Your SlideShare is downloading. ×
Védtelen böngészők,avagy hogyan ne védd ZiontJogi nyilatkozat:Minden nézet és gondolat amit ma megosztok, a sajátom.A köve...
Balázs ZoltánDeloitteSenior IT biztonsági tanácsadóOSCP, C|HFI, CISSP, CPTS, MCPgula.sh – CyberLympics@2012, 3. helyzbalaz...
I Love Hacking
I Love Hacker Movies
I Love Memes
Védtelen böngészők• Zombi tűzróka – mi történt?• Mi a megoldás?– Általános védelem– Internet security suites– Online banki...
Hol hagytuk abba?2012. május 11. Ethical Hacking, Zombi tűzróka2012. május 11. ESET (Sicontact)2012. május 16. Trojan Nelo...
Zombi Firefox - virustotalEbből öt olyan gyártó, amelyiknek nemküldtem el
Zombi Chrome - virustotal
Advanced AV 133t 3v4s10n 2012Tanulságok:– Ne küldj rejtjeles zipet– Ne küldj olyan ZIP-állományt, amiben többmint tíz állo...
A kód publikálása2012. október 30. a kód publikálása• A Mozilla 25 percen belül blokkolta
Advanced Mozilla 133t 3v4s10n 2013
Google, MozillaGoogle – extension store javítandóMozilla centralizálás fejlesztésekMás a fókusz:– Firefox: powerful kiegés...
AxiómákHa egy rosszfiú rávesz, hogy futtasd az őprogramját a gépeden – az nem a te gépedtöbbé. ©MicrosoftHa egy védelmi re...
JelszólopásSütilopásWebkamera-kémkedésFelhasználói fájlokolvasásaFelhasználói fájlokírásaNoScriptBrowserprotectSandboxie
NoScript„Allows executable web content such as JavaScript, Java,Flash, Silverlight, and other plugins ... NoScript also of...
Browserprotect„To protect your browser against malwarehijacking your browser settings like homepage, search providers and ...
„Runs your programs in an isolated space which prevents them from makingpermanent changes to other programs and data in yo...
„Runs your programs in an isolated space which prevents them from makingpermanent changes to other programs and data in yo...
Internetbiztonsági csomagokGyártó 1Gyártó 2Gyártó 3Gyártó 4Gyártó 5A konklúzió úgyis ugyanaz
Internetbiztonsági csomagokGyártó 1Gyártó 2Gyártó 3Gyártó 4Gyártó 5A konklúzió úgyis ugyanaz
Gyártó Nr. 1Szignatúraalapon „kiirtja” a FirefoxkiegészítőmetÜber 133t signature 3v4s10n 2k13Plusz 1 szóközFirefox kiegész...
Gyártó Nr. 1Szignatúraalapon „kiirtja” a FirefoxkiegészítőmetÜber 133t signature 3v4s10n 2k13Plusz 1 szóközFirefox kiegész...
Gyártó Nr. 1Szignatúraalapon „kiirtja” a FirefoxkiegészítőmetÜber 133t signature 3v4s10n 2k13Plusz 1 szóközFirefox kiegész...
Gyártó Nr. 2„Safe browser” megoldás– Új, „tiszta” Firefox profil létrehozásaRegisztrációs adatbázisba regisztráltkiegészít...
Gyártó Nr. 2„Safe browser” megoldás– Új, „tiszta” Firefox profil létrehozásaRegisztrációs adatbázisba regisztráltkiegészít...
Gyártó Nr. 3Felhasználói kérdés:„Does XYZ detect/block Xenotix KeylogX?
Gyártó Nr. 3Felhasználói kérdés:„Does XYZ detect/block Xenotix KeylogX?A gyártó válasza:„No it doesnt, and thats by design...
Gyártó Nr. 3Felhasználói kérdés:„Does XYZ detect/block Xenotix KeylogX?A gyártó válasza:„No it doesnt, and thats by design...
