Перейти к содержанию
Researcher

Если вы думаете, что ваши браузеры безопасны, то вы глубоко заблуждаетесь :)

Recommended Posts

Researcher

Если вы думаете, что я веду речь о каких-то неизвестных браузерах, то вы также ошибаетесь, я веду речь о четырёх всем известных и наиболее популярных браузерах:

1) Internet Explorer(9.0.8112.16421)

2) Opera(11.60)

3) Mozilla Firefox(9.0.1)

4) Google Chrome(16.0.912.75 m)

Суть проблемы безопасности в том, что ни один из этих браузеров в настоящее время не фильтрует запросы от локальных страниц (загруженных со схемой file://) к Интернету. Сценарий может быть такой:

Вы пользуетесь некоторой программой, она может быть очень известной а может быть малоизвестной, но она полезна для вас и в общем вы ей пользуетесь. При этом вы для надежности выставили ей в вашем фаэрволе правило: блокировать все входящие и исходящие соединения. Т.е. как-бы уверены что в Интернет эта прога никак не пролезет от своего имени :).

Эта программа использует в качестве справки оффлайновый набор html-Файлов. Т.е. когда вам необходимо просмотреть справку, то обычно вы запускаете index.html из директории help. На первый взгляд может показаться, что ничего страшного прозойти не может. Но...

В очередной раз открыв справочку этой программы вы можете получить утечку данных(без вашего согласия) с вашего компьютера на сайт этой программы или ещё куда-нибудь в Интернет. И суть-то реализации абсолютно проста!

Безусловно ряд людей скажет, что вообще не пользуется оффлановыми справками. Ну так и отлично, точно так же ряд людей скажет что никогда не открывает подозрительные вложения в почте :). Но ведь есть же ещё даже и такие! Я это всё к тому говорю, что уязвимость не может быть направлена на ВСЕХ пользователей без исключения, только на определенный процент, это касается абсолютно всех типов уязвимостей в безопасности.

Ведь запрещает же почтовый клиент загрузку изображений по ссылкам, т.е. тех которые не включены в само тело письма! И правильно делает, чтобы не было идентификации о прочтении письма. Почему же разработчики браузеров не реализовывают у себя этот механизм?

Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Предложил разработчику Оперы куда более чем простой вариант - сделать это всё опциональным. Т.е. в настройках браузера должна быть группа чекбоксов с тремя опциями:

1) Разрешать всем локальным файлам, открытым по схеме file:// доступ к Интернету(это действует сейчас по умолчанию во всех 4 браузерах)

2) Блокировать всем локальным файлам, открытым по схеме file:// доступ к Интернету

3) Спрашивать, когда локальная веб-страница пытается отправить или получить данные из Интернета и запоминать для этой конкретной страницы выбор пользователя

Ответа пока ни фига никакого не последовало!

Для себя сдедал вывод - не запускать оффлановую html-справку ни от одного из производителей ПО. Буду пользоваться только online-спракой или chm-Файлом, который лично мой HIPS фильтрует как отдельное приложение и передать такому файлу данные в Интернет без моего ведома будет невозможно(пока работает HIPS разумеется :)).

Вообще открывать локальные html-Файлы по схеме file:// буду только свои, поскольку сам занимаюсь веб-разработкой.

URLFS_Leaktest_v2.0.zip

URLFS_Leaktest_v2.0.zip

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher

Вот хеши архива, на всякий случай:

URLFS_Leaktest_v2.0.zip

MD5: 831959E37363963A8CF554F54D080E67

SHA-1: CD378B32D2DC7AEFDD16727F8F668708C123262C

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

слишком неактуальная пока угроза имхо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
слишком неактуальная пока угроза имхо

Вы пользуетесь оффлайновой справкой, хотя бы от одного приложения? Или открывали хотя бы раз локальный html-файл от какой-нибудь программы?

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересный вариант, который может бысть использован в том числе и для утечки данных в обход фаервола.

Вы пользуетесь оффлайновой справкой, хотя бы от одного приложения? Или открывали хотя бы раз локальный html-файл от какой-нибудь программы?

