Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[HUN] Védtelen böngészők - Ethical Hacking

913 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

[HUN] Védtelen böngészők - Ethical Hacking

  1. 1. Védtelen böngészők,avagy hogyan ne védd ZiontJogi nyilatkozat:Minden nézet és gondolat amit ma megosztok, a sajátom.A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegivagy jövőbeni munkáltatóm véleményével.Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.
  2. 2. Balázs ZoltánDeloitteSenior IT biztonsági tanácsadóOSCP, C|HFI, CISSP, CPTS, MCPgula.sh – CyberLympics@2012, 3. helyzbalazs@deloittece.comBemutatkozás
  3. 3. I Love Hacking
  4. 4. I Love Hacker Movies
  5. 5. I Love Memes
  6. 6. Védtelen böngészők• Zombi tűzróka – mi történt?• Mi a megoldás?– Általános védelem– Internet security suites– Online banking – kliensoldali védelem– Lastpass + yubikey hack
  7. 7. Hol hagytuk abba?2012. május 11. Ethical Hacking, Zombi tűzróka2012. május 11. ESET (Sicontact)2012. május 16. Trojan Neloweg – Symantec2012. június – szeptember Chrome, Safarikiegészitő, Rails C&C szerver2012. július Chrome külső oldalakról származókiegészítők tiltása
  8. 8. Zombi Firefox - virustotalEbből öt olyan gyártó, amelyiknek nemküldtem el
  9. 9. Zombi Chrome - virustotal
  10. 10. Advanced AV 133t 3v4s10n 2012Tanulságok:– Ne küldj rejtjeles zipet– Ne küldj olyan ZIP-állományt, amiben többmint tíz állomány van (Firefox kiegészítő ==ZIP-ben fájlok)
  11. 11. A kód publikálása2012. október 30. a kód publikálása• A Mozilla 25 percen belül blokkolta
  12. 12. Advanced Mozilla 133t 3v4s10n 2013
  13. 13. Google, MozillaGoogle – extension store javítandóMozilla centralizálás fejlesztésekMás a fókusz:– Firefox: powerful kiegészítők (pl. NoScript)– Chrome: biztonság
  14. 14. AxiómákHa egy rosszfiú rávesz, hogy futtasd az őprogramját a gépeden – az nem a te gépedtöbbé. ©MicrosoftHa egy védelmi rendszer véd 300 különbözőtámadási mód ellen, az azt jelenti, hogy a301. ellen nem. ©Zoli
  15. 15. JelszólopásSütilopásWebkamera-kémkedésFelhasználói fájlokolvasásaFelhasználói fájlokírásaNoScriptBrowserprotectSandboxie
  16. 16. NoScript„Allows executable web content such as JavaScript, Java,Flash, Silverlight, and other plugins ... NoScript also offersspecific countermeasures against security exploits.” futó malware ellen, másik kiegészítő ellennem véd
  17. 17. Browserprotect„To protect your browser against malwarehijacking your browser settings like homepage, search providers and address barsearch.”
  18. 18. „Runs your programs in an isolated space which prevents them from makingpermanent changes to other programs and data in your computer.”Véd: fájlok írása diszkre (csak sandboxba lehet)
  19. 19. „Runs your programs in an isolated space which prevents them from makingpermanent changes to other programs and data in your computer.”Véd: fájlok írása diszkre (csak sandboxba lehet)Nem véd:– Jelszólopás– Sütilopás– Webkamera-kémkedés– Fájlolvasás
  20. 20. Internetbiztonsági csomagokGyártó 1Gyártó 2Gyártó 3Gyártó 4Gyártó 5A konklúzió úgyis ugyanaz
  21. 21. Internetbiztonsági csomagokGyártó 1Gyártó 2Gyártó 3Gyártó 4Gyártó 5A konklúzió úgyis ugyanaz
  22. 22. Gyártó Nr. 1Szignatúraalapon „kiirtja” a FirefoxkiegészítőmetÜber 133t signature 3v4s10n 2k13Plusz 1 szóközFirefox kiegészítőkMindig 2 Firefox verzióval lemaradva
  23. 23. Gyártó Nr. 1Szignatúraalapon „kiirtja” a FirefoxkiegészítőmetÜber 133t signature 3v4s10n 2k13Plusz 1 szóközFirefox kiegészítőkMindig 2 Firefox verzióval lemaradva
  24. 24. Gyártó Nr. 1Szignatúraalapon „kiirtja” a FirefoxkiegészítőmetÜber 133t signature 3v4s10n 2k13Plusz 1 szóközFirefox kiegészítőkMindig 2 Firefox verzióval lemaradva
  25. 25. Gyártó Nr. 2„Safe browser” megoldás– Új, „tiszta” Firefox profil létrehozásaRegisztrációs adatbázisba regisztráltkiegészítők (HKCU)„Safe browser” SQLite buherálásA kapcsolatot felvettem, még nincs javítva
  26. 26. Gyártó Nr. 2„Safe browser” megoldás– Új, „tiszta” Firefox profil létrehozásaRegisztrációs adatbázisba regisztráltkiegészítők (HKCU)„Safe browser” SQLite buherálásA kapcsolatot felvettem, még nincs javítva