Gyártó Nr. 4,5,...Valamilyen safe browser megoldás
Avast -Böngészőkiegészítő ellenivédelemDEMOP
Ne bízz a helyi tanúsítványkiszolgálóban!Védd a proxybeállításokat, a böngésző fájljait, beállításait!Ne használj régi, el...
„Endpoint Financial Fraud Prevention”and „Anti-Keylogging Applications”
„Endpoint Financial Fraud Prevention”and „Anti-Keylogging Applications”Hogy mi???– Amit a (külföldi) bankok ajánlanak, hog...
Firefox + Zemana +api hooking + kiegészítőDEMO
Gyártó Nr. 2Protects end-user endpoints againstfinancial malware and phishing attacks.By preventing attacks such asMan-in-...
Gyártó Nr. 2Internet Explorerben a kiegészítők letiltvaFirefoxban nem Küldtek egy új verziótMinden böngészőkiegészítő le ...
Gyártó Nr. 2Internet Explorerben a kiegészítők letiltvaFirefoxban nem Küldtek egy új verziótMinden böngészőkiegészítő le ...
Gyártó Nr. 32013. január: Firefox 13.01 (2012. június)Regisztrációs adatbázis hack (HKCU)Felvettem a kapcsolatot, javított...
Gyártó Nr. 4
Gyártó Nr. 4Protects You From:Information stealing malware and spyware0-hour malware and targeted attacksSophisticated fin...
Protects You From:Information stealing malware and spyware0-hour malware and targeted attacksSophisticated financial malwa...
LastPass + Yubico hack
LastPass + Yubico hack
LastPass + Yubico hack
LastPass + Yubico hackSütilopásNem elégRejtjelezési kulcsok lokálisanPOST-adatok olvasásaNem elégCsak jelszó hash + Yubico...
DEMO
SütilopásNem elégRejtjelezési kulcsok lokálisanPOST-adatok olvasásaNem elégCsak jelszó hash + Yubico OTPLastpass kiegészít...
Tanulság: rossz erdőben kerestem az elixírtA csak kliensoldali védelmek bukásra vannak ítélvehttps://github.com/Z6543zbala...
Köszönöm a figyelmet!
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking
Upcoming SlideShare
Loading in...5
×

[HUN] Védtelen böngészők - Ethical Hacking

454

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
454
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • A mai napon a böngésző-kiegészitőkről, és a különböző védelmi csomagokról fogok mesélni nektek
  • Engem Balázs Zoltánnak hivnak
  • Amit tudni kell rólam, hogy imádok hackelni
  • Imádom a hacker filmeket
  • És imádom a mémeket.
  • Az előadás első felében elmesélem, hogy mi minden történt a tavalyi ethical hacking konferencia óta, majd megmutatom, milyen kliens oldali védelmeket vizsgáltam meg, és ott milyen tapasztalatokat szereztem. Az előadás végén pedig egy újabb kétfaktoros authentikáció hackelést mutatok nektek.
