstrzyknięcie kodu do pamięci,Obcy obiekt, wtyczka, BHO,Obcy kod w jądrze systemu,Obcy kod pobrany i uruchomiony przez
przeglądarkę.
Hipertekst + JavaScript + obiektyGłówni beneficjenci – cyberprzestępcy,
włamywacze, sieci reklamowe, złodzieje danych...
4OWASP
Co łączy ze sobą różne strony? - DEMO-
5OWASP
Hipertekst jako główna przyczyna problemu
Link, łącze do obiektu może prowadzić do dowolnego osiągalnego zasobu:Skrypt,Obraz,Obiekt,Dowolny plik.
...z dowolnej domeny,… także .info lub
.download.¾ stron z domeny .download to spam lub malware – źródło: spamhaus.org
6OWASP
Atrapa
7OWASP
Badanie Bezpieczeństwa, 2014, Marcin Marciniak, IDG PolandBadanie Bezpieczeństwa, 2014, Marcin Marciniak, IDG Poland
Wystąpienie podczas konferencji SEMAFOR 2015Wystąpienie podczas konferencji SEMAFOR 2015
8OWASP
Złodzieje już są na stacji roboczej
9OWASP
Reklama twoim wrogiem
MalvertisingMalware w
normalnej reklamie,Precyzyjnie do celu, Tanio – 0,19$ za 100
odsłon,Profit (dla złodzieja).
Idealny model do CaaS(Crimeware as a Service)
`
Motorhed@deviantart
10
OWASP
11
OWASP
Złodzieje to lubią
Bezobsługowa emisja,Profilowanie,Zasięg,Skrytość,Trudne śledzenie,Prostota i
bezpieczeństwo dla napastnika,
Bardzo niskie koszty. beachrain@deviantart
12
OWASP
Czy Adblock Plus pomaga?
Część obiektów jest tylko ukrywana,Obecność Adblocka można wykryć (rzeczywista
wysokość danego diva=0).
Adblock wyłączonyAdblock wyłączony Adblock włączonyAdblock włączony
13
OWASP
Czy Adblock Plus pomaga?
Część obiektów jest tylko ukrywana,Obecność Adblocka można wykryć (rzeczywista
wysokość danego diva=0).Część obiektów nadal jest ładowanych z wtyczkami
włącznie.
14
OWASP
Czy uBlock Origin jest lepszy?
Tak, ale niestety nadal niektóre obiekty przechodzą.
Najnowsza wersja jest lepsza.Adblock Plus ma lepsze UI dzięki dodatkom takim
jak Element Hiding Helper.Adblock Plus nie blokuje wszystkich reklam!uBlock jest mniej zasobożerny.uBlock blokuje złośliwe lub reklamowe
przekierowania,Niestety nie umie poprawić URLa.
15
OWASP
Skrypty Google'a
Spiderlabs, 2013Spiderlabs, 2013
16
OWASP
Skrypty Google'a
Skryptom Google'a ufają nawet banki w swoich systemach transakcyjnych (!).
Dane karty -> base64_encode -> podstawienie do Google Analytics. Kto to sprawdzi?
17
OWASP
Skrypty Google'a
Na szczęście podatność została załatana, ale nie wiemy na jak długo.
18
OWASP
Broń ciężkiego kalibru - Noscript
NoScriptSelektywne odblokowanieodblokowanie
skryptów per domena,Blokowanie clickjackingu,Blokowanie nadużyć
skryptów między stronami,
Dlaczego nie da się odblokowaćodblokować tylko wybranychwybranych skryptów?
19
OWASP
NoScript dobry, ale… uMatrix lepszy!
Blokowanie macierzowe,
Selektywne odblokowanie per domena i obiekt,
Trudniejsza obsługa niż w NoScripcie.
20
OWASP
Duchy precz - Ghostery
Blokowanie obiektów:Szpiegujących,Widżetów,Beaconów
reklamowych,Ciastek i skryptów
śledzących.
Wątpliwości, odnośnie do dalszego rozwoju aplikacji.
21
OWASP
Zjemy wszystkie ciastka – Self-Destructing Cookies.
Każda sesja startuje z czystą przeglądarką,
Ciacho na czas sesji,Później znika (lub
nie).Maksimum
funkcjonalności przy utrudnionym szpiegowaniu.
22
OWASP
Problem z ciastkami
Dziś czysta przeglądarka, bez ciastek i śmieci jest czymś nadzwyczajnym.
23
OWASP
Nadal można śledzić
Niestety złodzieje informacji nadal to robią,Fingerprint stacji,
Rozdzielczość,Zmienne widoczne z przeglądarkiCzcionki,Przeliczanie wysokości i widoczności divów,Możliwość wykonania konkretnych skryptów,Pula używanych IP,Flash, Silverlight.
Tak działają wszystkie znane mi paywalle,Czasami pomaga Blender albo UAControl.
24
OWASP
Agent pod kontrolą
Podmiana User Agent,Działanie per site,Własny agent,
zależnie od potrzeb,Przeglądanie „jak to
widzi Google”.
25
OWASP
Brak narzędzi dla firm i „power userów”
Pełna kontrola skryptów i instrukcji,Usuwanie overlay, ciastek, reklam,Autousuwanie szpiegów,Zarządzanie obiektami Flash itp.Czyszczenie fingerprintu,Łatwa modyfikacja strony w locie,Zapis jako skrypt…...by potem uruchomić ten skrypt
na proxy.Czy jest proxy, które to umie?
26
OWASP
Trudne zadanie
Żaden ze znanych mi obecnie firewalli nie rozpoznaje kontekstu przeglądarki.
Każdy z dodatków wprowadza obcy kod.
Komu można zaufać?Co można audytować?Brak narzędzia dla Edge
(tylko Firefox i po części Chrome).
William Edwards Deming
27
OWASP
zasady M.Marciniaka
Tzw. „Wielka Trójka”: Adblock Plus/uBlock, NoScript, Ghostery.Jej Pomocnicy: Self-Destructing Cookies, UAControl, uMatrix.Jeśli strona WWW używa obcych skryptów, to być może należy
poprawić webmastera – zablokować je,Google Analytics (i klony) to wróg publiczny w firmach,Każdy obcy obiekt jest potencjalnym złodziejem,Firefox nie bez powodu posiada menedżer profili.Nie wierz AV, IPS ani WAF. Słuchaj ich razem (=SIEM).Działaj na Linuksie, przeglądarkę identyfikuj jak na Windows
XP lub Vista. Lub odwrotnie.Flash? There is a blacklist for that. Albo click-to-play.Gadu-Gadu to pikuś przy Facebooku.