Researcher

Если вы думаете, что ваши браузеры безопасны, то вы глубоко заблуждаетесь :)

В этой теме 15 сообщений

Если вы думаете, что я веду речь о каких-то неизвестных браузерах, то вы также ошибаетесь, я веду речь о четырёх всем известных и наиболее популярных браузерах:

1) Internet Explorer(9.0.8112.16421)

2) Opera(11.60)

3) Mozilla Firefox(9.0.1)

4) Google Chrome(16.0.912.75 m)

Суть проблемы безопасности в том, что ни один из этих браузеров в настоящее время не фильтрует запросы от локальных страниц (загруженных со схемой file://) к Интернету. Сценарий может быть такой:

Вы пользуетесь некоторой программой, она может быть очень известной а может быть малоизвестной, но она полезна для вас и в общем вы ей пользуетесь. При этом вы для надежности выставили ей в вашем фаэрволе правило: блокировать все входящие и исходящие соединения. Т.е. как-бы уверены что в Интернет эта прога никак не пролезет от своего имени :).

Эта программа использует в качестве справки оффлайновый набор html-Файлов. Т.е. когда вам необходимо просмотреть справку, то обычно вы запускаете index.html из директории help. На первый взгляд может показаться, что ничего страшного прозойти не может. Но...

В очередной раз открыв справочку этой программы вы можете получить утечку данных(без вашего согласия) с вашего компьютера на сайт этой программы или ещё куда-нибудь в Интернет. И суть-то реализации абсолютно проста!

Безусловно ряд людей скажет, что вообще не пользуется оффлановыми справками. Ну так и отлично, точно так же ряд людей скажет что никогда не открывает подозрительные вложения в почте :). Но ведь есть же ещё даже и такие! Я это всё к тому говорю, что уязвимость не может быть направлена на ВСЕХ пользователей без исключения, только на определенный процент, это касается абсолютно всех типов уязвимостей в безопасности.

Ведь запрещает же почтовый клиент загрузку изображений по ссылкам, т.е. тех которые не включены в само тело письма! И правильно делает, чтобы не было идентификации о прочтении письма. Почему же разработчики браузеров не реализовывают у себя этот механизм?

Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Предложил разработчику Оперы куда более чем простой вариант - сделать это всё опциональным. Т.е. в настройках браузера должна быть группа чекбоксов с тремя опциями:

1) Разрешать всем локальным файлам, открытым по схеме file:// доступ к Интернету(это действует сейчас по умолчанию во всех 4 браузерах)

2) Блокировать всем локальным файлам, открытым по схеме file:// доступ к Интернету

3) Спрашивать, когда локальная веб-страница пытается отправить или получить данные из Интернета и запоминать для этой конкретной страницы выбор пользователя

Ответа пока ни фига никакого не последовало!

Для себя сдедал вывод - не запускать оффлановую html-справку ни от одного из производителей ПО. Буду пользоваться только online-спракой или chm-Файлом, который лично мой HIPS фильтрует как отдельное приложение и передать такому файлу данные в Интернет без моего ведома будет невозможно(пока работает HIPS разумеется :)).

Вообще открывать локальные html-Файлы по схеме file:// буду только свои, поскольку сам занимаюсь веб-разработкой.

URLFS_Leaktest_v2.0.zip

URLFS_Leaktest_v2.0.zip

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот хеши архива, на всякий случай:

URLFS_Leaktest_v2.0.zip

MD5: 831959E37363963A8CF554F54D080E67

SHA-1: CD378B32D2DC7AEFDD16727F8F668708C123262C

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
слишком неактуальная пока угроза имхо

Вы пользуетесь оффлайновой справкой, хотя бы от одного приложения? Или открывали хотя бы раз локальный html-файл от какой-нибудь программы?

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересный вариант, который может бысть использован в том числе и для утечки данных в обход фаервола.

Вы пользуетесь оффлайновой справкой, хотя бы от одного приложения? Или открывали хотя бы раз локальный html-файл от какой-нибудь программы?

Можно круче сделать, сгенерировать локальный html и инициировать его открытие сразу же по описанному сценарию. При этом замаскировать это можно под что угодно, окно ожидание Windows или там прогресс бар какой-то. HTML позволяет визуально что угодно навернуть, была бы фантазия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Интересный вариант, который может бысть использован в том числе и для утечки данных в обход фаервола.

Точно, Сергей. Ни один HIPS не сможет от этого защитить. Это проблема браузеров скорее. И ни один из 4-х браузеров, ни с какими-либо дополнениями от версии URLFS-Leaktest_v2.0, поскольку Javascript вообще не используется.