  • Tavaly májusban volt az ethical hacking konferencia, ahol bemutattam, hogy a Firefox böngésző kiegészitők mennyire veszélyesek lehetnek, pl. Ellophatják a felhasználó jelszavát, módosithatja a honlapok tartalmát, banki tranzakciót, stb. Még aznap felvette az Eset a kapcsolatot velem, hogy szeretnék tanulmányozni a kódot5 nappal a konferencia után a Symantec kiadott egy tanulmányt, ahol egy olyan banki trójait mutattak be, ami a firefox böngészőt módositotta, hasonlóan a böngésző kiegészitőkhözA nyár folyamán megirtam a Chrome, Safari kiegészitőmet is, illetve a szerver oldalt áthelyeztem ruby on rails alapokra. Szintén a nyáron a Chrome letiltotta a külső oldalakról származó kiegészitőket, ami egy jelentős előrelépés, de ettől függetlenül egy rosszindulatú kód bármikor telepitheti a saját kiegészitőjét a Chrome-ba
  • Majd a média felkapta a témát, itt pl. egy orosz hacker oldalon jelent meg egy cikk a böngésző kiegészitőmről
  • Itt pedig ékes perzsa nyelven lehet olvasni egy iráni hirportálon a zombi böngészőkről
  • És végül, de nem utolsósorban az amerikai belbiztonsági hivatal hirlevelébe is bekerültem
  • A kiegészitőmet elküldtem 14 neves antivirus gyártónak, hogy tegye bele a szignatúra adatbázisába
  • Ugyhogy jelenleg X antivirus detektálja a firefox kiegészitőmet
  • És y a chrome kiegészitőmet
  • Ezzel kapcsolatban két tanulságot vonnék le.Egyrészt ne küldjön az ember jelszóval védett zip fájlt, mert lehet hogy azt nem képesek feldolgozni (hiába van ott a jelszó a levélben)Illetve ha olyan tömöritett állományt küld be az ember, amiben 10-nél több file van, akkor azt nem biztos hogy képesek feldolgozni. A probléma, hogy a böngésző kiegészitők zip fájlok, benne akármennyi fájllal. Tehát ha olyan kiegészitőt készitünk, amiben mondjuk 100 file van, akkor a felhasználók nem tudják beküldeni az antivirus gyártóknak a mintát 
  • Majd miután publikáltam a kiegészitőket az interneten, 25 perccel rá a Mozilla blokkolta.
  • Két különbség van a képek között. Az egyik, hogy a böngésző kiegészitőnek más az id-ja, a másik különbség, hogy az elsőt blokkolja a mozilla, a másodikat nem.
  • A chrome hivatalos extension store-jában azért napról napra felbukkanak rosszindulatú kiegészitők.
  • És a felhasználói naivitás végtelen
  • A google is, és a mozilla is felvette a kapcsolatot velem. Véleményem szerint a google-nek még a hivatalos store-t kellene javitania, hogy a rosszindulatú kiegészitőket hamarabb detektálja.A mozilla pedig egy olyan fejlesztésnek kezdett neki, hogy tudomást szerezzen központilag a böngésző kiegészitőkről.Igazából én azt látom, hogy a két böngészőnek teljesen más a fókusza, és szerintem ez jó, mert a felhasználók választhatnak, hogy mit szeretnének inkább, jobb kiegészitőket, vagy nagyobb biztonságot.
  • Most januárban a 2007 óta tevékenykedő Mebroot trójai pl. már chrome kiegészitővel felvértezve fertőzi meg a felhasználókat, és igy manipulálja a felhasználók online banki munkamenetét.
  • Úgyhogy úgy döntöttem, egy szál számitógéppel a vállamon felkerekedek, és megkeresem az internet erdő mélyében az elixirt a rosszindulatú böngésző kiegészitők ellen
  • Úgyhogy úgy döntöttem, egy szál számitógéppel a vállamon felkerekedek, és megkeresem az internet erdő mélyében az elixirt a rosszindulatú böngésző kiegészitők ellen
  • Úgyhogy úgy döntöttem, egy szál számitógéppel a vállamon felkerekedek, és megkeresem az internet erdő mélyében az elixirt a rosszindulatú böngésző kiegészitők ellen
  • Úgyhogy úgy döntöttem, egy szál számitógéppel a vállamon felkerekedek, és megkeresem az internet erdő mélyében az elixirt a rosszindulatú böngésző kiegészitők ellen
  • Az utam során két axiómába botlottam. Először is, ha egy rosszindulatú kód fut a gépünkön, akkor annak annyi. A második axióma pedig, hogy ha egy rendszer véd 300 különböző támadási módszer ellen, akkor a 301.-ik ellen nem véd.
  • Első körben megnéztem, hogy a különböző kiegészitők és sandboxing technológiák hogyan védenek a kiegészitőm ellen, ugy mint jelszó lopás, webkamera kémkedés, stb ellen.
  • A noscript amit igér, azt jól csinálja, de egy futó malware ellen, vagy másik kiegészitő ellen nem véd. Arról nem is beszélve, hogy a firefox kiegészitők beállitásai olyan mint a családi piknik, bárki bármit kedvére megtehet. Tehát az én kiegészitőm tudja módositani a noscript whitelist oldalakat.
