Перейти к содержанию
Researcher

Если вы думаете, что ваши браузеры безопасны, то вы глубоко заблуждаетесь :)

Recommended Posts

Researcher

Если вы думаете, что я веду речь о каких-то неизвестных браузерах, то вы также ошибаетесь, я веду речь о четырёх всем известных и наиболее популярных браузерах:

1) Internet Explorer(9.0.8112.16421)

2) Opera(11.60)

3) Mozilla Firefox(9.0.1)

4) Google Chrome(16.0.912.75 m)

Суть проблемы безопасности в том, что ни один из этих браузеров в настоящее время не фильтрует запросы от локальных страниц (загруженных со схемой file://) к Интернету. Сценарий может быть такой:

Вы пользуетесь некоторой программой, она может быть очень известной а может быть малоизвестной, но она полезна для вас и в общем вы ей пользуетесь. При этом вы для надежности выставили ей в вашем фаэрволе правило: блокировать все входящие и исходящие соединения. Т.е. как-бы уверены что в Интернет эта прога никак не пролезет от своего имени :).

Эта программа использует в качестве справки оффлайновый набор html-Файлов. Т.е. когда вам необходимо просмотреть справку, то обычно вы запускаете index.html из директории help. На первый взгляд может показаться, что ничего страшного прозойти не может. Но...

В очередной раз открыв справочку этой программы вы можете получить утечку данных(без вашего согласия) с вашего компьютера на сайт этой программы или ещё куда-нибудь в Интернет. И суть-то реализации абсолютно проста!

Безусловно ряд людей скажет, что вообще не пользуется оффлановыми справками. Ну так и отлично, точно так же ряд людей скажет что никогда не открывает подозрительные вложения в почте :). Но ведь есть же ещё даже и такие! Я это всё к тому говорю, что уязвимость не может быть направлена на ВСЕХ пользователей без исключения, только на определенный процент, это касается абсолютно всех типов уязвимостей в безопасности.

Ведь запрещает же почтовый клиент загрузку изображений по ссылкам, т.е. тех которые не включены в само тело письма! И правильно делает, чтобы не было идентификации о прочтении письма. Почему же разработчики браузеров не реализовывают у себя этот механизм?

Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Предложил разработчику Оперы куда более чем простой вариант - сделать это всё опциональным. Т.е. в настройках браузера должна быть группа чекбоксов с тремя опциями:

1) Разрешать всем локальным файлам, открытым по схеме file:// доступ к Интернету(это действует сейчас по умолчанию во всех 4 браузерах)

2) Блокировать всем локальным файлам, открытым по схеме file:// доступ к Интернету

3) Спрашивать, когда локальная веб-страница пытается отправить или получить данные из Интернета и запоминать для этой конкретной страницы выбор пользователя

Ответа пока ни фига никакого не последовало!

Для себя сдедал вывод - не запускать оффлановую html-справку ни от одного из производителей ПО. Буду пользоваться только online-спракой или chm-Файлом, который лично мой HIPS фильтрует как отдельное приложение и передать такому файлу данные в Интернет без моего ведома будет невозможно(пока работает HIPS разумеется :)).

Вообще открывать локальные html-Файлы по схеме file:// буду только свои, поскольку сам занимаюсь веб-разработкой.

URLFS_Leaktest_v2.0.zip

URLFS_Leaktest_v2.0.zip

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher

Вот хеши архива, на всякий случай:

URLFS_Leaktest_v2.0.zip

MD5: 831959E37363963A8CF554F54D080E67

SHA-1: CD378B32D2DC7AEFDD16727F8F668708C123262C

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

слишком неактуальная пока угроза имхо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
слишком неактуальная пока угроза имхо

Вы пользуетесь оффлайновой справкой, хотя бы от одного приложения? Или открывали хотя бы раз локальный html-файл от какой-нибудь программы?

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересный вариант, который может бысть использован в том числе и для утечки данных в обход фаервола.