Можно круче сделать, сгенерировать локальный html и инициировать его открытие сразу же по описанному сценарию. При этом замаскировать это можно под что угодно, окно ожидание Windows или там прогресс бар какой-то. HTML позволяет визуально что угодно навернуть, была бы фантазия.

Можно, конечно. Я так и сделал, можете в меню вызвать пункт "Вызов Справки". Но со скрытным запуском браузера сложнее, поскольку Проактивная защита выдаёт предупреждение всё же о том что неизвестное/известное приложение пытается запустить браузер. Но, конечно же, если пользователь привык к таким запросам, и кстати сказать они не редкость, то он без опасений разрешит такой запрос.

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Вот и зря. Думаю, они одни из первых, кто бы отреагировали на эту уязвимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот и зря. Думаю, они одни из первых, кто бы отреагировали на эту уязвимость.

Ну может и напишу сейчас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть приятная новость для тех у кого стоит TOR-button. Вот этот флажок делает то, что не могут до сих пор сделать разработчики из Mozilla Foundation:

tor_but_protect.png

post-16756-1326994367_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
... ни с какими-либо дополнениями ...

Если пользуетесь Firefox можете попробовать дополнение, набросал тут по-быстрому:

enable.jpg disable.jpg

Убрать .txt в конце:

ROFLKiller.xpi.txt

post-5047-1327079636_thumb.jpg

post-5047-1327079644_thumb.jpg

ROFLKiller.xpi.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если вы думаете, что я веду речь о каких-то неизвестных браузерах, то вы также ошибаетесь, я веду речь о четырёх всем известных и наиболее популярных браузерах:

1) Internet Explorer(9.0.8112.16421)

2) Opera(11.60)

3) Mozilla Firefox(9.0.1)

4) Google Chrome(16.0.912.75 m)

Суть проблемы безопасности в том, что ни один из этих браузеров в настоящее время не фильтрует запросы от локальных страниц (загруженных со схемой file://) к Интернету. Сценарий может быть такой:

Вы пользуетесь некоторой программой, она может быть очень известной а может быть малоизвестной, но она полезна для вас и в общем вы ей пользуетесь. При этом вы для надежности выставили ей в вашем фаэрволе правило: блокировать все входящие и исходящие соединения. Т.е. как-бы уверены что в Интернет эта прога никак не пролезет от своего имени :).

Эта программа использует в качестве справки оффлайновый набор html-Файлов. Т.е. когда вам необходимо просмотреть справку, то обычно вы запускаете index.html из директории help. На первый взгляд может показаться, что ничего страшного прозойти не может. Но...

В очередной раз открыв справочку этой программы вы можете получить утечку данных(без вашего согласия) с вашего компьютера на сайт этой программы или ещё куда-нибудь в Интернет. И суть-то реализации абсолютно проста!

Безусловно ряд людей скажет, что вообще не пользуется оффлановыми справками. Ну так и отлично, точно так же ряд людей скажет что никогда не открывает подозрительные вложения в почте :). Но ведь есть же ещё даже и такие! Я это всё к тому говорю, что уязвимость не может быть направлена на ВСЕХ пользователей без исключения, только на определенный процент, это касается абсолютно всех типов уязвимостей в безопасности.

Ведь запрещает же почтовый клиент загрузку изображений по ссылкам, т.е. тех которые не включены в само тело письма! И правильно делает, чтобы не было идентификации о прочтении письма. Почему же разработчики браузеров не реализовывают у себя этот механизм?

Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Предложил разработчику Оперы куда более чем простой вариант - сделать это всё опциональным. Т.е. в настройках браузера должна быть группа чекбоксов с тремя опциями:

1) Разрешать всем локальным файлам, открытым по схеме file:// доступ к Интернету(это действует сейчас по умолчанию во всех 4 браузерах)

2) Блокировать всем локальным файлам, открытым по схеме file:// доступ к Интернету

3) Спрашивать, когда локальная веб-страница пытается отправить или получить данные из Интернета и запоминать для этой конкретной страницы выбор пользователя

Ответа пока ни фига никакого не последовало!

Для себя сдедал вывод - не запускать оффлановую html-справку ни от одного из производителей ПО. Буду пользоваться только online-спракой или chm-Файлом, который лично мой HIPS фильтрует как отдельное приложение и передать такому файлу данные в Интернет без моего ведома будет невозможно(пока работает HIPS разумеется :)).