  • A browserprotect kiegészitő szintén zenész, amit igér, azt jól csinálja, de egyébként nem véd a böngésző kiegészitőm ellen, és szabadon konfigurálhatom a beállitásait.
  • A sandboxie program számomra nagy meglepetés (vagy inkább ugymondom csalódás volt). Igazából felhasználók védelmére egyáltalán nem javasolnám, mivel alapértelmezett esetben semmi mást nem tesz, csak megakadályozza a sandboxon kivüli módositásokat. Tehát a bizalmas felhasználói fájlokat el lehet lopni, illetve gyakorlatilag minden funkcióm működik.
  • A sandboxie program számomra nagy meglepetés (vagy inkább ugymondom csalódás volt). Igazából felhasználók védelmére egyáltalán nem javasolnám, mivel alapértelmezett esetben semmi mást nem tesz, csak megakadályozza a sandboxon kivüli módositásokat. Tehát a bizalmas felhasználói fájlokat el lehet lopni, illetve gyakorlatilag minden funkcióm működik.
  • Most pedig áttérünk a következő védelmi szintre, az internet biztonsági csomagok szintjére.Neveket inkább nem emlitenék, de majd láthatjátok, a konklúzió úgyis ugyanaz lesz.
  • Most pedig áttérünk a következő védelmi szintre, az internet biztonsági csomagok szintjére.Neveket inkább nem emlitenék, de majd láthatjátok, a konklúzió úgyis ugyanaz lesz.
  • Az első gyártó szignatúra alapon kiirtja a kiegészitőmetDe ha plusz egy szóközt teszek a megfelelő sorba, akkor már vigan fut. Illetve saját kiegészitőket is hoz magával, amik mindig 2 verzióval le vannak maradva a firefoxhoz képest, szóval nálam sosem futott, mert mindig le volt tiltva...
  • Az első gyártó szignatúra alapon kiirtja a kiegészitőmetDe ha plusz egy szóközt teszek a megfelelő sorba, akkor már vigan fut. Illetve saját kiegészitőket is hoz magával, amik mindig 2 verzióval le vannak maradva a firefoxhoz képest, szóval nálam sosem futott, mert mindig le volt tiltva...
  • Az első gyártó szignatúra alapon kiirtja a kiegészitőmetDe ha plusz egy szóközt teszek a megfelelő sorba, akkor már vigan fut. Illetve saját kiegészitőket is hoz magával, amik mindig 2 verzióval le vannak maradva a firefoxhoz képest, szóval nálam sosem futott, mert mindig le volt tiltva...
  • A kettes számú versenyző egy biztonságos böngészőt igér, ami nem más, mint egy új, tiszta firefox profil. A probléma ezzel, hogy legalább kétféleképp is be tudom telepiteni a kiegészitőmet ebbe a biztonságos böngészőbe, ami onnantól kezdve már nem annyira biztonságos ...Felvettem a kapcsolatot a gyártóval, még nem javitották
  • A kettes számú versenyző egy biztonságos böngészőt igér, ami nem más, mint egy új, tiszta firefox profil. A probléma ezzel, hogy legalább kétféleképp is be tudom telepiteni a kiegészitőmet ebbe a biztonságos böngészőbe, ami onnantól kezdve már nem annyira biztonságos ...Felvettem a kapcsolatot a gyártóval, még nem javitották
  • A hármas számú versenyző az egyik személyes kedvencem. Az interneten egy fórumon egy felhasználó megkérdezte a gyártótól, hogy a termékük véd-e a xenotix keylogx ellen. Ez egy firefox keylogger kiegészitő, indiai srác irta. A gyártó válasza olyan szép, hogy mint egy szépirodalmi művet, sorról sorra érdemes elemezni. Hogy mire gondolt a költő, amikor azt irta, it’s by design, ebben nem vagyok biztos. De hogy firefoxban semmilyen sandboxing nincs, az biztos. Amikor pedig azt javasolja, hogy a felhasználó távolitsa el a kiegészitőt, akkor pedig azzal a feltételezéssel éltek, hogy pl. Nem lehet elrejteni a kiegészitőt a felhasználó elől.
