Перейти к содержанию
Researcher

Если вы думаете, что ваши браузеры безопасны, то вы глубоко заблуждаетесь :)

Recommended Posts

Researcher

Если вы думаете, что я веду речь о каких-то неизвестных браузерах, то вы также ошибаетесь, я веду речь о четырёх всем известных и наиболее популярных браузерах:

1) Internet Explorer(9.0.8112.16421)

2) Opera(11.60)

3) Mozilla Firefox(9.0.1)

4) Google Chrome(16.0.912.75 m)

Суть проблемы безопасности в том, что ни один из этих браузеров в настоящее время не фильтрует запросы от локальных страниц (загруженных со схемой file://) к Интернету. Сценарий может быть такой:

Вы пользуетесь некоторой программой, она может быть очень известной а может быть малоизвестной, но она полезна для вас и в общем вы ей пользуетесь. При этом вы для надежности выставили ей в вашем фаэрволе правило: блокировать все входящие и исходящие соединения. Т.е. как-бы уверены что в Интернет эта прога никак не пролезет от своего имени :).

Эта программа использует в качестве справки оффлайновый набор html-Файлов. Т.е. когда вам необходимо просмотреть справку, то обычно вы запускаете index.html из директории help. На первый взгляд может показаться, что ничего страшного прозойти не может. Но...

В очередной раз открыв справочку этой программы вы можете получить утечку данных(без вашего согласия) с вашего компьютера на сайт этой программы или ещё куда-нибудь в Интернет. И суть-то реализации абсолютно проста!

Безусловно ряд людей скажет, что вообще не пользуется оффлановыми справками. Ну так и отлично, точно так же ряд людей скажет что никогда не открывает подозрительные вложения в почте :). Но ведь есть же ещё даже и такие! Я это всё к тому говорю, что уязвимость не может быть направлена на ВСЕХ пользователей без исключения, только на определенный процент, это касается абсолютно всех типов уязвимостей в безопасности.

Ведь запрещает же почтовый клиент загрузку изображений по ссылкам, т.е. тех которые не включены в само тело письма! И правильно делает, чтобы не было идентификации о прочтении письма. Почему же разработчики браузеров не реализовывают у себя этот механизм?

Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Предложил разработчику Оперы куда более чем простой вариант - сделать это всё опциональным. Т.е. в настройках браузера должна быть группа чекбоксов с тремя опциями:

1) Разрешать всем локальным файлам, открытым по схеме file:// доступ к Интернету(это действует сейчас по умолчанию во всех 4 браузерах)

2) Блокировать всем локальным файлам, открытым по схеме file:// доступ к Интернету

3) Спрашивать, когда локальная веб-страница пытается отправить или получить данные из Интернета и запоминать для этой конкретной страницы выбор пользователя

Ответа пока ни фига никакого не последовало!

Для себя сдедал вывод - не запускать оффлановую html-справку ни от одного из производителей ПО. Буду пользоваться только online-спракой или chm-Файлом, который лично мой HIPS фильтрует как отдельное приложение и передать такому файлу данные в Интернет без моего ведома будет невозможно(пока работает HIPS разумеется :)).

Вообще открывать локальные html-Файлы по схеме file:// буду только свои, поскольку сам занимаюсь веб-разработкой.

URLFS_Leaktest_v2.0.zip

URLFS_Leaktest_v2.0.zip

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher

Вот хеши архива, на всякий случай:

URLFS_Leaktest_v2.0.zip

MD5: 831959E37363963A8CF554F54D080E67

SHA-1: CD378B32D2DC7AEFDD16727F8F668708C123262C

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

слишком неактуальная пока угроза имхо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
слишком неактуальная пока угроза имхо

Вы пользуетесь оффлайновой справкой, хотя бы от одного приложения? Или открывали хотя бы раз локальный html-файл от какой-нибудь программы?

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересный вариант, который может бысть использован в том числе и для утечки данных в обход фаервола.

Вы пользуетесь оффлайновой справкой, хотя бы от одного приложения? Или открывали хотя бы раз локальный html-файл от какой-нибудь программы?

Можно круче сделать, сгенерировать локальный html и инициировать его открытие сразу же по описанному сценарию. При этом замаскировать это можно под что угодно, окно ожидание Windows или там прогресс бар какой-то. HTML позволяет визуально что угодно навернуть, была бы фантазия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
Интересный вариант, который может бысть использован в том числе и для утечки данных в обход фаервола.

Точно, Сергей. Ни один HIPS не сможет от этого защитить. Это проблема браузеров скорее. И ни один из 4-х браузеров, ни с какими-либо дополнениями от версии URLFS-Leaktest_v2.0, поскольку Javascript вообще не используется.

Можно круче сделать, сгенерировать локальный html и инициировать его открытие сразу же по описанному сценарию. При этом замаскировать это можно под что угодно, окно ожидание Windows или там прогресс бар какой-то. HTML позволяет визуально что угодно навернуть, была бы фантазия.

