Védtelen böngészők, avagy hogyan ne védd Ziont

Jogi nyilatkozat:Minden nézet és gondolat amit ma megosztok, a sajátom.A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegi vagy jövőbeni munkáltatóm véleményével.Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.

Balázs ZoltánDeloitte

Senior IT biztonsági tanácsadóOSCP, C|HFI, CISSP, CPTS, MCP

gula.sh – CyberLympics@2012, 3. hely

zbalazs@deloittece.com

Bemutatkozás

I Love Hacking

I Love Hacker Movies

I Love Memes

Védtelen böngészők

• Zombi tűzróka – mi történt?

• Mi a megoldás?– Általános védelem

– Internet security suites

– Online banking – kliensoldali védelem

– Lastpass + yubikey hack

Hol hagytuk abba?

2012. május 11. Ethical Hacking, Zombi tűzróka

2012. május 11. ESET (Sicontact)

2012. május 16. Trojan Neloweg – Symantec

2012. június – szeptember Chrome, Safari kiegészitő, Rails C&C szerver

2012. július Chrome külső oldalakról származó kiegészítők tiltása

Zombi Firefox - virustotal

Ebből öt olyan gyártó, amelyiknek nem küldtem el

Zombi Chrome - virustotal

Advanced AV 133t 3v4s10n 2012

Tanulságok:– Ne küldj rejtjeles zipet

– Ne küldj olyan ZIP-állományt, amiben több mint tíz állomány van (Firefox kiegészítő == ZIP-ben fájlok)

A kód publikálása

2012. október 30. a kód publikálása• A Mozilla 25 percen belül blokkolta

Advanced Mozilla 133t 3v4s10n 2013

Google, Mozilla

Google – extension store javítandó

Mozilla centralizálás fejlesztések

Más a fókusz:– Firefox: powerful kiegészítők (pl. NoScript)– Chrome: biztonság

Axiómák

Ha egy rosszfiú rávesz, hogy futtasd az ő programját a gépeden – az nem a te géped többé. ©Microsoft

Ha egy védelmi rendszer véd 300 különböző támadási mód ellen, az azt jelenti, hogy a 301. ellen nem. ©Zoli

Jelszólopás

Sütilopás

Webkamera-kémkedés

Felhasználói fájlok olvasása

Felhasználói fájlok írása

NoScript

Browserprotect

Sandboxie

NoScript

„Allows executable web content such as JavaScript, Java, Flash, Silverlight, and other plugins ... NoScript also offers specific countermeasures against security exploits.”

futó malware ellen, másik kiegészítő ellen nem véd

Browserprotect

„To protect your browser against malware hijacking your browser settings like home page, search providers and address bar search.”

„Runs your programs in an isolated space which prevents them from making permanent changes to other programs and data in your computer.”

Véd: fájlok írása diszkre (csak sandboxba lehet)

„Runs your programs in an isolated space which prevents them from making permanent changes to other programs and data in your computer.”

Véd: fájlok írása diszkre (csak sandboxba lehet)

Nem véd:– Jelszólopás– Sütilopás– Webkamera-kémkedés– Fájlolvasás

Internetbiztonsági csomagok

Gyártó 1

Gyártó 2

Gyártó 3

Gyártó 4

Gyártó 5

A konklúzió úgyis ugyanaz

Internetbiztonsági csomagok

Gyártó 1

Gyártó 2

Gyártó 3

Gyártó 4

Gyártó 5

A konklúzió úgyis ugyanaz

Gyártó Nr. 1

Szignatúraalapon „kiirtja” a Firefox kiegészítőmet

Über 133t signature 3v4s10n 2k13 Plusz 1 szóköz

Firefox kiegészítőkMindig 2 Firefox verzióval lemaradva

Gyártó Nr. 1

Szignatúraalapon „kiirtja” a Firefox kiegészítőmet

Über 133t signature 3v4s10n 2k13 Plusz 1 szóköz

Firefox kiegészítőkMindig 2 Firefox verzióval lemaradva

Gyártó Nr. 1

Szignatúraalapon „kiirtja” a Firefox kiegészítőmet

Über 133t signature 3v4s10n 2k13 Plusz 1 szóköz

Firefox kiegészítőkMindig 2 Firefox verzióval lemaradva

Hacked with

browser extensio

n

Gyártó Nr. 2

„Safe browser” megoldás– Új, „tiszta” Firefox profil létrehozása

Regisztrációs adatbázisba regisztrált kiegészítők (HKCU)

„Safe browser” SQLite buherálás

A kapcsolatot felvettem, még nincs javítva

Gyártó Nr. 2

„Safe browser” megoldás– Új, „tiszta” Firefox profil létrehozása

Regisztrációs adatbázisba regisztrált kiegészítők (HKCU)

„Safe browser” SQLite buherálás

A kapcsolatot felvettem, még nincs javítva

Hacked with

browser extensio

n

Gyártó Nr. 3

Felhasználói kérdés: „Does XYZ detect/block Xenotix KeylogX?

