Upload
bz98
View
406
Download
0
Embed Size (px)
Citation preview
Védtelen böngészők, avagy hogyan ne védd Ziont
Jogi nyilatkozat:Minden nézet és gondolat amit ma megosztok, a sajátom.A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegi vagy jövőbeni munkáltatóm véleményével.Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.
Balázs ZoltánDeloitte
Senior IT biztonsági tanácsadóOSCP, C|HFI, CISSP, CPTS, MCP
gula.sh – CyberLympics@2012, 3. hely
Bemutatkozás
I Love Hacking
I Love Hacker Movies
I Love Memes
Védtelen böngészők
• Zombi tűzróka – mi történt?
• Mi a megoldás?– Általános védelem
– Internet security suites
– Online banking – kliensoldali védelem
– Lastpass + yubikey hack
Hol hagytuk abba?
2012. május 11. Ethical Hacking, Zombi tűzróka
2012. május 11. ESET (Sicontact)
2012. május 16. Trojan Neloweg – Symantec
2012. június – szeptember Chrome, Safari kiegészitő, Rails C&C szerver
2012. július Chrome külső oldalakról származó kiegészítők tiltása
Zombi Firefox - virustotal
Ebből öt olyan gyártó, amelyiknek nem küldtem el
Zombi Chrome - virustotal
Advanced AV 133t 3v4s10n 2012
Tanulságok:– Ne küldj rejtjeles zipet
– Ne küldj olyan ZIP-állományt, amiben több mint tíz állomány van (Firefox kiegészítő == ZIP-ben fájlok)
A kód publikálása
2012. október 30. a kód publikálása• A Mozilla 25 percen belül blokkolta
Advanced Mozilla 133t 3v4s10n 2013
Google, Mozilla
Google – extension store javítandó
Mozilla centralizálás fejlesztések
Más a fókusz:– Firefox: powerful kiegészítők (pl. NoScript)– Chrome: biztonság
Axiómák
Ha egy rosszfiú rávesz, hogy futtasd az ő programját a gépeden – az nem a te géped többé. ©Microsoft
Ha egy védelmi rendszer véd 300 különböző támadási mód ellen, az azt jelenti, hogy a 301. ellen nem. ©Zoli
Jelszólopás
Sütilopás
Webkamera-kémkedés
Felhasználói fájlok olvasása
Felhasználói fájlok írása
NoScript
Browserprotect
Sandboxie
NoScript
„Allows executable web content such as JavaScript, Java, Flash, Silverlight, and other plugins ... NoScript also offers specific countermeasures against security exploits.”
futó malware ellen, másik kiegészítő ellen nem véd
Browserprotect
„To protect your browser against malware hijacking your browser settings like home page, search providers and address bar search.”
„Runs your programs in an isolated space which prevents them from making permanent changes to other programs and data in your computer.”
Véd: fájlok írása diszkre (csak sandboxba lehet)
„Runs your programs in an isolated space which prevents them from making permanent changes to other programs and data in your computer.”
Véd: fájlok írása diszkre (csak sandboxba lehet)
Nem véd:– Jelszólopás– Sütilopás– Webkamera-kémkedés– Fájlolvasás
Internetbiztonsági csomagok
Gyártó 1
Gyártó 2
Gyártó 3
Gyártó 4
Gyártó 5
A konklúzió úgyis ugyanaz
Internetbiztonsági csomagok
Gyártó 1
Gyártó 2
Gyártó 3
Gyártó 4
Gyártó 5
A konklúzió úgyis ugyanaz
Gyártó Nr. 1
Szignatúraalapon „kiirtja” a Firefox kiegészítőmet
Über 133t signature 3v4s10n 2k13 Plusz 1 szóköz
Firefox kiegészítőkMindig 2 Firefox verzióval lemaradva
Gyártó Nr. 1
Szignatúraalapon „kiirtja” a Firefox kiegészítőmet
Über 133t signature 3v4s10n 2k13 Plusz 1 szóköz
Firefox kiegészítőkMindig 2 Firefox verzióval lemaradva
Gyártó Nr. 1
Szignatúraalapon „kiirtja” a Firefox kiegészítőmet
Über 133t signature 3v4s10n 2k13 Plusz 1 szóköz
Firefox kiegészítőkMindig 2 Firefox verzióval lemaradva
Hacked with
browser extensio
n
Gyártó Nr. 2
„Safe browser” megoldás– Új, „tiszta” Firefox profil létrehozása
Regisztrációs adatbázisba regisztrált kiegészítők (HKCU)
„Safe browser” SQLite buherálás
A kapcsolatot felvettem, még nincs javítva
Gyártó Nr. 2
„Safe browser” megoldás– Új, „tiszta” Firefox profil létrehozása
Regisztrációs adatbázisba regisztrált kiegészítők (HKCU)
„Safe browser” SQLite buherálás
A kapcsolatot felvettem, még nincs javítva
Hacked with
browser extensio
n
Gyártó Nr. 3
Felhasználói kérdés: „Does XYZ detect/block Xenotix KeylogX?