Можно, конечно. Я так и сделал, можете в меню вызвать пункт "Вызов Справки". Но со скрытным запуском браузера сложнее, поскольку Проактивная защита выдаёт предупреждение всё же о том что неизвестное/известное приложение пытается запустить браузер. Но, конечно же, если пользователь привык к таким запросам, и кстати сказать они не редкость, то он без опасений разрешит такой запрос.

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Вот и зря. Думаю, они одни из первых, кто бы отреагировали на эту уязвимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
Вот и зря. Думаю, они одни из первых, кто бы отреагировали на эту уязвимость.

Ну может и напишу сейчас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher

Есть приятная новость для тех у кого стоит TOR-button. Вот этот флажок делает то, что не могут до сих пор сделать разработчики из Mozilla Foundation:

tor_but_protect.png

post-16756-1326994367_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
goover
... ни с какими-либо дополнениями ...

Если пользуетесь Firefox можете попробовать дополнение, набросал тут по-быстрому:

enable.jpg disable.jpg

Убрать .txt в конце:

ROFLKiller.xpi.txt

post-5047-1327079636_thumb.jpg

post-5047-1327079644_thumb.jpg

ROFLKiller.xpi.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leonid
Если вы думаете, что я веду речь о каких-то неизвестных браузерах, то вы также ошибаетесь, я веду речь о четырёх всем известных и наиболее популярных браузерах:

1) Internet Explorer(9.0.8112.16421)

2) Opera(11.60)

3) Mozilla Firefox(9.0.1)

4) Google Chrome(16.0.912.75 m)

Суть проблемы безопасности в том, что ни один из этих браузеров в настоящее время не фильтрует запросы от локальных страниц (загруженных со схемой file://) к Интернету. Сценарий может быть такой:

Вы пользуетесь некоторой программой, она может быть очень известной а может быть малоизвестной, но она полезна для вас и в общем вы ей пользуетесь. При этом вы для надежности выставили ей в вашем фаэрволе правило: блокировать все входящие и исходящие соединения. Т.е. как-бы уверены что в Интернет эта прога никак не пролезет от своего имени :).

Эта программа использует в качестве справки оффлайновый набор html-Файлов. Т.е. когда вам необходимо просмотреть справку, то обычно вы запускаете index.html из директории help. На первый взгляд может показаться, что ничего страшного прозойти не может. Но...

В очередной раз открыв справочку этой программы вы можете получить утечку данных(без вашего согласия) с вашего компьютера на сайт этой программы или ещё куда-нибудь в Интернет. И суть-то реализации абсолютно проста!

Безусловно ряд людей скажет, что вообще не пользуется оффлановыми справками. Ну так и отлично, точно так же ряд людей скажет что никогда не открывает подозрительные вложения в почте :). Но ведь есть же ещё даже и такие! Я это всё к тому говорю, что уязвимость не может быть направлена на ВСЕХ пользователей без исключения, только на определенный процент, это касается абсолютно всех типов уязвимостей в безопасности.

Ведь запрещает же почтовый клиент загрузку изображений по ссылкам, т.е. тех которые не включены в само тело письма! И правильно делает, чтобы не было идентификации о прочтении письма. Почему же разработчики браузеров не реализовывают у себя этот механизм?

Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Предложил разработчику Оперы куда более чем простой вариант - сделать это всё опциональным. Т.е. в настройках браузера должна быть группа чекбоксов с тремя опциями:

1) Разрешать всем локальным файлам, открытым по схеме file:// доступ к Интернету(это действует сейчас по умолчанию во всех 4 браузерах)

2) Блокировать всем локальным файлам, открытым по схеме file:// доступ к Интернету

3) Спрашивать, когда локальная веб-страница пытается отправить или получить данные из Интернета и запоминать для этой конкретной страницы выбор пользователя

Ответа пока ни фига никакого не последовало!

Для себя сдедал вывод - не запускать оффлановую html-справку ни от одного из производителей ПО. Буду пользоваться только online-спракой или chm-Файлом, который лично мой HIPS фильтрует как отдельное приложение и передать такому файлу данные в Интернет без моего ведома будет невозможно(пока работает HIPS разумеется :)).

Вообще открывать локальные html-Файлы по схеме file:// буду только свои, поскольку сам занимаюсь веб-разработкой.

URLFS_Leaktest_v2.0.zip

Скажите, пожалуйста, а почему Вы не добавили к этим браузерам COMODO DRAGON ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
Скажите, пожалуйста, а почему Вы не добавили к этим браузерам COMODO DRAGON ?

Добавьте :). Думаю ещё и много других можно добавить. Я просто протестировал 4 наиболее популярных браузера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ing122

Честно говоря, не понял, почему производители вроде как должны немедленно кинуться ликвидировать данную проблему. С их точки зрения, и проблемы нет, собственно, никакой.

1) Вы пользуете некую "полезную, но подозрительную" программу (которой вы на всякий пожарный обрубили доступ в сеть).