  • A hármas számú versenyző az egyik személyes kedvencem. Az interneten egy fórumon egy felhasználó megkérdezte a gyártótól, hogy a termékük véd-e a xenotix keylogx ellen. Ez egy firefox keylogger kiegészitő, indiai srác irta. A gyártó válasza olyan szép, hogy mint egy szépirodalmi művet, sorról sorra érdemes elemezni. Hogy mire gondolt a költő, amikor azt irta, it’s by design, ebben nem vagyok biztos. De hogy firefoxban semmilyen sandboxing nincs, az biztos. Amikor pedig azt javasolja, hogy a felhasználó távolitsa el a kiegészitőt, akkor pedig azzal a feltételezéssel éltek, hogy pl. Nem lehet elrejteni a kiegészitőt a felhasználó elől.
  • A hármas számú versenyző az egyik személyes kedvencem. Az interneten egy fórumon egy felhasználó megkérdezte a gyártótól, hogy a termékük véd-e a xenotix keylogx ellen. Ez egy firefox keylogger kiegészitő, indiai srác irta. A gyártó válasza olyan szép, hogy mint egy szépirodalmi művet, sorról sorra érdemes elemezni. Hogy mire gondolt a költő, amikor azt irta, it’s by design, ebben nem vagyok biztos. De hogy firefoxban semmilyen sandboxing nincs, az biztos. Amikor pedig azt javasolja, hogy a felhasználó távolitsa el a kiegészitőt, akkor pedig azzal a feltételezéssel éltek, hogy pl. Nem lehet elrejteni a kiegészitőt a felhasználó elől.
  • Majd megnéztem még néhány „biztonságos böngésző megoldást”, de már majdnem feladtam
  • Szóval az lenne a javaslatom a „biztonságos böngészőt” igérő internet biztonsági csomagot gyártó cégeknek, hogy:Ne bizzanak a helyi tanusitványkiszolgálóbanVédjék a proxy beállitásokat, böngésző fájlokat, böngésző beállitásokatNe használjanak régi, elavult böngészőket. Az egyik pl. Olyan régi firefoxot használt, vagy 5 verzióval volt lemaradva.Ne használj böngésző kiegészitőt arra, hogy másik kiegészitő ellen védekezz, de igazából az a legjobb, ha az összeset letiltod. Szerintem ez a minimum, aminek its by design kellene muködnie
  • És most áttérünk az „Endpoint Financial Fraud Prevention and Anti-Keyloggingalkalmazások” erdejébe
  • Ha esetleg nem tudnátok mi ez, tipikusan a külföldi bankok szokták javasolni hogy töltsd le és biztonságban leszel. API hooking elleni védelmet igérnek,
  • A kettes számú versenyző sok mindent igér, lássuk mit tart be ezek közül.
  • Internet explorerben tényleg letiltotta a kiegészitőket,De firefoxban már nem.Felvettem velük a kapcsolatot, küldtek egy új verziót, amiben már minden kiegészitő le volt tilva. De kiderült, hogy ez nem publikus verzió, csak nekem küldték.Az a titkos tervük, hogy majd ők detektálják a rosszindulatú kiegészitőket, és azt blokkolják.
  • Internet explorerben tényleg letiltotta a kiegészitőket,De firefoxban már nem.Felvettem velük a kapcsolatot, küldtek egy új verziót, amiben már minden kiegészitő le volt tilva. De kiderült, hogy ez nem publikus verzió, csak nekem küldték.Az a titkos tervük, hogy majd ők detektálják a rosszindulatú kiegészitőket, és azt blokkolják.