Можно круче сделать, сгенерировать локальный html и инициировать его открытие сразу же по описанному сценарию. При этом замаскировать это можно под что угодно, окно ожидание Windows или там прогресс бар какой-то. HTML позволяет визуально что угодно навернуть, была бы фантазия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
Интересный вариант, который может бысть использован в том числе и для утечки данных в обход фаервола.

Точно, Сергей. Ни один HIPS не сможет от этого защитить. Это проблема браузеров скорее. И ни один из 4-х браузеров, ни с какими-либо дополнениями от версии URLFS-Leaktest_v2.0, поскольку Javascript вообще не используется.

Можно круче сделать, сгенерировать локальный html и инициировать его открытие сразу же по описанному сценарию. При этом замаскировать это можно под что угодно, окно ожидание Windows или там прогресс бар какой-то. HTML позволяет визуально что угодно навернуть, была бы фантазия.

Можно, конечно. Я так и сделал, можете в меню вызвать пункт "Вызов Справки". Но со скрытным запуском браузера сложнее, поскольку Проактивная защита выдаёт предупреждение всё же о том что неизвестное/известное приложение пытается запустить браузер. Но, конечно же, если пользователь привык к таким запросам, и кстати сказать они не редкость, то он без опасений разрешит такой запрос.

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Вот и зря. Думаю, они одни из первых, кто бы отреагировали на эту уязвимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
Вот и зря. Думаю, они одни из первых, кто бы отреагировали на эту уязвимость.

Ну может и напишу сейчас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher

Есть приятная новость для тех у кого стоит TOR-button. Вот этот флажок делает то, что не могут до сих пор сделать разработчики из Mozilla Foundation:

tor_but_protect.png

post-16756-1326994367_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
goover
... ни с какими-либо дополнениями ...

Если пользуетесь Firefox можете попробовать дополнение, набросал тут по-быстрому:

enable.jpg disable.jpg

Убрать .txt в конце:

ROFLKiller.xpi.txt

post-5047-1327079636_thumb.jpg

post-5047-1327079644_thumb.jpg

ROFLKiller.xpi.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leonid
Если вы думаете, что я веду речь о каких-то неизвестных браузерах, то вы также ошибаетесь, я веду речь о четырёх всем известных и наиболее популярных браузерах:

1) Internet Explorer(9.0.8112.16421)

2) Opera(11.60)

3) Mozilla Firefox(9.0.1)

4) Google Chrome(16.0.912.75 m)

Суть проблемы безопасности в том, что ни один из этих браузеров в настоящее время не фильтрует запросы от локальных страниц (загруженных со схемой file://) к Интернету. Сценарий может быть такой:

Вы пользуетесь некоторой программой, она может быть очень известной а может быть малоизвестной, но она полезна для вас и в общем вы ей пользуетесь. При этом вы для надежности выставили ей в вашем фаэрволе правило: блокировать все входящие и исходящие соединения. Т.е. как-бы уверены что в Интернет эта прога никак не пролезет от своего имени :).

Эта программа использует в качестве справки оффлайновый набор html-Файлов. Т.е. когда вам необходимо просмотреть справку, то обычно вы запускаете index.html из директории help. На первый взгляд может показаться, что ничего страшного прозойти не может. Но...

В очередной раз открыв справочку этой программы вы можете получить утечку данных(без вашего согласия) с вашего компьютера на сайт этой программы или ещё куда-нибудь в Интернет. И суть-то реализации абсолютно проста!

Безусловно ряд людей скажет, что вообще не пользуется оффлановыми справками. Ну так и отлично, точно так же ряд людей скажет что никогда не открывает подозрительные вложения в почте :). Но ведь есть же ещё даже и такие! Я это всё к тому говорю, что уязвимость не может быть направлена на ВСЕХ пользователей без исключения, только на определенный процент, это касается абсолютно всех типов уязвимостей в безопасности.

Ведь запрещает же почтовый клиент загрузку изображений по ссылкам, т.е. тех которые не включены в само тело письма! И правильно делает, чтобы не было идентификации о прочтении письма. Почему же разработчики браузеров не реализовывают у себя этот механизм?

Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Предложил разработчику Оперы куда более чем простой вариант - сделать это всё опциональным. Т.е. в настройках браузера должна быть группа чекбоксов с тремя опциями:

1) Разрешать всем локальным файлам, открытым по схеме file:// доступ к Интернету(это действует сейчас по умолчанию во всех 4 браузерах)

2) Блокировать всем локальным файлам, открытым по схеме file:// доступ к Интернету

3) Спрашивать, когда локальная веб-страница пытается отправить или получить данные из Интернета и запоминать для этой конкретной страницы выбор пользователя

Ответа пока ни фига никакого не последовало!

Для себя сдедал вывод - не запускать оффлановую html-справку ни от одного из производителей ПО. Буду пользоваться только online-спракой или chm-Файлом, который лично мой HIPS фильтрует как отдельное приложение и передать такому файлу данные в Интернет без моего ведома будет невозможно(пока работает HIPS разумеется :)).

Вообще открывать локальные html-Файлы по схеме file:// буду только свои, поскольку сам занимаюсь веб-разработкой.

URLFS_Leaktest_v2.0.zip

Скажите, пожалуйста, а почему Вы не добавили к этим браузерам COMODO DRAGON ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
Скажите, пожалуйста, а почему Вы не добавили к этим браузерам COMODO DRAGON ?

Добавьте :). Думаю ещё и много других можно добавить. Я просто протестировал 4 наиболее популярных браузера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ing122

Честно говоря, не понял, почему производители вроде как должны немедленно кинуться ликвидировать данную проблему. С их точки зрения, и проблемы нет, собственно, никакой.

1) Вы пользуете некую "полезную, но подозрительную" программу (которой вы на всякий пожарный обрубили доступ в сеть).

Следовательно:

2) Пользование программ этого плана предполагает, что вы делаете это на свой страх и риск.

Ну и, тогда:

3) Возможность проникновения в инет из html-оффлайн-хелпа - исключительно проблемы пользователя, юзающего данный рискованный сорт программ, а никак не производителей браузеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дима
исключительно проблемы пользователя, юзающего данный рискованный сорт программ

пользователь ни о каких проблемах не подозревает даже, за него должен подумать кто-то другой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EreTIk

Проблема известна не первый год. Подобный тест включен в matousec'овский набор – OSfwbypass. Если посмотреть старицу автора PoC’а, то можно увидеть что проблема была выявлена в 2005-том году как атака на Zone Alarm.

Суть атаки:

Description: Zone Alarm products with Advance Program Control or OS Firewall Technology enabled, detects and blocks almost all those APIs (like Shell, ShellExecuteEx, SetWindowText, SetDlgItem etc) which are commonly used by malicious programs to send data via http by piggybacking over other trusted programs. However, it is still possible for a malicious program (Trojans or worms etc) to make outbound connections to the evil site by piggybacking over trusted Internet browser using “HTML Modal Dialog” in conjunction with simple “JavaScript”. Here it is assumed that the default browser (IE or Firefox etc) has authorization to access internet.

