ݺߣ

ݺߣShare a Scribd company logo

Czy naprawdę wiesz co robi twoja przeglądarka?

OWASP
OWASP

Prezentacja ze spotkania OWASP Poland, Warszawa 23.06.2016 Obecnie nie można sobie wyobrazić przeglądania Internetu z wyłączonymi skryptami, ale bezpieczeństwo zarówno samych aplikacji webowych, jak i stacji roboczej z przeglądarką pozostawia wiele do życzenia. W prezentacji przedstawione będą problemy związane z naruszeniem prywatności oraz potencjalne możliwości nadużyć spowodowanych przez sam fakt pobierania i przetwarzania obcych skryptów przez przeglądarkę. Omówione zostaną zarówno przyczyny, jak i obecnie dostępne metody zapobiegania zagrożeniom.

Convert to study materialsBETA

Transform any presentation into ready-made study material—select from outputs like summaries, definitions, and practice questions.

1 of 27
Download to read offline
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org Czy interfejs webowy jest jak Windows 95? Marcin Marciniak OWASP Guest Network infrastrukture specialist, DOT, Supermedia Marcin.Marciniak@gmail.com 790519941 23.06.2016
2OWASP Znajdź dwie różnice Tak jest (Windows 95) Tak może być (Windows NT 4.0)
3OWASP Geneza problemu obcego kodu Warstwy, którymi kod dostaje się do procesora, gdzie jest wykonywany: Obcy proces, wstrzyknięcie kodu do pamięci, Obcy obiekt, wtyczka, BHO, Obcy kod w jądrze systemu, Obcy kod pobrany i uruchomiony przez przeglądarkę. Hipertekst + JavaScript + obiekty Główni beneficjenci – cyberprzestępcy, włamywacze, sieci reklamowe, złodzieje danych...
4OWASP Co łączy ze sobą różne strony? - DEMO-
5OWASP Hipertekst jako główna przyczyna problemu Link, łącze do obiektu może prowadzić do dowolnego osiągalnego zasobu: Skrypt, Obraz, Obiekt, Dowolny plik. ...z dowolnej domeny, … także .info lub .download. ¾ stron z domeny .download to spam lub malware – źródło: spamhaus.org
6OWASP Atrapa
7OWASP Badanie Bezpieczeństwa, 2014, Marcin Marciniak, IDG PolandBadanie Bezpieczeństwa, 2014, Marcin Marciniak, IDG Poland Wystąpienie podczas konferencji SEMAFOR 2015Wystąpienie podczas konferencji SEMAFOR 2015
8OWASP Złodzieje już są na stacji roboczej
9OWASP Reklama twoim wrogiem Malvertising Malware w normalnej reklamie, Precyzyjnie do celu, Tanio – 0,19$ za 100 odsłon, Profit (dla złodzieja). Idealny model do CaaS (Crimeware as a Service) ` Motorhed@deviantart
1 0 OWASP
1 1 OWASP Złodzieje to lubią Bezobsługowa emisja, Profilowanie, Zasięg, Skrytość, Trudne śledzenie, Prostota i bezpieczeństwo dla napastnika, Bardzo niskie koszty. beachrain@deviantart
1 2 OWASP Czy Adblock Plus pomaga? Część obiektów jest tylko ukrywana, Obecność Adblocka można wykryć (rzeczywista wysokość danego diva=0). Adblock wyłączonyAdblock wyłączony Adblock włączonyAdblock włączony
1 3 OWASP Czy Adblock Plus pomaga? Część obiektów jest tylko ukrywana, Obecność Adblocka można wykryć (rzeczywista wysokość danego diva=0). Część obiektów nadal jest ładowanych z wtyczkami włącznie.
1 4 OWASP Czy uBlock Origin jest lepszy? Tak, ale niestety nadal niektóre obiekty przechodzą. Najnowsza wersja jest lepsza. Adblock Plus ma lepsze UI dzięki dodatkom takim jak Element Hiding Helper. Adblock Plus nie blokuje wszystkich reklam! uBlock jest mniej zasobożerny. uBlock blokuje złośliwe lub reklamowe przekierowania, Niestety nie umie poprawić URLa.