  • Hármas számú versenyző.Az egy dolog, hogy fél évvel le van maradva a firefox tekintetében, tehát use after free sérülékenységek tömkelege van benne, a kiegészitőt megint be tudtam telepiteni,
  • A következő terméket is öröm volt tesztelni. Kiirta, hogy rosszindulatú kódot talált, aztán kiderült, hogy csak a Symantec-et találta meg.
  • Megigér mindent, de böngésdző kiegészítő ellen nem véd
  • Megigér mindent, de böngésdző kiegészítő ellen nem véd
  • Az utolsó demó végül, a lastpass online jelszótárolóról szól. Azért került bele a hackelésbe, mert tavaly nem sikerült megtörnöm úgy, mint a Google kétfaktoros authentikációt.
  • Azt igérik, hogy megvédenek a malware ellen, de én ezt nem hittem el.
  • Ha nem ismeritek a yubikeyt, igy néz ki, szerintem nagyon jópofa, usb-be bedug, megnyom egy gombot, az eszköz billentyűleütéseket szimulálva beirja a jelszót a böngészőbe.
  • Hogy miért is nem tudtam tavaly feltörni?Az a baj, hogy a süti lopás, jelszó lopás önmagában nem elég, mert lokálisan a DOM-ban tárol mindenféle kriptó cuccot. Ráadásul böngésző kiegészitő formájában is működik. Igy nem volt más választásom, egy hátsó ajtót kellett épitenem a lastpass böngésző kiegészitőbe.
  • Hogy miért is nem tudtam tavaly feltörni?Az a baj, hogy a süti lopás, jelszó lopás önmagában nem elég, mert lokálisan a DOM-ban tárol mindenféle kriptó cuccot. Ráadásul böngésző kiegészitő formájában is működik. Igy nem volt más választásom, egy hátsó ajtót kellett épitenem a lastpass böngésző kiegészitőbe.
  • Szóval a tanulság az, hogy az axiómák igazak, én pedig rossz erdőben kerestem az elixirt, mert a csak kliens oldali védelmek bukásra vannak itélve.
  • Transcript of "[HUN] Védtelen böngészők - Ethical Hacking "

    1. 1. Védtelen böngészők,avagy hogyan ne védd ZiontJogi nyilatkozat:Minden nézet és gondolat amit ma megosztok, a sajátom.A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegivagy jövőbeni munkáltatóm véleményével.Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.
    2. 2. Balázs ZoltánDeloitteSenior IT biztonsági tanácsadóOSCP, C|HFI, CISSP, CPTS, MCPgula.sh – CyberLympics@2012, 3. helyzbalazs@deloittece.comBemutatkozás
    3. 3. I Love Hacking
    4. 4. I Love Hacker Movies
    5. 5. I Love Memes
    6. 6. Védtelen böngészők• Zombi tűzróka – mi történt?• Mi a megoldás?– Általános védelem– Internet security suites– Online banking – kliensoldali védelem– Lastpass + yubikey hack
    7. 7. Hol hagytuk abba?2012. május 11. Ethical Hacking, Zombi tűzróka2012. május 11. ESET (Sicontact)2012. május 16. Trojan Neloweg – Symantec2012. június – szeptember Chrome, Safarikiegészitő, Rails C&C szerver2012. július Chrome külső oldalakról származókiegészítők tiltása
    8. 8. Zombi Firefox - virustotalEbből öt olyan gyártó, amelyiknek nemküldtem el
    9. 9. Zombi Chrome - virustotal
    10. 10. Advanced AV 133t 3v4s10n 2012Tanulságok:– Ne küldj rejtjeles zipet– Ne küldj olyan ZIP-állományt, amiben többmint tíz állomány van (Firefox kiegészítő ==ZIP-ben fájlok)
    11. 11. A kód publikálása2012. október 30. a kód publikálása• A Mozilla 25 percen belül blokkolta
    12. 12. Advanced Mozilla 133t 3v4s10n 2013
    13. 13. Google, MozillaGoogle – extension store javítandóMozilla centralizálás fejlesztésekMás a fókusz:– Firefox: powerful kiegészítők (pl. NoScript)– Chrome: biztonság
    14. 14. AxiómákHa egy rosszfiú rávesz, hogy futtasd az őprogramját a gépeden – az nem a te gépedtöbbé. ©MicrosoftHa egy védelmi rendszer véd 300 különbözőtámadási mód ellen, az azt jelenti, hogy a301. ellen nem. ©Zoli
    15. 15. JelszólopásSütilopásWebkamera-kémkedésFelhasználói fájlokolvasásaFelhasználói fájlokírásaNoScriptBrowserprotectSandboxie
    16. 16. NoScript„Allows executable web content such as JavaScript, Java,Flash, Silverlight, and other plugins ... NoScript also offersspecific countermeasures against security exploits.” futó malware ellen, másik kiegészítő ellennem véd
    17. 17. Browserprotect„To protect your browser against malwarehijacking your browser settings like homepage, search providers and address barsearch.”