Gyártó Nr. 3

Felhasználói kérdés: „Does XYZ detect/block Xenotix KeylogX?

A gyártó válasza: „No it doesn't, and that's by design. Browser add-ons are subject to the same sandboxing that the browser itself runs through and therefore can be managed by the user directly. ...If you're suspicious of any add-ons, you should definitely just remove them, or, open your browser in safemode which avoids loading any add-ons.”

Gyártó Nr. 3

Felhasználói kérdés: „Does XYZ detect/block Xenotix KeylogX?

A gyártó válasza: „No it doesn't, and that's by design. Browser add-ons are subject to the same sandboxing that the browser itself runs through and therefore can be managed by the user directly. ...If you're suspicious of any add-ons, you should definitely just remove them, or, open your browser in safemode which avoids loading any add-ons.”

Hacked with

browser extensio

n,

by design

Gyártó Nr. 4,5,...

Valamilyen safe browser megoldás

Hacked with

browser extensio

n,

Avast -Böngészőkiegészítő elleni védelem

DEMOP

Ne bízz a helyi tanúsítványkiszolgálóban!

Védd a proxybeállításokat, a böngésző fájljait, beállításait!

Ne használj régi, elavult böngészőt!

Minden(!) kiegészítő letiltása

Ne használj kiegészítőt arra, hogy másik kiegészítő ellen védekezz!

AV telepítése és frissítése!

„Endpoint Financial Fraud Prevention” and „Anti-Keylogging Applications”

„Endpoint Financial Fraud Prevention” and „Anti-Keylogging Applications”

Hogy mi??? – Amit a (külföldi) bankok ajánlanak, hogy

töltsd le és akkor biztonságban leszel

– API hooking elleni védelmet ígérnek

Gyártó 1

Gyártó 2

Gyártó 3

A konklúzió ... ;-)

Firefox + Zemana + api hooking + kiegészítő

DEMO

Gyártó Nr. 2

Protects end-user endpoints against financial malware and phishing attacks.

By preventing attacks such as Man-in-the-Browser and Man-in-the-Middle, it secures credentials and personal information and stops financial fraud and account takeover.

And, it keeps endpoints malware-free by blocking malware installation and removing existing infections.

Gyártó Nr. 2

Internet Explorerben a kiegészítők letiltvaFirefoxban nem

Küldtek egy új verziótMinden böngészőkiegészítő le van tiltva ...

Nem publikus verzió

A terv: Majd ők detektálják, ha ilyentámadás van, és akkor aztaz egy kiegészítőt letiltják ...

Gyártó Nr. 2

Internet Explorerben a kiegészítők letiltvaFirefoxban nem

Küldtek egy új verziótMinden böngészőkiegészítő le van tiltva ...

Nem publikus verzió

A terv: Majd ők detektálják, ha ilyentámadás van, és akkor aztaz egy kiegészítőt letiltják ...

Gyártó Nr. 3

2013. január: Firefox 13.01 (2012. június)

Regisztrációs adatbázis hack (HKCU)

Felvettem a kapcsolatot, javították

SSL MITM sem működik, saját proxy beállításait is védi

Gyártó Nr. 4

Gyártó Nr. 4

Protects You From:

Information stealing malware and spyware

0-hour malware and targeted attacks

Sophisticated financial malware like ZeuS and SpyEye

Key loggers, screen grabbers, microphone and webcam hijackers, SSL banker Trojans, spying rootkits and many more

Protects You From:

Information stealing malware and spyware

0-hour malware and targeted attacks

Sophisticated financial malware like ZeuS and SpyEye

Key loggers, screen grabbers, microphone and webcam hijackers, SSL banker Trojans, spying rootkits and many more

Gyártó Nr. 4

Hacked with

browser extensio

n

LastPass + Yubico hack

LastPass + Yubico hack

LastPass + Yubico hack

LastPass + Yubico hack

SütilopásNem elég

Rejtjelezési kulcsok lokálisan

POST-adatok olvasásaNem elég

Csak jelszó hash + Yubico OTP

Lastpass kiegészítő „módosítása” (backdoor)Elég ;-)

DEMO

SütilopásNem elég

Rejtjelezési kulcsok lokálisan

POST-adatok olvasásaNem elég

Csak jelszó hash + Yubico OTP

Lastpass kiegészítő „módosítása” (backdoor)Elég ;-)

LastPass + Yubico hack

Hacked with

browser extensio

n,

and backdoor

Tanulság: rossz erdőben kerestem az elixírt

A csak kliensoldali védelmek bukásra vannak ítélve

https://github.com/Z6543zbalazs@deloittece.com

https://hu.linkedin.com/in/zbalazs

Köszönöm a figyelmet!