1 5 OWASP Skrypty Google'a Spiderlabs, 2013Spiderlabs, 2013
1 6 OWASP Skrypty Google'a Skryptom Google'a ufają nawet banki w swoich systemach transakcyjnych (!). Dane karty -> base64_encode -> podstawienie do Google Analytics. Kto to sprawdzi?
1 7 OWASP Skrypty Google'a Na szczęście podatność została załatana, ale nie wiemy na jak długo.
1 8 OWASP Broń ciężkiego kalibru - Noscript NoScript Selektywne odblokowanieodblokowanie skryptów per domena, Blokowanie clickjackingu, Blokowanie nadużyć skryptów między stronami, Dlaczego nie da się odblokowaćodblokować tylko wybranychwybranych skryptów?
1 9 OWASP NoScript dobry, ale… uMatrix lepszy! Blokowanie macierzowe, Selektywne odblokowanie per domena i obiekt, Trudniejsza obsługa niż w NoScripcie.
2 0 OWASP Duchy precz - Ghostery Blokowanie obiektów: Szpiegujących, Widżetów, Beaconów reklamowych, Ciastek i skryptów śledzących. Wątpliwości, odnośnie do dalszego rozwoju aplikacji.
2 1 OWASP Zjemy wszystkie ciastka – Self-Destructing Cookies. Każda sesja startuje z czystą przeglądarką, Ciacho na czas sesji, Później znika (lub nie). Maksimum funkcjonalności przy utrudnionym szpiegowaniu.
2 2 OWASP Problem z ciastkami Dziś czysta przeglądarka, bez ciastek i śmieci jest czymś nadzwyczajnym.
2 3 OWASP Nadal można śledzić Niestety złodzieje informacji nadal to robią, Fingerprint stacji, Rozdzielczość, Zmienne widoczne z przeglądarki Czcionki, Przeliczanie wysokości i widoczności divów, Możliwość wykonania konkretnych skryptów, Pula używanych IP, Flash, Silverlight. Tak działają wszystkie znane mi paywalle, Czasami pomaga Blender albo UAControl.
2 4 OWASP Agent pod kontrolą Podmiana User Agent, Działanie per site, Własny agent, zależnie od potrzeb, Przeglądanie „jak to widzi Google”.
2 5 OWASP Brak narzędzi dla firm i „power userów” Pełna kontrola skryptów i instrukcji, Usuwanie overlay, ciastek, reklam, Autousuwanie szpiegów, Zarządzanie obiektami Flash itp. Czyszczenie fingerprintu, Łatwa modyfikacja strony w locie, Zapis jako skrypt… ...by potem uruchomić ten skrypt na proxy. Czy jest proxy, które to umie?
2 6 OWASP Trudne zadanie Żaden ze znanych mi obecnie firewalli nie rozpoznaje kontekstu przeglądarki. Każdy z dodatków wprowadza obcy kod. Komu można zaufać? Co można audytować? Brak narzędzia dla Edge (tylko Firefox i po części Chrome). William Edwards Deming
2 7 OWASP zasady M.Marciniaka Tzw. „Wielka Trójka”: Adblock Plus/uBlock, NoScript, Ghostery. Jej Pomocnicy: Self-Destructing Cookies, UAControl, uMatrix. Jeśli strona WWW używa obcych skryptów, to być może należy poprawić webmastera – zablokować je, Google Analytics (i klony) to wróg publiczny w firmach, Każdy obcy obiekt jest potencjalnym złodziejem, Firefox nie bez powodu posiada menedżer profili. Nie wierz AV, IPS ani WAF. Słuchaj ich razem (=SIEM). Działaj na Linuksie, przeglądarkę identyfikuj jak na Windows XP lub Vista. Lub odwrotnie. Flash? There is a blacklist for that. Albo click-to-play. Gadu-Gadu to pikuś przy Facebooku.