    18. 18. „Runs your programs in an isolated space which prevents them from makingpermanent changes to other programs and data in your computer.”Véd: fájlok írása diszkre (csak sandboxba lehet)
    19. 19. „Runs your programs in an isolated space which prevents them from makingpermanent changes to other programs and data in your computer.”Véd: fájlok írása diszkre (csak sandboxba lehet)Nem véd:– Jelszólopás– Sütilopás– Webkamera-kémkedés– Fájlolvasás
    20. 20. Internetbiztonsági csomagokGyártó 1Gyártó 2Gyártó 3Gyártó 4Gyártó 5A konklúzió úgyis ugyanaz
    21. 21. Internetbiztonsági csomagokGyártó 1Gyártó 2Gyártó 3Gyártó 4Gyártó 5A konklúzió úgyis ugyanaz
    22. 22. Gyártó Nr. 1Szignatúraalapon „kiirtja” a FirefoxkiegészítőmetÜber 133t signature 3v4s10n 2k13Plusz 1 szóközFirefox kiegészítőkMindig 2 Firefox verzióval lemaradva
    23. 23. Gyártó Nr. 1Szignatúraalapon „kiirtja” a FirefoxkiegészítőmetÜber 133t signature 3v4s10n 2k13Plusz 1 szóközFirefox kiegészítőkMindig 2 Firefox verzióval lemaradva
    24. 24. Gyártó Nr. 1Szignatúraalapon „kiirtja” a FirefoxkiegészítőmetÜber 133t signature 3v4s10n 2k13Plusz 1 szóközFirefox kiegészítőkMindig 2 Firefox verzióval lemaradva
    25. 25. Gyártó Nr. 2„Safe browser” megoldás– Új, „tiszta” Firefox profil létrehozásaRegisztrációs adatbázisba regisztráltkiegészítők (HKCU)„Safe browser” SQLite buherálásA kapcsolatot felvettem, még nincs javítva
    26. 26. Gyártó Nr. 2„Safe browser” megoldás– Új, „tiszta” Firefox profil létrehozásaRegisztrációs adatbázisba regisztráltkiegészítők (HKCU)„Safe browser” SQLite buherálásA kapcsolatot felvettem, még nincs javítva
    27. 27. Gyártó Nr. 3Felhasználói kérdés:„Does XYZ detect/block Xenotix KeylogX?
    28. 28. Gyártó Nr. 3Felhasználói kérdés:„Does XYZ detect/block Xenotix KeylogX?A gyártó válasza:„No it doesnt, and thats by design. Browser add-ons are subject tothe same sandboxing that the browser itself runs through andtherefore can be managed by the user directly. ...If youre suspicious of any add-ons, you should definitely justremove them, or, open your browser in safemode which avoidsloading any add-ons.”
    29. 29. Gyártó Nr. 3Felhasználói kérdés:„Does XYZ detect/block Xenotix KeylogX?A gyártó válasza:„No it doesnt, and thats by design. Browser add-ons are subject tothe same sandboxing that the browser itself runs through andtherefore can be managed by the user directly. ...If youre suspicious of any add-ons, you should definitely justremove them, or, open your browser in safemode which avoidsloading any add-ons.”