Следовательно:

2) Пользование программ этого плана предполагает, что вы делаете это на свой страх и риск.

Ну и, тогда:

3) Возможность проникновения в инет из html-оффлайн-хелпа - исключительно проблемы пользователя, юзающего данный рискованный сорт программ, а никак не производителей браузеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дима
исключительно проблемы пользователя, юзающего данный рискованный сорт программ

пользователь ни о каких проблемах не подозревает даже, за него должен подумать кто-то другой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EreTIk

Проблема известна не первый год. Подобный тест включен в matousec'овский набор – OSfwbypass. Если посмотреть старицу автора PoC’а, то можно увидеть что проблема была выявлена в 2005-том году как атака на Zone Alarm.

Суть атаки:

Description: Zone Alarm products with Advance Program Control or OS Firewall Technology enabled, detects and blocks almost all those APIs (like Shell, ShellExecuteEx, SetWindowText, SetDlgItem etc) which are commonly used by malicious programs to send data via http by piggybacking over other trusted programs. However, it is still possible for a malicious program (Trojans or worms etc) to make outbound connections to the evil site by piggybacking over trusted Internet browser using “HTML Modal Dialog” in conjunction with simple “JavaScript”. Here it is assumed that the default browser (IE or Firefox etc) has authorization to access internet.

The PoC discusses how the ZoneAlarm Advance Program Control and Behavior Based Technology can be defeated by using HTML Modal Dialog Box in conjunction with JavaScript. Refer the PoC (Proof of Concept) for more details.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Nik9988
      Господа, что происходит с Яндексом в последнее время? Штормит жесть как. Стояло все отлично по позициям, теперь в Гугл пробиться легче. Вот тот же текст с КХЛ 2019 2020 https://bonus-betting.ru/news/raspisanie-khl-2019/ стоял отлично, любители хоккея тыкали только так, а теперь что-то не то
    • jauwoo
      Зарабатывают в основном трейдингом на крипто биржах, купил дешевле - продал дороже. Суть такая же, как на любых финансовых рынках. Проблема в том, чтобы рассчитать верную точку входа в рынок. Это целая наука на самом деле.. Действовать приходится в условиях неопределенности, плюс постоянные манипуляции на рынке со стороны так называемых "китов" направлены на отжим монет у трейдеров. Для успешного заработка приходится использовать сложные криптовалютные торговые стратегии, которые повышают мат.ожидание выигрыша.
    • accimeque
      Buy atopex europe online, buy atopex ir


      What can be better than being sure that the drugs you buy are effective and of high quality!


      Top Offers For Atopex - MORE INFORMATION



      We are ready to provide you with all the medications you need to stay healthy and happy!





      Lifeboat skipper, 51, quits the RNLI because 'it is in the grip of political correctness' She the North Bianca Andreescu Joins the Raptors in Canadian Sports Lore 'Wearable chair' that straps to ones backside is dividing social media users after going viral Devastated family tell of heartbreak after father and son die in New South Wales light air crash How to haggle around the world Like eating balls of compressed sawdust Pompeo Calls Attacks on Saudi Arabia atopex Act of War and Seeks Coalition to Counter Iran Breathtaking sound for the posh hi-fi crowd Red Bull Salzburg Gets Its Wings Atopex 100mg lowest prices. Dawid Malan emerges as surprise target for Yorkshire with Middlesex future uncertain 13-Year-Olds Are Arrested Over Hong Kong Protests Man, 25, got a glass thermometer stuck in his bladder Firm advertised huge returns. It won an award in Monaco. The SEC calls it a fraud Jofra Archer is staying cool despite a seismic summer for England's Ashes hero Contraceptive pills may raise the risk of type 2 diabetes
    • Quinzy
      А хотели бы вы научиться рисовать в зрелом возрасте? Многие ведь жалеют, что когда-то их родители не отдали в художку или просто в местности, где жили, не было такой возможности, чтобы учиться рисовать. И вот мне интересно, есть ли у взрослых людей такое желание? Сам я даже университет закончил по специальности преподаватель изобразительного искусства. Но по профессии не работаю, ибо платят мало. Вот прочитал про одну бизнес-идею https://b-mag.ru/hudozhestvennaja-shkola-dlja-vzroslyh-plan-v-6-shagov/ про открытие частной художественной школы для взрослых. Думаете стоит попытать счастье и открыть что-то подобное? 
    • Liza2u
      Тут все зависит от политики компании, есть те что работают на совесть, а есть тем что важна только быстая прибыль, без оглядки на репутацию. Мне как то довелось заказывать синии розы, так я столько намучалась пока не нашла этих ребят flowers.ua/ru/articles/sinie-rozy . Были всегда на созвоне, предупредили что опоздают на пять минут и за это чуть скинули цену, так что впечатления в целом положительные.
      Тут мне кажеться нужно смотреть сколько компания на рынке и искать отзывы. 
×