Gyártó Nr. 3
Felhasználói kérdés: „Does XYZ detect/block Xenotix KeylogX?
A gyártó válasza: „No it doesn't, and that's by design. Browser add-ons are subject to the same sandboxing that the browser itself runs through and therefore can be managed by the user directly. ...If you're suspicious of any add-ons, you should definitely just remove them, or, open your browser in safemode which avoids loading any add-ons.”
Gyártó Nr. 3
Felhasználói kérdés: „Does XYZ detect/block Xenotix KeylogX?
A gyártó válasza: „No it doesn't, and that's by design. Browser add-ons are subject to the same sandboxing that the browser itself runs through and therefore can be managed by the user directly. ...If you're suspicious of any add-ons, you should definitely just remove them, or, open your browser in safemode which avoids loading any add-ons.”
Hacked with
browser extensio
n,
by design
Gyártó Nr. 4,5,...
Valamilyen safe browser megoldás
Hacked with
browser extensio
n,
Avast -Böngészőkiegészítő elleni védelem
DEMOP
Ne bízz a helyi tanúsítványkiszolgálóban!
Védd a proxybeállításokat, a böngésző fájljait, beállításait!
Ne használj régi, elavult böngészőt!
Minden(!) kiegészítő letiltása
Ne használj kiegészítőt arra, hogy másik kiegészítő ellen védekezz!
AV telepítése és frissítése!
„Endpoint Financial Fraud Prevention” and „Anti-Keylogging Applications”
„Endpoint Financial Fraud Prevention” and „Anti-Keylogging Applications”
Hogy mi??? – Amit a (külföldi) bankok ajánlanak, hogy
töltsd le és akkor biztonságban leszel
– API hooking elleni védelmet ígérnek
Gyártó 1
Gyártó 2
Gyártó 3
A konklúzió ... ;-)
Firefox + Zemana + api hooking + kiegészítő
DEMO
Gyártó Nr. 2
Protects end-user endpoints against financial malware and phishing attacks.
By preventing attacks such as Man-in-the-Browser and Man-in-the-Middle, it secures credentials and personal information and stops financial fraud and account takeover.
And, it keeps endpoints malware-free by blocking malware installation and removing existing infections.
Gyártó Nr. 2
Internet Explorerben a kiegészítők letiltvaFirefoxban nem
Küldtek egy új verziótMinden böngészőkiegészítő le van tiltva ...
Nem publikus verzió
A terv: Majd ők detektálják, ha ilyentámadás van, és akkor aztaz egy kiegészítőt letiltják ...
Gyártó Nr. 2
Internet Explorerben a kiegészítők letiltvaFirefoxban nem
Küldtek egy új verziótMinden böngészőkiegészítő le van tiltva ...
Nem publikus verzió
A terv: Majd ők detektálják, ha ilyentámadás van, és akkor aztaz egy kiegészítőt letiltják ...
Gyártó Nr. 3
2013. január: Firefox 13.01 (2012. június)
Regisztrációs adatbázis hack (HKCU)
Felvettem a kapcsolatot, javították
SSL MITM sem működik, saját proxy beállításait is védi
Gyártó Nr. 4
Gyártó Nr. 4
Protects You From:
Information stealing malware and spyware
0-hour malware and targeted attacks
Sophisticated financial malware like ZeuS and SpyEye
Key loggers, screen grabbers, microphone and webcam hijackers, SSL banker Trojans, spying rootkits and many more
Protects You From:
Information stealing malware and spyware
0-hour malware and targeted attacks
Sophisticated financial malware like ZeuS and SpyEye
Key loggers, screen grabbers, microphone and webcam hijackers, SSL banker Trojans, spying rootkits and many more
Gyártó Nr. 4
Hacked with
browser extensio
n
LastPass + Yubico hack
LastPass + Yubico hack
LastPass + Yubico hack
LastPass + Yubico hack
SütilopásNem elég
Rejtjelezési kulcsok lokálisan
POST-adatok olvasásaNem elég
Csak jelszó hash + Yubico OTP
Lastpass kiegészítő „módosítása” (backdoor)Elég ;-)
DEMO
SütilopásNem elég
Rejtjelezési kulcsok lokálisan
POST-adatok olvasásaNem elég
Csak jelszó hash + Yubico OTP
Lastpass kiegészítő „módosítása” (backdoor)Elég ;-)
LastPass + Yubico hack
Hacked with
browser extensio
n,
and backdoor
Tanulság: rossz erdőben kerestem az elixírt
A csak kliensoldali védelmek bukásra vannak ítélve
https://github.com/[email protected]
https://hu.linkedin.com/in/zbalazs
Köszönöm a figyelmet!