    30. 30. Gyártó Nr. 4,5,...Valamilyen safe browser megoldás
    31. 31. Avast -Böngészőkiegészítő ellenivédelemDEMOP
    32. 32. Ne bízz a helyi tanúsítványkiszolgálóban!Védd a proxybeállításokat, a böngésző fájljait, beállításait!Ne használj régi, elavult böngészőt!Minden(!) kiegészítő letiltásaNe használj kiegészítőt arra, hogymásik kiegészítő ellen védekezz!AV telepítése és frissítése!
    33. 33. „Endpoint Financial Fraud Prevention”and „Anti-Keylogging Applications”
    34. 34. „Endpoint Financial Fraud Prevention”and „Anti-Keylogging Applications”Hogy mi???– Amit a (külföldi) bankok ajánlanak, hogytöltsd le és akkor biztonságban leszel– API hooking elleni védelmet ígérnekGyártó 1Gyártó 2Gyártó 3A konklúzió ... ;-)
    35. 35. Firefox + Zemana +api hooking + kiegészítőDEMO
    36. 36. Gyártó Nr. 2Protects end-user endpoints againstfinancial malware and phishing attacks.By preventing attacks such asMan-in-the-Browser and Man-in-the-Middle, itsecures credentials and personal informationand stops financial fraud and accounttakeover.And, it keeps endpoints malware-free byblocking malware installation and removingexisting infections.
    37. 37. Gyártó Nr. 2Internet Explorerben a kiegészítők letiltvaFirefoxban nem Küldtek egy új verziótMinden böngészőkiegészítő le van tiltva ...Nem publikus verzióA terv:Majd ők detektálják, ha ilyentámadás van, és akkor aztaz egy kiegészítőt letiltják ...
    38. 38. Gyártó Nr. 2Internet Explorerben a kiegészítők letiltvaFirefoxban nem Küldtek egy új verziótMinden böngészőkiegészítő le van tiltva ...Nem publikus verzióA terv:Majd ők detektálják, ha ilyentámadás van, és akkor aztaz egy kiegészítőt letiltják ...
    39. 39. Gyártó Nr. 32013. január: Firefox 13.01 (2012. június)Regisztrációs adatbázis hack (HKCU)Felvettem a kapcsolatot, javítottákSSL MITM sem működik, saját proxybeállításait is védi
    40. 40. Gyártó Nr. 4
    41. 41. Gyártó Nr. 4Protects You From:Information stealing malware and spyware0-hour malware and targeted attacksSophisticated financial malware like ZeuS andSpyEyeKey loggers, screen grabbers, microphoneand webcam hijackers, SSL banker Trojans,spying rootkits and many more
    42. 42. Protects You From:Information stealing malware and spyware0-hour malware and targeted attacksSophisticated financial malware like ZeuS andSpyEyeKey loggers, screen grabbers, microphoneand webcam hijackers, SSL banker Trojans,spying rootkits and many moreGyártó Nr. 4
    43. 43. LastPass + Yubico hack
    44. 44. LastPass + Yubico hack
    45. 45. LastPass + Yubico hack
    46. 46. LastPass + Yubico hackSütilopásNem elégRejtjelezési kulcsok lokálisanPOST-adatok olvasásaNem elégCsak jelszó hash + Yubico OTPLastpass kiegészítő „módosítása” (backdoor)Elég ;-)
    47. 47. DEMO
    48. 48. SütilopásNem elégRejtjelezési kulcsok lokálisanPOST-adatok olvasásaNem elégCsak jelszó hash + Yubico OTPLastpass kiegészítő „módosítása” (backdoor)Elég ;-)LastPass + Yubico hack
    49. 49. Tanulság: rossz erdőben kerestem az elixírtA csak kliensoldali védelmek bukásra vannak ítélvehttps://github.com/Z6543zbalazs@deloittece.comhttps://hu.linkedin.com/in/zbalazs
    50. 50. Köszönöm a figyelmet!

    ×