Вы пользуетесь оффлайновой справкой, хотя бы от одного приложения? Или открывали хотя бы раз локальный html-файл от какой-нибудь программы?

Можно круче сделать, сгенерировать локальный html и инициировать его открытие сразу же по описанному сценарию. При этом замаскировать это можно под что угодно, окно ожидание Windows или там прогресс бар какой-то. HTML позволяет визуально что угодно навернуть, была бы фантазия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
Интересный вариант, который может бысть использован в том числе и для утечки данных в обход фаервола.

Точно, Сергей. Ни один HIPS не сможет от этого защитить. Это проблема браузеров скорее. И ни один из 4-х браузеров, ни с какими-либо дополнениями от версии URLFS-Leaktest_v2.0, поскольку Javascript вообще не используется.

Можно круче сделать, сгенерировать локальный html и инициировать его открытие сразу же по описанному сценарию. При этом замаскировать это можно под что угодно, окно ожидание Windows или там прогресс бар какой-то. HTML позволяет визуально что угодно навернуть, была бы фантазия.

Можно, конечно. Я так и сделал, можете в меню вызвать пункт "Вызов Справки". Но со скрытным запуском браузера сложнее, поскольку Проактивная защита выдаёт предупреждение всё же о том что неизвестное/известное приложение пытается запустить браузер. Но, конечно же, если пользователь привык к таким запросам, и кстати сказать они не редкость, то он без опасений разрешит такой запрос.

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Вот и зря. Думаю, они одни из первых, кто бы отреагировали на эту уязвимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
Вот и зря. Думаю, они одни из первых, кто бы отреагировали на эту уязвимость.

Ну может и напишу сейчас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher

Есть приятная новость для тех у кого стоит TOR-button. Вот этот флажок делает то, что не могут до сих пор сделать разработчики из Mozilla Foundation:

tor_but_protect.png

post-16756-1326994367_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
goover
... ни с какими-либо дополнениями ...

Если пользуетесь Firefox можете попробовать дополнение, набросал тут по-быстрому:

enable.jpg disable.jpg

Убрать .txt в конце:

ROFLKiller.xpi.txt

post-5047-1327079636_thumb.jpg

post-5047-1327079644_thumb.jpg

ROFLKiller.xpi.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leonid
Если вы думаете, что я веду речь о каких-то неизвестных браузерах, то вы также ошибаетесь, я веду речь о четырёх всем известных и наиболее популярных браузерах:

1) Internet Explorer(9.0.8112.16421)

2) Opera(11.60)

3) Mozilla Firefox(9.0.1)

4) Google Chrome(16.0.912.75 m)

Суть проблемы безопасности в том, что ни один из этих браузеров в настоящее время не фильтрует запросы от локальных страниц (загруженных со схемой file://) к Интернету. Сценарий может быть такой:

Вы пользуетесь некоторой программой, она может быть очень известной а может быть малоизвестной, но она полезна для вас и в общем вы ей пользуетесь. При этом вы для надежности выставили ей в вашем фаэрволе правило: блокировать все входящие и исходящие соединения. Т.е. как-бы уверены что в Интернет эта прога никак не пролезет от своего имени :).

Эта программа использует в качестве справки оффлайновый набор html-Файлов. Т.е. когда вам необходимо просмотреть справку, то обычно вы запускаете index.html из директории help. На первый взгляд может показаться, что ничего страшного прозойти не может. Но...

В очередной раз открыв справочку этой программы вы можете получить утечку данных(без вашего согласия) с вашего компьютера на сайт этой программы или ещё куда-нибудь в Интернет. И суть-то реализации абсолютно проста!

Безусловно ряд людей скажет, что вообще не пользуется оффлановыми справками. Ну так и отлично, точно так же ряд людей скажет что никогда не открывает подозрительные вложения в почте :). Но ведь есть же ещё даже и такие! Я это всё к тому говорю, что уязвимость не может быть направлена на ВСЕХ пользователей без исключения, только на определенный процент, это касается абсолютно всех типов уязвимостей в безопасности.