More Related Content

Czy naprawdę wiesz co robi twoja przeglądarka?

  • 1. Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org Czy interfejs webowy jest jak Windows 95? Marcin Marciniak OWASP Guest Network infrastrukture specialist, DOT, Supermedia Marcin.Marciniak@gmail.com 790519941 23.06.2016
  • 2. 2OWASP Znajdź dwie różnice Tak jest (Windows 95) Tak może być (Windows NT 4.0)
  • 3. 3OWASP Geneza problemu obcego kodu Warstwy, którymi kod dostaje się do procesora, gdzie jest wykonywany: Obcy proces, wstrzyknięcie kodu do pamięci, Obcy obiekt, wtyczka, BHO, Obcy kod w jądrze systemu, Obcy kod pobrany i uruchomiony przez przeglądarkę. Hipertekst + JavaScript + obiekty Główni beneficjenci – cyberprzestępcy, włamywacze, sieci reklamowe, złodzieje danych...
  • 4. 4OWASP Co łączy ze sobą różne strony? - DEMO-
  • 5. 5OWASP Hipertekst jako główna przyczyna problemu Link, łącze do obiektu może prowadzić do dowolnego osiągalnego zasobu: Skrypt, Obraz, Obiekt, Dowolny plik. ...z dowolnej domeny, … także .info lub .download. ¾ stron z domeny .download to spam lub malware – źródło: spamhaus.org
  • 7. 7OWASP Badanie Bezpieczeństwa, 2014, Marcin Marciniak, IDG PolandBadanie Bezpieczeństwa, 2014, Marcin Marciniak, IDG Poland Wystąpienie podczas konferencji SEMAFOR 2015Wystąpienie podczas konferencji SEMAFOR 2015
  • 8. 8OWASP Złodzieje już są na stacji roboczej
  • 9. 9OWASP Reklama twoim wrogiem Malvertising Malware w normalnej reklamie, Precyzyjnie do celu, Tanio – 0,19$ za 100 odsłon, Profit (dla złodzieja). Idealny model do CaaS (Crimeware as a Service) ` Motorhed@deviantart
  • 11. 1 1 OWASP Złodzieje to lubią Bezobsługowa emisja, Profilowanie, Zasięg, Skrytość, Trudne śledzenie, Prostota i bezpieczeństwo dla napastnika, Bardzo niskie koszty. beachrain@deviantart
  • 12. 1 2 OWASP Czy Adblock Plus pomaga? Część obiektów jest tylko ukrywana, Obecność Adblocka można wykryć (rzeczywista wysokość danego diva=0). Adblock wyłączonyAdblock wyłączony Adblock włączonyAdblock włączony
  • 13. 1 3 OWASP Czy Adblock Plus pomaga? Część obiektów jest tylko ukrywana, Obecność Adblocka można wykryć (rzeczywista wysokość danego diva=0). Część obiektów nadal jest ładowanych z wtyczkami włącznie.
  • 14. 1 4 OWASP Czy uBlock Origin jest lepszy? Tak, ale niestety nadal niektóre obiekty przechodzą. Najnowsza wersja jest lepsza. Adblock Plus ma lepsze UI dzięki dodatkom takim jak Element Hiding Helper. Adblock Plus nie blokuje wszystkich reklam! uBlock jest mniej zasobożerny. uBlock blokuje złośliwe lub reklamowe przekierowania, Niestety nie umie poprawić URLa.
  • 16. 1 6 OWASP Skrypty Google'a Skryptom Google'a ufają nawet banki w swoich systemach transakcyjnych (!). Dane karty -> base64_encode -> podstawienie do Google Analytics. Kto to sprawdzi?
  • 17. 1 7 OWASP Skrypty Google'a Na szczęście podatność została załatana, ale nie wiemy na jak długo.
  • 18. 1 8 OWASP Broń ciężkiego kalibru - Noscript NoScript Selektywne odblokowanieodblokowanie skryptów per domena, Blokowanie clickjackingu, Blokowanie nadużyć skryptów między stronami, Dlaczego nie da się odblokowaćodblokować tylko wybranychwybranych skryptów?
  • 19. 1 9 OWASP NoScript dobry, ale… uMatrix lepszy! Blokowanie macierzowe, Selektywne odblokowanie per domena i obiekt, Trudniejsza obsługa niż w NoScripcie.
  • 20. 2 0 OWASP Duchy precz - Ghostery Blokowanie obiektów: Szpiegujących, Widżetów, Beaconów reklamowych, Ciastek i skryptów śledzących. Wątpliwości, odnośnie do dalszego rozwoju aplikacji.
  • 21. 2 1 OWASP Zjemy wszystkie ciastka – Self-Destructing Cookies. Każda sesja startuje z czystą przeglądarką, Ciacho na czas sesji, Później znika (lub nie). Maksimum funkcjonalności przy utrudnionym szpiegowaniu.
  • 22. 2 2 OWASP Problem z ciastkami Dziś czysta przeglądarka, bez ciastek i śmieci jest czymś nadzwyczajnym.
  • 23. 2 3 OWASP Nadal można śledzić Niestety złodzieje informacji nadal to robią, Fingerprint stacji, Rozdzielczość, Zmienne widoczne z przeglądarki Czcionki, Przeliczanie wysokości i widoczności divów, Możliwość wykonania konkretnych skryptów, Pula używanych IP, Flash, Silverlight. Tak działają wszystkie znane mi paywalle, Czasami pomaga Blender albo UAControl.
  • 24. 2 4 OWASP Agent pod kontrolą Podmiana User Agent, Działanie per site, Własny agent, zależnie od potrzeb, Przeglądanie „jak to widzi Google”.
  • 25. 2 5 OWASP Brak narzędzi dla firm i „power userów” Pełna kontrola skryptów i instrukcji, Usuwanie overlay, ciastek, reklam, Autousuwanie szpiegów, Zarządzanie obiektami Flash itp. Czyszczenie fingerprintu, Łatwa modyfikacja strony w locie, Zapis jako skrypt… ...by potem uruchomić ten skrypt na proxy. Czy jest proxy, które to umie?
  • 26. 2 6 OWASP Trudne zadanie Żaden ze znanych mi obecnie firewalli nie rozpoznaje kontekstu przeglądarki. Każdy z dodatków wprowadza obcy kod. Komu można zaufać? Co można audytować? Brak narzędzia dla Edge (tylko Firefox i po części Chrome). William Edwards Deming
  • 27. 2 7 OWASP zasady M.Marciniaka Tzw. „Wielka Trójka”: Adblock Plus/uBlock, NoScript, Ghostery. Jej Pomocnicy: Self-Destructing Cookies, UAControl, uMatrix. Jeśli strona WWW używa obcych skryptów, to być może należy poprawić webmastera – zablokować je, Google Analytics (i klony) to wróg publiczny w firmach, Każdy obcy obiekt jest potencjalnym złodziejem, Firefox nie bez powodu posiada menedżer profili. Nie wierz AV, IPS ani WAF. Słuchaj ich razem (=SIEM). Działaj na Linuksie, przeglądarkę identyfikuj jak na Windows XP lub Vista. Lub odwrotnie. Flash? There is a blacklist for that. Albo click-to-play. Gadu-Gadu to pikuś przy Facebooku.