The PoC discusses how the ZoneAlarm Advance Program Control and Behavior Based Technology can be defeated by using HTML Modal Dialog Box in conjunction with JavaScript. Refer the PoC (Proof of Concept) for more details.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Curtismab
      Неотразимые мягкие места в уборной выставляют дивчины https://devkis.net на развратных фотках
    • Dmitrius
      БигПикча новости в фотографиях Бигпикча – это уникальный портал, который предлагает ознакомиться с самыми интересными и увлекательными новостями. Они понравятся каждому, кто всегда желает держать руку на пульсе и быть в курсе последних новостей, событий в мире. Этот портал уникален тем, что все материалы сопровождаются красочной фотографией для наглядности. Сайт приковывает к себе внимание с самых первых минут. Его хочется постоянно рассматривать, наслаждаться интересной подачей материала. Над его созданием трудились лучшие авторы, настоящие эксперты в своем деле, которые преподносят информацию таким образом, чтобы она понравилась людям любого возраста и независимо от социального положения. На bigpicture.ru только интересные, яркие новости на самые злободневные темы, а потому вы обязательно найдете что-то стоящее для себя. Есть любопытные статьи про животных, людей, еду, оригинальные вещи. Имеются факты, а также топы, которые интересно пересматривать вновь. Администрация сайта регулярно выкладывает статьи, которые помогут взглянуть на привычные вещи под другим углом. Если и вы хотите развлечься после трудового дня или в выходной, то скорей заходите на этот сайт, который знает, что вам предложить, чтобы разнообразить досуг и сделать его ярким, насыщенным. Авторы умеют удивлять, поэтому при составлении контента учитываются интересы всех читателей. Рассматриваются факты, о которых раньше вы даже не догадывались. Они прольют свет на многие вопросы. Новости в фотографиях, увлекательные путешествия, истории, лонгриды и многое другое представлено на этом сайте. Добавляйте его в закладки, чтобы не потерять, ведь этот портал является пищей для мозга, возможностью расширить свое сознание и повысить уровень интеллекта. Ищите любимый сайт в социальных сетях.
    • Curtismab
      Офигенные соски в усадьбе показывают глупышки https://devkis.net на эро фотокарточках
    • Dmitrius
      Арбитражный управляющий Каждый может оказаться в такой ситуации, когда требуется профессиональная и своевременная поддержка юриста. Если и вы вынуждены стать банкротом и оформить это по закону, то необходимо обратиться за такой услугой в центр банкротства. В компании работают квалифицированные специалисты с большим опытом, а в их багаже большое количество успешно завершенных дел. Именно поэтому вы сможете надеяться на отличный результат. Важно учесть тот момент, что специалисты детально изучают вопрос для того, чтобы подробно рассмотреть вопрос, после чего выявить возможности благоприятного результата. Списать долги Волгоград (Списание кредитов) получится по закону. Нет необходимости в том, чтобы переживать за процесс. Так специалисту удастся списать те долги, которые вы не в силах выплатить. Увы, но этот процесс может занять несколько месяцев, к тому же он не бесплатный. Банкротство физических лиц в Волгограде ведет компетентный сотрудник – он добросовестно и ответственно подойдет к решению вопроса. Он будет защищать интересы клиента, руководствуясь Конституцией. Юрист по банкротству займется оформлением документов и заявления, подготовит все факты в пользу того, чтобы объявить вас неплатежеспособным. Опыт сотрудников позволяет браться за дела различной сложности. Арбитражный управляющий Волгоград поможет вам избавиться от долгов. Что касается расценок, то на них влияют самые разные факторы, включая расходы на законодательном уровне. Подписывается договор на указание услуг – в нем указываются обязанности каждой стороны, набор услуг. Юрист рассмотрит все аспекты вашего дела. Важным моментом является то, что все ваши долги будут списаны в полном объеме при положительном исходе дела. Специалист использует все ресурсы, которые потребуются для того, чтобы получить положительный результат.
    • Dmitrius
      Септик в Москве и Московской области Компания долгое время и на выгодных условиях оказывает услуги, связанные со строительством автономной канализации в Москве и области. Если Вам необходима выгребная яма – ознакомьтесь с интересующей информацией на официальном портале. Автономная канализация, организованная на дачном участке, положительно влияет на уровень комфорта. Несмотря на то, планируется ли круглый год проживать на участке или только летом, вы почувствуете удобство. Цену на ее установку вы сможете узнать на сайте. Компания длительное время работает в данной сфере, а потому предлагает только выгодные условия, доступные цены, а сами работы выполняются быстро, аккуратно и в наиболее комфортное время. Она наладила сотрудничество с проверенными и надежными поставщиками оборудования. Специалисты создадут высокотехнологичную и работающую систему под ключ. В работе используются только надежные, качественные материалы, выполняются технологические условия. Если говорить о ценах, то они остаются на среднем уровне, а потому воспользоваться услугой смогут все, кто хочет. Кольцевой накопитель отлично подходит для сбора сточных вод при условии, что в доме на постоянной основе проживают до 7 человек. Все работы будут выполнены в минимальные сроки и тогда, когда это удобно именно вам. С собой будут все необходимые инструменты, а также материалы. Сотрудники осуществят установку и выполнят все нужные работы. При появлении вопросов задайте их сотрудникам, которые все пояснят, а также определят общую стоимость работ. Специалисты выполнят все необходимые работы, несмотря на время года. Отсутствуют дополнительные наценки, переплаты, только прозрачные условия сотрудничества.
×