Ведь запрещает же почтовый клиент загрузку изображений по ссылкам, т.е. тех которые не включены в само тело письма! И правильно делает, чтобы не было идентификации о прочтении письма. Почему же разработчики браузеров не реализовывают у себя этот механизм?

Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Предложил разработчику Оперы куда более чем простой вариант - сделать это всё опциональным. Т.е. в настройках браузера должна быть группа чекбоксов с тремя опциями:

1) Разрешать всем локальным файлам, открытым по схеме file:// доступ к Интернету(это действует сейчас по умолчанию во всех 4 браузерах)

2) Блокировать всем локальным файлам, открытым по схеме file:// доступ к Интернету

3) Спрашивать, когда локальная веб-страница пытается отправить или получить данные из Интернета и запоминать для этой конкретной страницы выбор пользователя

Ответа пока ни фига никакого не последовало!

Для себя сдедал вывод - не запускать оффлановую html-справку ни от одного из производителей ПО. Буду пользоваться только online-спракой или chm-Файлом, который лично мой HIPS фильтрует как отдельное приложение и передать такому файлу данные в Интернет без моего ведома будет невозможно(пока работает HIPS разумеется :)).

Вообще открывать локальные html-Файлы по схеме file:// буду только свои, поскольку сам занимаюсь веб-разработкой.

URLFS_Leaktest_v2.0.zip

Скажите, пожалуйста, а почему Вы не добавили к этим браузерам COMODO DRAGON ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
Скажите, пожалуйста, а почему Вы не добавили к этим браузерам COMODO DRAGON ?

Добавьте :). Думаю ещё и много других можно добавить. Я просто протестировал 4 наиболее популярных браузера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ing122

Честно говоря, не понял, почему производители вроде как должны немедленно кинуться ликвидировать данную проблему. С их точки зрения, и проблемы нет, собственно, никакой.

1) Вы пользуете некую "полезную, но подозрительную" программу (которой вы на всякий пожарный обрубили доступ в сеть).

Следовательно:

2) Пользование программ этого плана предполагает, что вы делаете это на свой страх и риск.

Ну и, тогда:

3) Возможность проникновения в инет из html-оффлайн-хелпа - исключительно проблемы пользователя, юзающего данный рискованный сорт программ, а никак не производителей браузеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дима
исключительно проблемы пользователя, юзающего данный рискованный сорт программ

пользователь ни о каких проблемах не подозревает даже, за него должен подумать кто-то другой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EreTIk

Проблема известна не первый год. Подобный тест включен в matousec'овский набор – OSfwbypass. Если посмотреть старицу автора PoC’а, то можно увидеть что проблема была выявлена в 2005-том году как атака на Zone Alarm.

Суть атаки:

Description: Zone Alarm products with Advance Program Control or OS Firewall Technology enabled, detects and blocks almost all those APIs (like Shell, ShellExecuteEx, SetWindowText, SetDlgItem etc) which are commonly used by malicious programs to send data via http by piggybacking over other trusted programs. However, it is still possible for a malicious program (Trojans or worms etc) to make outbound connections to the evil site by piggybacking over trusted Internet browser using “HTML Modal Dialog” in conjunction with simple “JavaScript”. Here it is assumed that the default browser (IE or Firefox etc) has authorization to access internet.

The PoC discusses how the ZoneAlarm Advance Program Control and Behavior Based Technology can be defeated by using HTML Modal Dialog Box in conjunction with JavaScript. Refer the PoC (Proof of Concept) for more details.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://www.comss.ru/page.php?id=586 При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox ) https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/ Это происходит при пополнении базы SHA1 " Добавить хэши исполняемых файлов каталога в базу проверенных..." Но, не всегда.
    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
×