  27. 27. Gyártó Nr. 3Felhasználói kérdés:„Does XYZ detect/block Xenotix KeylogX?
  28. 28. Gyártó Nr. 3Felhasználói kérdés:„Does XYZ detect/block Xenotix KeylogX?A gyártó válasza:„No it doesnt, and thats by design. Browser add-ons are subject tothe same sandboxing that the browser itself runs through andtherefore can be managed by the user directly. ...If youre suspicious of any add-ons, you should definitely justremove them, or, open your browser in safemode which avoidsloading any add-ons.”
  29. 29. Gyártó Nr. 3Felhasználói kérdés:„Does XYZ detect/block Xenotix KeylogX?A gyártó válasza:„No it doesnt, and thats by design. Browser add-ons are subject tothe same sandboxing that the browser itself runs through andtherefore can be managed by the user directly. ...If youre suspicious of any add-ons, you should definitely justremove them, or, open your browser in safemode which avoidsloading any add-ons.”
  30. 30. Gyártó Nr. 4,5,...Valamilyen safe browser megoldás
  31. 31. Avast -Böngészőkiegészítő ellenivédelemDEMOP
  32. 32. Ne bízz a helyi tanúsítványkiszolgálóban!Védd a proxybeállításokat, a böngésző fájljait, beállításait!Ne használj régi, elavult böngészőt!Minden(!) kiegészítő letiltásaNe használj kiegészítőt arra, hogymásik kiegészítő ellen védekezz!AV telepítése és frissítése!
  33. 33. „Endpoint Financial Fraud Prevention”and „Anti-Keylogging Applications”
  34. 34. „Endpoint Financial Fraud Prevention”and „Anti-Keylogging Applications”Hogy mi???– Amit a (külföldi) bankok ajánlanak, hogytöltsd le és akkor biztonságban leszel– API hooking elleni védelmet ígérnekGyártó 1Gyártó 2Gyártó 3A konklúzió ... ;-)
  35. 35. Firefox + Zemana +api hooking + kiegészítőDEMO
  36. 36. Gyártó Nr. 2Protects end-user endpoints againstfinancial malware and phishing attacks.By preventing attacks such asMan-in-the-Browser and Man-in-the-Middle, itsecures credentials and personal informationand stops financial fraud and accounttakeover.And, it keeps endpoints malware-free byblocking malware installation and removingexisting infections.
  37. 37. Gyártó Nr. 2Internet Explorerben a kiegészítők letiltvaFirefoxban nem Küldtek egy új verziótMinden böngészőkiegészítő le van tiltva ...Nem publikus verzióA terv:Majd ők detektálják, ha ilyentámadás van, és akkor aztaz egy kiegészítőt letiltják ...
  38. 38. Gyártó Nr. 2Internet Explorerben a kiegészítők letiltvaFirefoxban nem Küldtek egy új verziótMinden böngészőkiegészítő le van tiltva ...Nem publikus verzióA terv:Majd ők detektálják, ha ilyentámadás van, és akkor aztaz egy kiegészítőt letiltják ...
  39. 39. Gyártó Nr. 32013. január: Firefox 13.01 (2012. június)Regisztrációs adatbázis hack (HKCU)Felvettem a kapcsolatot, javítottákSSL MITM sem működik, saját proxybeállításait is védi
  40. 40. Gyártó Nr. 4
  41. 41. Gyártó Nr. 4Protects You From:Information stealing malware and spyware0-hour malware and targeted attacksSophisticated financial malware like ZeuS andSpyEyeKey loggers, screen grabbers, microphoneand webcam hijackers, SSL banker Trojans,spying rootkits and many more
  42. 42. Protects You From:Information stealing malware and spyware0-hour malware and targeted attacksSophisticated financial malware like ZeuS andSpyEyeKey loggers, screen grabbers, microphoneand webcam hijackers, SSL banker Trojans,spying rootkits and many moreGyártó Nr. 4
  43. 43. LastPass + Yubico hack
  44. 44. LastPass + Yubico hack
  45. 45. LastPass + Yubico hack
  46. 46. LastPass + Yubico hackSütilopásNem elégRejtjelezési kulcsok lokálisanPOST-adatok olvasásaNem elégCsak jelszó hash + Yubico OTPLastpass kiegészítő „módosítása” (backdoor)Elég ;-)
  47. 47. DEMO
  48. 48. SütilopásNem elégRejtjelezési kulcsok lokálisanPOST-adatok olvasásaNem elégCsak jelszó hash + Yubico OTPLastpass kiegészítő „módosítása” (backdoor)Elég ;-)LastPass + Yubico hack
  49. 49. Tanulság: rossz erdőben kerestem az elixírtA csak kliensoldali védelmek bukásra vannak ítélvehttps://github.com/Z6543zbalazs@deloittece.comhttps://hu.linkedin.com/in/zbalazs
  50. 50. Köszönöm a figyelmet!

×