Вообще открывать локальные html-Файлы по схеме file:// буду только свои, поскольку сам занимаюсь веб-разработкой.

URLFS_Leaktest_v2.0.zip

Скажите, пожалуйста, а почему Вы не добавили к этим браузерам COMODO DRAGON ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скажите, пожалуйста, а почему Вы не добавили к этим браузерам COMODO DRAGON ?

Добавьте :). Думаю ещё и много других можно добавить. Я просто протестировал 4 наиболее популярных браузера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Честно говоря, не понял, почему производители вроде как должны немедленно кинуться ликвидировать данную проблему. С их точки зрения, и проблемы нет, собственно, никакой.

1) Вы пользуете некую "полезную, но подозрительную" программу (которой вы на всякий пожарный обрубили доступ в сеть).

Следовательно:

2) Пользование программ этого плана предполагает, что вы делаете это на свой страх и риск.

Ну и, тогда:

3) Возможность проникновения в инет из html-оффлайн-хелпа - исключительно проблемы пользователя, юзающего данный рискованный сорт программ, а никак не производителей браузеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
исключительно проблемы пользователя, юзающего данный рискованный сорт программ

пользователь ни о каких проблемах не подозревает даже, за него должен подумать кто-то другой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Проблема известна не первый год. Подобный тест включен в matousec'овский набор – OSfwbypass. Если посмотреть старицу автора PoC’а, то можно увидеть что проблема была выявлена в 2005-том году как атака на Zone Alarm.

Суть атаки:

Description: Zone Alarm products with Advance Program Control or OS Firewall Technology enabled, detects and blocks almost all those APIs (like Shell, ShellExecuteEx, SetWindowText, SetDlgItem etc) which are commonly used by malicious programs to send data via http by piggybacking over other trusted programs. However, it is still possible for a malicious program (Trojans or worms etc) to make outbound connections to the evil site by piggybacking over trusted Internet browser using “HTML Modal Dialog” in conjunction with simple “JavaScript”. Here it is assumed that the default browser (IE or Firefox etc) has authorization to access internet.

The PoC discusses how the ZoneAlarm Advance Program Control and Behavior Based Technology can be defeated by using HTML Modal Dialog Box in conjunction with JavaScript. Refer the PoC (Proof of Concept) for more details.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • РинРин
      Вспомнилась серия из сериала Черное зеркало - там, где парнишка решил почистить ноут от вирусни, скачал и запустил утилиту-чистильщика, а вместе с ней скачалась прога, которая незаметно снимала на него компромат. Ну и потом, естественно, парнишка очень сильно попал). Я не особо впечатлительная и наивная, но с тех пор у меня вебка заклеена стикером XDDD
    • San
      Я вот сейчас тоже столкнулся с подобной проблемой. Кредит к сожалению, давать мне почему-то отказываются. Поэтому для себя лично я решил, что лучше будет взять деньги под залог автомобиля, потому как в худшем случае, я потеряю только свое транспортное средство, а не квартиру или что-то еще более важное. Нашел неплохие условия в Москве на сайте https://lombard-capital.ru/uslugi/dengi-pod-zalog-avto/ .  Кто-нибудь пользовался их услугами?
       
    • Harlison
      Кстати по сути вы говорите про те же материалы, из которых делают балконы разные, как тут под ключ кстати по адекватной цене https://salamander.com.ua/production/osteklenie-lodzhij-i-balkonov/balkon-pod-klyuch/ . В итоге суть в чём, можете попробовать с ними связать напрямую и предложить быть спонсорами такой то идеи, для создания удобства граждан. Или через горсовет и сразу предлагать, где можно их сделать, чтобы те всё оплатили.
      Если взялись, так делайте!
    • Viktorr
      Потому что для безопасности компьютеров, мало одних лишь антивирусов, нужно применять и другие способы защиты. В сети вообще-то немало данных по этой теме, к примеру вот здесь можете ознакомиться с подробной информацией, как проводить тестирование на проникновение, для обеспечения информационной безопасности  https://codeby.net/kniga-testirovanie-na-proniknovenie-s-kali-linux-2-0-na-russkom-jazyke/ . Там полностью на русском языке изложено, как проводить анализ уязвимостей в веб-приложениях, делать стресс-тесты сети и т.д. Так что внимательно изучите данную информацию, и делайте выводы, что нужно предпринять, чтобы надежно защитить свой компьютер.
    • demkd
      А причем тут разрабы, формат известен, проблема во времени необходимом на интеграцию sql в uVS и само совместимостью такого комбайна с PE, со временем вопрос решится буду смотреть.